Check-list

24 avril 2025 15:35 - Gaël Poupard (2) Répondre

Telle que je comprends la proposition, elle cible les écrans de connexion qui indiquerait, en cas d’erreur de saisie, que le compte existe avec un e-mail mais que le mot de passe est erroné ; est-ce bien ça ?

Si oui, il faut préciser la formulation ; si non, je pense à un cas qui la met en porte-à-faux : quid d’une tentative de création de compte avec un e-mail qui est déjà associé à un compte ? Ça m’est arrivé dernièrement, et l’information de l’existence d’un compte avec mon e-mail m’a permis de le retrouver… Sans cette information, j’aurais été bloqué et aurais été forcé d’utiliser une autre adresse mail, et donc de disposer de deux comptes (élargissant encore plus la surface de vulnérabilité de mes informations personnelles).

Je pose la réflexion, je ne sais pas aller plus loin pour le moment :)

24 avril 2025 15:54 - Estelle Romagny Répondre
Je suis du même avis que Gaël, peut-on prévoir de traiter différemment l'écran de connexion du parcours de mot de passe oublié / réinitialisation de mot de passe ?
02 mai 2025 14:11 - Gaël Poupard (1) Répondre
Je rebondis moi-même sur ma réflexion : est-ce que ça implique que dans le cas d’une création de compte avec un email déjà associé à un compte, la procédure devrait sembler avoir lieu normalement sur le site (donc respecter la règle énoncée ici) — mais que côté back, on gère le cas en envoyant un mail « Vous avez déjà un compte » au lieu de la confirmation de création de compte ?

Ça paraît logique, mais ça a de nombreuses implications et surtout, la règle présente ne couvre pas suffisamment.

Je tenterai bien quelque chose comme : « Le site envoi un mail d’information en cas de création de compte avec un email déjà utilisé » ? Et la divulgation d’information sur l’existence d’un compte utilisateur privé deviendrait un moyen de contrôle.

Qu’en dites-vous ?
- 06 mai 2025 11:43 - Olivier Keul Répondre
  C'est souvent un arbitrage sécurité / a11y. D'un point de vue sécu il ne faut pas indiquer que le compte existe donc on a un message générique "l'email ou le mot de passe est incorrect". D'un point de vue a11y c'est imparfait car on ne sait pas concrètement ce qui pose problème.

10 avril 2025 16:42 - Elie Sloïm Répondre

Changement de libellé
[Le site ne communique pas d'information sur l'existence d'un compte utilisateur privé]
(ajout de privé)

02 avril 2025 23:51 - Guillaume Gallais (1) Répondre

Contexte à préciser. Avoir l'objectif aiderait peut-être à mieux cibler la règle. Est-ce que le problème est qu'on "communique" sur cette existence en général, ou bien qu'on "révèle" cette information à un public non-autorisé ?

03 avril 2025 09:49 - Laurent Denis Répondre
Il s'agit bien de "révéler" (involontairement) qu'une adresse mail correspond bien à un compte existant sur un service, d'où problème de confidentialité des données personnelles.

31 mars 2025 14:16 - Jean-Baptiste Audras (1) Répondre

Hmm. À préciser. Quid des forums et annuaires ? Préciser ?
"Le site ne communique pas d'information sur l'existence d'un compte utilisateur si celui-ci n'est pas publiquement mentionné dans les contenus du site". C'est lourdingue mais ça gagne en précision.

01 avril 2025 10:39 - Laurent Denis (1) Répondre
{Le site ne communique pas d'information sur l'existence d'un compte utilisateur privé} ?
- 06 avril 2025 10:27 - Jean-Baptiste Audras Répondre
  oui c'est bien mieux formulé

Atelier Checklist Opquast - Assurance qualité web - Version 5 - 2025-2030

Critère N° Le site ne communique pas d’information sur l’existence d’un compte utilisateur privé