Digiposte (service de stockage de documents électroniques de La Poste) a (au moins) une curieuse clause dans ses conditions d’utilisation:
« L’Abonné mandate La Poste pour se connecter en son nom et pour son compte sur le site internet de l’établissement bancaire à partir duquel il accède habituellement à son espace client bancaire en ligne. Il communique ainsi ses identifiant et mot de passe et autorise La Poste à les utiliser pour alimenter périodiquement et automatiquement son Univers « Mes finances ». En conséquence, le client accepte expressément que ses identifiants et/ou mots de passe soient communiqués et conservés par La Poste. »
C’est très curieux car tout développeur le sait bien: les mots de passes ne doivent jamais être stockés tels quels par un service ou site web (seul le résultat d’un hachage doit être stockés). Donc soit La Poste ne stocke effectivement pas les mots de passe (contrairement à ce que laisse penser les conditions d’utilisations), soit le couple Digiposte/La Poste s’adonne à une pratique risquée.
Mieux vaut avoir un mot de passe spécifique à chaque site (et le stocker dans un gestionnaire de mot de passe sécurisé).