Comment l’UX design permet d’améliorer la sécurité d’un site web ?

C’est lors de la création de compte que l’utilisateur a de nombreuses chances de ne pas respecter les règles de base qui augmentent la sécurité de ses données sur votre site internet. Voici 3 règles que vous devriez faire respecter à vos utilisateurs :

Règle 1 : Ne pas utiliser un mot de passe trop courant

Une étude réalisée en 2019 par le National Cyber Security Center (NCSC) a prouvé que plusieurs millions de victimes de cyberattaques l’ont été à cause de leurs mots de passe qui n’étaient pas assez sécurisés. On retrouve ainsi la combinaison “123456” utilisée par 23,6 millions de personnes, “123456789”, “soleil” ou encore “starwars”,…

Règle 2 : Avoir un mot de passe par compte

Cette tâche est difficile pour l’utilisateur, en effet d’après un sondage du gestionnaire de mot de passe LastPass, 66% des internautes utilisent l’un de leur mot de passe pour se réinscrire sur un nouveau site.

Règle 3 : Changer son mot de passe à la suite d’un piratage

Lorsque l’internaute a pris conscience que son compte a été piraté, il est essentiel qu’il le modifie et qu’il modifie les mots de passe de ses autres comptes s’il n’a pas respecté la règle 2. Informez-le de cela grâce à un mail clair car la violation de données pourrait lui causer de nombreux soucis.

Vous l’aurez compris, l’utilisateur est fainéant. C’est pour cela qu’il faut l’accompagner de façon simple et claire pour qu’il respecte les 3 règles ci-dessus.

L’UX writing (phrases ou mots permettant d’humaniser les interfaces, et de placer le langage au cœur des interactions utilisateurs/écrans) et des repères visuels peuvent êtres ajoutés sur votre interface dans le but d’accompagner l’utilisateur à créer la sécurité dont il a besoin. Ainsi cela lui indiquera clairement pourquoi il est important d’avoir un mot de passe soigneusement choisi ou pourquoi il n’a pas réussi à se connecter à votre interface. Veillez à ne pas utiliser un langage trop technique. Expliquez-lui clairement.

La création d’un compte

Chacun son école pour la conception du mot de passe : certains ne prennent que les minuscules, d’autres un minimum de 10 caractères,… Bref, le plus important est de ne pas contraindre l’utilisateur mais de le laisser mettre tous les caractères qu’il souhaite tant que cela fait au minimum 6 caractères et qu’il y un chiffre, une lettre en majuscule et une en minuscule.

N’oublions pas non plus de lui indiquer qu’il ne vaut mieux pas utiliser le même mot de passe sur tous ses comptes. Il faut que cela lui soit indiqué avant même qu’il commence à taper son mot de passe comme ça il n’aura pas à être irrité par le message rouge en haut de page qui lui dit que son mot de passe n’est pas valide. Agaçant, n’est-ce pas ?

Une barre de progression permet d’aider l’utilisateur à savoir où il en est dans sa création de mot de passe et ça, il aime. Il sait tout de suite quand c’est bon ou quand il a fait une erreur. C’est plus ludique et beaucoup plus fluide.

Le site internet devra également être programmé pour que le mot de passe de l’utilisateur ne corresponde pas à la liste des 100 mots de passe les plus utilisés par les internautes. Le message indiqué sera alors “ce mot de passe fait partie des combinaisons les plus utilisées”. Il y a le coup classique de la combinaison du nom ou prénom de l’adresse mail et d’un chiffre qui est très courant. Le développeur va ainsi bloquer toutes ces occurrences. C’est facile à faire côté développement et avec ça bye bye les “nicolas67” et autres “azertyuiop”. Les personnes mal intentionnées feront rapidement demi-tour avec ce type de programmation.

La connexion

Une fois l’inscription terminée, l’utilisateur va se connecter. Il aura peut-être oublié le mot de passe avec lequel il s’est inscrit voire même son adresse mail. On retrouve couramment ce genre de messages “mot de passe incorrect” ou “l’adresse mail est inconnue”. Il n’y a d’apparence aucun problème avec cela. Or ces messages indiquent des informations capitales aux pirates ! Ils sauront :

• soit que l’adresse mail entrée n’est pas à lié à ce site
• soit que l’adresse mail est la bonne mais que c’est le mot de passe qui n’est pas le bon

Aïe aïe aïe, les pirates attaquent ! D’autant plus que si vous n’avez pas mis de contrainte au bout d’un certain nombre de tentatives, le pirate peut utiliser une attaque par brute force (une méthode utilisée pour tester toutes les combinaisons possibles jusqu’à trouver le bon mot de passe).

Il suffit juste d’indiquer à l’utilisateur que la connexion a échoué et qu’il faut qu’il recommence sans dire si c’est le mot de passe ou l’adresse mail qui sont faux.

La reconnexion

Pour éviter qu’il se connecte, reconnecte et re-reconnecte, vous pouvez mettre en place une sauvegarde du mot de passe dans les cookies. C’est une des best practices de l’e-commerce. Pour cela il faut rajouter une case à cocher dans la mire de connexion pour proposer à l’utilisateur que le site se souvienne de lui lorsqu’il se connecte sur votre site avec le même ordinateur.

Cette mémorisation de l’identifiant et du mot de passe doit être indiquée dans les mentions légales du site. En effet, l’utilisateur pourra y trouver quelle est la durée de vie de cette mémorisation dans les cookies. Le RGPD (règlement général sur la protection des données) exige que cela soit indiqué clairement à l’utilisateur.

L’UX peut également être contre productif pour vous. En effet, si votre site n’est pas crypté en SSL, une pop up ou une pop in du navigateur informera immédiatement l’utilisateur que votre site n’est pas sécurisé. Il perdra ainsi toute confiance en vos produits ou services. L’UX est donc dans les deux sens.