Dans la catégorie « recherche sociale accidentelle », on a rarement fait mieux. Suite à un vol d’identité chez un fournisseur de service de Facebook et MySpace, 32 millions de mots de passe se sont brièvement retrouvés en ligne, accessibles à tous. Des chercheurs en sécurité informatique ont eu le réflexe de copier ces mots de passe afin d’en retirer de précieux indices sur le comportement des internautes face à cet élément clé de notre identité en ligne. Le tout est documenté dans cet article du New-York Times, If Your Password Is 123456, Just Make It HackMe. On peut aussi lire le rapport de la firme de sécurité qui en a fait l’analyse.

Mon dada, c’est la qualité de l’expérience utilisateur. Tout ce qui touche le comportement des humains en ligne me fascine. L’aspect « sécurité informatique » est important, mais ce n’est pas ce que je trouve le plus intéressant dans cette histoire. C’est plutôt le fait que ce crime, une fois dévoilé, se transforme ni plus ni moins en un énorme test utilisateur pour une seule micro-tâche. C’est comme si on avait pu demander à un échantillon énorme d’utilisateurs (32 millions de participants, représentatifs en plus!) de choisir un mot de passe et d’avoir pu ensuite analyser les résultats. C’est le rêve!

Mais quelles leçons UX peut-on retenir de tout ça? Étonnamment, la meilleure leçon ne provient pas des résultats, un peu prévisibles : que 20% des utilisateurs se partagent les même 5000 mots de passe, que 123456 est le mot de passe le plus populaire, etc.

La meilleure leçon provient, d’après moi, de la lecture des recommandations de la firme de sécurité, qui illustrent à merveille le fossé souvent encore très grand qui existe entre ingénieurs, analystes, programmeurs et les utilisateurs des système qu’ils conçoivent. On y suggère encore les classiques: avoir un mot de passe différent pour chacun des sites que vous visitez (!); créer des mots de passe d’au moins 8 caractères;  inclure des symboles du genre #, &, !; ne pas inclure des mots courants, etc.

Toutes des recommandations absolument sensées et que j’essaie de suivre moi-même. De l’aveu même de la firme de sécurité (le comportement était exactement le même dans  d’autres cas semblables en 1990 et en 2000), même après 30 ans de conseils du genre, la preuve est faite que ces recommandations ne sont jamais suivies. Pourquoi?  Tout simplement parce qu’elles sont quasi-impossibles à respecter d’un point de vue cognitif. C’est comme dire à un joueur compulsif qu’il ne devrait pas jouer. Il le sait, nous le savons, mais il le fait quand même.

Alors, quelle serait la solution qui tiendrait mieux compte des limites cognitives des pauvres mortels que nous sommes? Tout d’abord, comprendre les risques réels quand vient le temps de créer un mot de passe et comprendre qui en serait la vraie victime.

Les banques semblent avoir réglé le problème en combinant un mot de passe et un élément visuel ou cognitif que seul vous pouvez associer (une phrase et une image par exemple). Même si le mot de passe est faible, la combinaison mot de passe-phrase-image rend exponentiel le nombre de permutations. On se sent protégés et la banque aussi.

Tous les sites auxquels on s’inscrit ne gèrent pas notre avenir financier. Quelle serait la conséquence de voir mon compte Facebook ou Twitter « hacké » par un malfrat? Franchement, pas très grande d’un point de vue individuel, mais du point de vue de Facebook ou Twitter, c’est une catastrophe de relations publiques (allo, Mirador?). C’est à ce niveau que les firmes de sécurité font de bonnes affaires.

Dernièrement, j’ai conseillé un organisme bien connu qui veut ajouter une panoplie de fonctions Web 2.0 sur leur site qui requiert la création de comptes utilisateurs. Dans le concept initial, l’utilisateur ne choisissait pas son mot de passe; il lui était attribué par le système et envoyé par courriel. D’un point de vue d’un analyste en sécurité informatique, c’est le rêve. Un mot de passe tout point conforme aux normes les plus sévères. Mais du point de vue du spécialiste en expérience utilisateur que je suis, c’est un cauchemar, sans parler du point de vue de l’analyste d’affaires ou marketing. Pourquoi? Le mot de passe si gentiment fourni devient littéralement une clôture de 6 pieds qui entoure votre site Web. Très sécuritaire, mais pas très amicale pour vos clients. Il est vrai que le concept prévoyait qu’on pouvait modifier son mot de passe par la suite. Mais pourquoi faire passer vos utilisateur par Toronto pour aller à Québec en partant de Montréal?

Mon avis? Laissez les utilisateurs choisir leur mot de passe. Si vous devez absolument les générer via le système, soyez gentils et rendez-les un peu faciles à mémoriser (du type non-sens mais prononçable comme paddlipatum88!). Il n’est pas interdit de suggérer des mots de passe de ce genre à même l’interface. Surtout, évaluez bien qui court le plus grand risque de sécurité et quel serait le coût réel de ne pas voir revenir vos utilisateurs les plus précieux : ceux qui ont fait un effort de s’inscrire à votre site Web.

Quelques fois par année, j’ai l’habitude de prendre quelques heures, voire quelques jours, pour me remettre à jour sur certains aspects de mon valeureux métier d’architecte de l’information (ou designer d’interaction, ou spécialiste de l’expérience utilisateur, ou web designer, ou même ergonome, c’est à votre goût). C’est ce que je viens de faire pour les outils de créations de wireframes et j’ai la tête qui tourne…

J’ai probablement créé mon premier wireframe vers février 1996, quand j’ai eu le mandat de concevoir le tout premier site du Cirque du Soleil (pitch gagné avec la firme eMarketing de Pierre Côté, pour un fabuleux budget total de 18 000 beaux dollars, tout inclus!). Durant de nombreuses années, les wireframes se faisaient à la mitaine, avec n’importe quel outil de dessin, voire même sur papier, ce que certains préfèrent encore. Plus tard, Visio sur PC et Omnigraffle pour Mac sont devenus les outils de choix, car plusieurs kits de modélisation (templates) étaient disponibles pour ces logiciels.

Il y a quelques années, des outils dédiés à la création de wireframe sont apparus, tels que Axure (pour quelques centaines de $$$) et iRise (pour quelques milliers de $$$). Maintenant, en date de janvier 2010, il existe des dizaines de logiciels dédiés, qui peuvent rouler en local sur votre ordi, en ligne dans le « cloud » ou en format hybride local et « cloud ». Certains permettent de créer des prototypes complets avec tous les widgets AJAX, d’autres permettent seulement des esquisses rapides pour l’idéation préliminaire. Certains même peuvent vous aider à préparer un prototype complet pour tests à distance (remote usability testing.) Le choix est en train de devenir intéressant.

Lequel choisir? Je vais vous décevoir, car je n’en ai aucune idée pour le moment. Pourquoi? Parce qu’il faut investir beaucoup de temps pour essayer ces différents outils et comprendre leurs avantages spécifiques et leurs limites dans le cadre de sa pratique personnelle. J’utilise encore le bon vieux Visio, mais mon travail nécessite de plus en plus de documenter de l’interaction et de moins en moins de la mise en écran (screen layout). Je vais devoir trouver un outil qui répond à mes besoins, mais je n’en adopterai pas un avant d’être certain que mes livrables seront encore meilleurs pour mes clients. Pas de gizmos wizbang pour moi. Je cherche du solide, du mature et je n’ai pas encore trouvé. Mais je suis sûr que ça viendra très bientôt.

D’ici là, voici quelques-unes des question que je me pose et que vous devriez vous poser avant de choisir un ou plusieurs de ces outils, mis à part le choix de plate-forme, PC, Mac ou autre.

1) Avez-vous le temps et la motivation pour apprivoiser le fonctionnement d’un nouveau logiciel?

Chacun des ces logiciels fonctionne différemment, possède souvent une panoplie de fonctions et requiert un certain temps d’apprentissage pour être efficace. Si vous débutez un projet avec des délais serrés, remettez à plus tard l’essai d’un nouvel outil (quoique certains vous diront que la pression de produire fait des miracles pour tester un logiciel à fond!).

2) Êtes-vous prêt à prendre le risque d’investir temps et (quelque fois) argent dans un outil qui n’a peut-être pas encore fait ses preuves?

Je remarque que beaucoup de ces logiciels proviennent de compagnies en startup. Il y a actuellement une intense compétition pour s’approprier ce petit marché niche et il est probable que plusieurs ne survivront pas. Ne mettez pas tous vos oeufs dans le même panier. Faites beaucoup de recherches sur les blogs, forums, Twitter, spécialisés en UX/AI/Webdesign, etc. pour aller chercher le sentiment général et le mérite de chacun des outils avant de choisir celui qui vous accompagnera. Mis à part iRise et autres outils de prototypage orientés Big Business, la plupart de ces logiciels sont abordables. Un outil mature comme Axure commande un prix plus élevé, mais la stabilité relative de l’entreprise vient avec.

3) Quel genre de design faites-vous le plus souvent?

Si votre pratique n’exige pas un haut degré de précision quant à la documentation, ou si vous créez des sites Web de quelques pages sans beaucoup d’interaction, un simple logiciel de dessin ou du papier et crayon peuvent suffire. Si toutefois vous devez concevoir des sites Web avec de nombreuses composantes interactives, des widgets Ajax, des séquences d’authentification, du Web 2.0 à profusion, regardez plutôt du côté des logiciels plus robustes qui offrent des fonctions de simulation conditionnelle (comme Axure).

4) Quelles sont les exigences de communication avec vos collègues, clients et partenaires?

Point d’une extrême importance qui est souvent négligé. Le rôle central d’un concepteur (peu importe son domaine) est de communiquer ses idées et de convaincre des gens qui n’ont pas toujours votre appétit pour les détails infinis qui troublent votre sommeil. Si votre logiciel ne vous permet pas de faire des bons vieux PDF imprimables, oubliez ça… Il faut que votre outil vous permette de transmettre vos idées à l’aide du plus bas dénominateur commun (i.e. imprimante et projecteur) dans tous les contextes (votre bureau, celui du client, la brousse, etc.).

5) Jusqu’à quel point voulez-vous simuler une application Web réelle, avec tout le « look and feel »?

Votre but est-il d’esquisser rapidement des idées durant un remue-méninge ou de créer un prototype hyper-réaliste avec des images, des vidéos et du CSS/XHTML de qualité déjà en place? Certains des outils les plus simples et les moins chers (comme balsamiq) font partie de la première catégorie et peuvent vous rendre vachement efficaces en un rien de temps. Il n’est pas interdit de combiner l’usage de deux logiciels selon vos besoins.

6) Est-ce que les tests d’utilisabilité (user testing) font partie votre processus de travail?

Vous savez sûrement que tester un prototype avec du « vrai monde » avant de coder fait toujours partie d’un bon petit déjeuner équilibré. Bien sûr, on fait tous ça ;-) La création de prototypes réalistes qui simulent des fonctions interactives clés devient alors une exigence incontournable. La règle d’or pour les test auprès d’utilisateurs: ne jamais leur demander de faire semblant d’utiliser un site Web; ils ne doivent pas se poser cette question. Ce qui met la barre très haute quant à la création d’un prototype testable, et aussi pour le logiciel qui prétendra créer ce genre de prototype facilement.

7) De quel budget disposez-vous pour l’achat et le maintien d’un logiciel de ce genre?

Certains outils sont gratuits pour un usage limité, d’autres coûtent la peau des fesses. Généralement, you get what you pay for, mais assurez-vous de payer seulement pour ce que vous avez besoin.

8) Travaillez-vous seul ou en équipe sur les mêmes documents?

Je travaille la plupart du temps seul sur mes documents, et c’est probablement le cas de la plupart de nous en tant que pigistes ou en petite agence. Par contre, en grande entreprise, ça peut être différent. Si plusieurs personnes peuvent travailler sur un même document simultanément, oubliez les solutions simples et peu coûteuses. Par contre ne confondez pas accès simultané (plus complexe) et travail collaboratif (annotations, révisions, etc.) Certains outils permettent ce genre de travail asynchrone.

Si ça vous tente, allez faire un tour sur mes signets delicious où j’ai commencé à répertorier certains de ces outils et des ressources connexes : delicious.com/jfpetit/wireframes.