Accueil » Vos réponses aux questions secrètes ne sont pas si sûres, prévient Google
High-Tech

Vos réponses aux questions secrètes ne sont pas si sûres, prévient Google



Si vous avez déjà été confronté à la perte de votre mot de passe lors de la connexion à un site, vous avez certainement déjà eu affaire aux fameuses questions secrètes. En théorie, celles-ci permettent de vérifier votre identité en vous interrogeant sur des informations que vous seul êtes censées savoir. Si les réponses sont justes, vous pouvez alors réinitialiser votre mot de passe.


Le problème, c’est que cette fonctionnalité fait souvent appel à des questions dont les réponses peuvent être facilement devinées ou validées au bout de quelques essais. On retrouve par exemple : quel était le nom de votre premier professeur ? Comment s’appelle votre premier animal de compagnie ? Quelle est la couleur de votre voiture ? Quel est votre plat préféré ? Quel était le nom de jeune fille de votre mère ?


DES QUESTIONS SECRÈTES FAIBLES


Or, à l’heure des réseaux sociaux, il n’est pas rare de voir un internaute renseigner lui-même les réponses aux questions qu’il utilise pour sécuriser ses comptes en ligne. Avec un peu de recherche et d’ingénierie sociale, il n’est pas très difficile de remplir avec exactitude les questions secrètes. Parfois, il suffit de tenter sa chance avec des réponses répandues (comme “pizza” pour le plat préféré) pour taper juste.


La faiblesse de ce dispositif a récemment été mis en exergue dans le cadre d’une recherche effectuée par Google, à la suite d’une analyse basée sur plusieurs millions de questions / réponses secrètes. Sans surprise, les questions les plus simples à mémoriser sont aussi les plus faciles à deviner pour une personne mal intentionnée (surtout si celle-ci est un proche de la victime).


Bien sûr, il existe des méthodes pour améliorer ce système : on peut par exemple donner de fausses réponses (mais il faut bien les mémoriser, ce qui devient très difficile lorsqu’on réutilise cette tactique sur beaucoup de sites). On peut aussi choisir des questions difficiles, en combiner plusieurs, ou bien inventer ses propres questions (mais tous les services ne proposent pas ces options).


LA DIFFICULTÉ AFFECTE AUSSI L’USAGER


Google note toutefois que ces approches sont aussi des contraintes pour l’usager.


Par exemple, à la question “Dans quelle ville êtes-vous né ?”, Google constate que plus de 79 % des internautes qui ont choisi cette question secrète y répondent correctement. Le taux de succès des pirates atteint pour sa part 6,9 %. À la question “Quel est le deuxième prénom de votre père ?”, les usagers répondent juste à 74 % et les pirates à 14,6 %.


En posant ces deux questions au moment de la réinitialisation du mot de passe, il est possible de faire tomber les chances de succès des pirates à 1 %. Mais, du même coup, on diminue aussi le taux de réussite des pirates. Celui-ci n’atteint plus que 59 %. Faut-il donc opter pour cette approche, qui réduit statistiquement la probabilité de l’internaute d’accéder à nouveau à son compte ?


Autre exemple : l’utilisation d’une question secrète compliquée. Si vous voulez utiliser votre code identifiant à la bibliothèque municipale comme réponse, on peut raisonnablement penser que vous devrez aller chercher votre carte parce que vous ne l’aurez pas mémorisé. Idem pour le nom de l’école élémentaire fréquentée par votre mère ou votre grand-mère.


DES QUESTIONS À GARDER, MAIS…


En définitive, Google ne dit pas qu’il faut se débarrasser des questions secrètes (l’entreprise s’en sert aussi, en permettant aux internautes de choisir la leur) mais qu’il faut réfléchir plus sérieusement à leur utilisation, du côté des sites qui s’en servent pour contrôler la réinitialisation du mot de passe, mais aussi du côté des utilisateurs, en choisissant soigneusement les questions et les réponses associées.


Par ailleurs, la firme de Mountain View recommande de ne pas limiter la réinitialisation du mot de passe à cette seule méthode. D’autres solutions existent, comme l’envoi d’un code de récupération sur un adresse de courrier électronique secondaire ou par SMS.


( photo : CC BY eleaf )

Please complete the required fields.



A propos de l'auteur

Sébastien

Passionné depuis toujours par l'informatique et les jeux vidéos, je transforme ma passion en expertise. J'utilise quotidiennement les outils et systèmes Microsoft. Je ne délaisse pas mon côté ouvert, notamment via l'utilisation des OS Debian et Archlinux.

Ajouter un commentaire

Cliquez ici pour poster un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Ce site est hébergé avec ❤ par

Ikoula

Suivez nous sur les réseaux sociaux !

FR | GeekParadizeHub ➜ Communauté Multigaming

10 User(s) Online Join Server
  • Xekos
  • Leon Hartstrife
  • Frédéric
  • Julien
  • SLXW
  • Luzrod
  • Addict
  • Zorkadi
  • Anthonio_Loucass

✉️ Abonnez-vous à notre newsletter

Recevez par email toute l'actualité High-Tech chaque matin
Abonnez-vous à notre newsletter et rejoignez les 1300 autres abonnés.

2 - Entrer votre adresse email :

Vous affirmez avoir pris connaissance de notre Politique de confidentialité. Vous pouvez vous désinscrire à tout moment à l'aide des liens de désinscription ou en nous contactant via le formulaire de contact

Tester votre débit

Nouveau !

Boutique de Goodies GeekParadize!