Avertissement pour les éventuels nouveaux acheteurs de la solution de sécurité informatique BitDefender via la boutique en ligne Eptimum.
Veillez à n'utiliser qu'un mot de passe unique pour protéger votre compte utilisateur. Le mot de passe est stocké en clair dans la db de la boutique en ligne, et les collaborateurs sur lesquels on peut tomber en appelant le SAV ont ce même mot de passe devant les yeux à l'écran.
J'ai constaté ce que j'estime être un énorme problème de sécurité informatique lors de l'achat (renouvellement) de ma licence pour la solution de sécurité informatique BitDefender Internet Security 2014, via leur boutique en ligne gérée par Eptimum.
En effet, une fois la commande passée, j'ai reçu un mail contenant effectivement les liens de téléchargement de l'application. Mais contenant aussi, au titre de rappel de mes identifiants, mon login et mon mot de passe EN CLAIR.
J'ai contacté Eptimum. Le SAV m'indique que c'est tout à fait normal, que sans mon mot de passe "comment voulez-vous qu'on fasse ?". Ils n'ont pas l'air d'avoir jamais entendu parler des notions de chiffrement ou de salage, soit le b-a-ba de la sécurité informatique. Le gars m'a confirmé disposer de mon mot de passe, il me l'a d'ailleurs épelé au téléphone.
Je suis abasourdi d'être confronté à ce problème dans le cadre de l'achat d'une solution de sécurité informatique, ça me dépasse.
Pour tout dire, mon interlocuteur Eptimum est allé jusqu'à me dire que c'était ma faute, que je n'avais qu'à ne pas utiliser le même mot de passe partout (bien que, quand même, mon paypal et autres trucs hyper importants ne sont pas concernés). Ce n'est pas entièrement faux, mais d'abord en tant qu'utilisateur je ne suis pas tenu d'être un spécialiste de la sécurité informatique, de deux il faudrait voir aussi à tenir compte des usages là où je ne sais combien d'utilisateurs en sont toujours à écrire leur mot de passe sur un post-it sur l'écran ou à utiliser un mot de passe genre prénom_de_ma_fille_date_de_naissance (alors un mot de passe fort par compte utilisateur, vous pensez !), et de trois, il ne me semble pas que cela les dédouane de leur responsabilité de mettre en place le strict minimum du code de bonne pratique admis partout. Je pourrais encore comprendre sur un petit forum consacré à la culture du ravioli au Groenland, mais sur un site de vente de solutions de sécurité informatique, je trouve ça moyen.
Je n'ai jamais demandé à entrer en relation commerciale avec Eptimum. Je voulais _juste_ acheter BitDefender. Je l'ai fait sur le site http://www.bitdefender.fr/ et le mail sur lequel apparait mon mot de passe en clair mentionne "Boutique officielle BitDefender".
J'ai contacté par téléphone la société mère BitDefender, en Roumanie. Je leur ai expliqué le problème, mon interlocutrice m'a dit ne pas trouver la situation normale mais qu'ils ne pourront probablement pas faire grand chose puisque le problème n'est pas directement lié à BitDefender mais à l'éditeur français et que je suis le premier à soulever le problème. On m'a dit faire remonter l'information. On me l'a dit, oui, de là à ce que ça se fasse...
J'ai ensuite contacté le SAV de BitDefender par téléphone. Pour eux, au début de la conversation c'était : "bah, où est le problème ?". Puis devant mon insistance à pointer la négligence, "oui mais c'est pas nous, c'est eux". Puis quand je leur ai indiqué à quel point cela pouvait engendrer une image négative pour leur société, là c'est devenu aussi "bon ben je remonte l'information".
Si un informaticien lit ce message... je ne sais pas ce que vous en pensez, mais pour ma part, je ne m'en suis pas encore remis.
Bref, je ne sais pas quoi faire. Je ne demande rien d'autre sinon que cette pratique cesse dans les plus brefs délais. De toute façon le mal est fait, mon mot de passe est compromis.
Merci pour votre lecture et pour vos éventuels commentaires.