Passer au contenu

Les fameuses questions de sécurité des comptes Web sont aussi sûres qu’une porte ouverte?

Incontournables, vitales, au cœur de notre sécurité en ligne, les questions qui permettent de retrouver nos mots de passe en cas d’oubli ne sont pas si sûres que ça. C’est même pire que ce que vous imaginez.

Quel est le nom de votre premier poney ? Le nom de jeune fille de votre père ? Votre repas préféré ? Autant de questions auxquelles on a tous un jour ou l’autre répondu avec application, aux lèvres le sourire satisfait de ceux qui viennent de jouer un sacré tour aux aspirants voleurs de mot de passe… Effacez ce tour, tout cela n’était que du vent. C’est en résumé ce que viennent de démontrer des experts en sécurité informatique de Google dans un long rapport et un post sur le blog officiel de la société.

Alors qu’elles sont omniprésentes et hantent le Web depuis que le premier homme s’y est connecté (ou presque), des chercheurs de Google se sont posés la question de la sécurité et de l’efficacité des questions de sécurité. Ils ont donc analysé les « centaines de millions de questions secrètes et leurs réponses » utilisées pour retrouver les mots de passe d’accès à des comptes Google. Ils ont ensuite calculé la probabilité pour qu’un hacker trouve la réponse. Il en ressort qu’elles souffrent d’une « faiblesse fondamentale » : « leurs réponses sont un peu sûres ou faciles à se souvenir, mais rarement les deux à la fois ». Sans surprise, les réponses faciles à trouver ne sont pas sûres du tout.

Trop facile pour être dur?

Ainsi, un attaquant aurait 19,7% de chance, au bout d’un essai, de deviner la réponse d’un anglophone à la question « quelle est votre nourriture préférée ? ». Si vous vous le demandiez, la réponse est « pizza ». Après dix tentatives, une personne mal intentionnée aurait  39% de chance de deviner le nom de la ville de naissance d’une personne parlant coréen et 43% de chance de trouver leur plat favori… Pour ceux qui pensent compliquer la tâche aux éventuels pirates en indiquant une fausse réponse à la question, l’espoir est vain. « Les utilisateurs choisissent les mêmes (fausses) réponses, et augmentent les risques qu’un attaquant puisse entrer ».

Trop dur pour être facile

Les chercheurs de Google ont également découvert que choisir des questions et des réponses plus difficiles n’est pas forcément la bonne solution, car elles sont pénibles à retenir et donc à retrouver le moment venu. Les questions les plus sûres comme « Quel est votre numéro de carte de bibliothèque ? » ou « Quel est le numéro de carte de fidélité de votre compagnie aérienne ? » ne trouvaient leur réponse, respectivement, que dans 22% et 9% des cas. 40% des utilisateurs anglophones de Google sont dans la situation où ils oublient la réponse, alors que ces mêmes personnes étaient 80% à se rappeler leur code de remise à zéro envoyé par SMS.

Multiplier les questions ou s’en poser une dernière ?

Evidemment, si la tentation de multiplier les questions pourrait poindre, elle ne ferait qu’accroître le problème pour l’utilisateur de regagner l’accès à son compte. Si un éventuel attaquant n’aurait que 1% de chance de trouver la réponse à deux questions après dix essais, l’utilisateur légitime n’en aurait lui que 59%, ont calculé les spécialistes de Google.
Il est donc nécessaire de se poser une dernière question : que faire ? Continuer avec ce système, éventuellement, mais adopter un outil de rappel des mots de passe par téléphone ou mail envoyé de préférence à une autre adresse qu’à celle à laquelle vous essayez d’accéder…

A lire aussi :
Effacer ses données personnelles sur Android, c’est mission impossible
– 22/05/2015

Source :
Blog sécurité de Google

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Pierre Fontaine