Google publie une étude dans laquelle l'entreprise américaine souligne la faiblesse importante des questions secrètes, qui a été aggravée par l'émergence des réseaux sociaux. La firme de Mountain View note par ailleurs que certaines méthodes (fausses réponses, combinaison de questions secrètes), si elles limitent les risques de piratage, posent aussi des difficultés aux usagers.

Si vous avez déjà été confronté à la perte de votre mot de passe lors de la connexion à un site, vous avez certainement déjà eu affaire aux fameuses questions secrètes. En théorie, celles-ci permettent de vérifier votre identité en vous interrogeant sur des informations que vous seul êtes censées savoir. Si les réponses sont justes, vous pouvez alors réinitialiser votre mot de passe.

Le problème, c'est que cette fonctionnalité fait souvent appel à des questions dont les réponses peuvent être facilement devinées ou validées au bout de quelques essais. On retrouve par exemple : quel était le nom de votre premier professeur ? Comment s'appelle votre premier animal de compagnie ? Quelle est la couleur de votre voiture ? Quel est votre plat préféré ? Quel était le nom de jeune fille de votre mère ?

DES QUESTIONS SECRÈTES FAIBLES

Or, à l'heure des réseaux sociaux, il n'est pas rare de voir un internaute renseigner lui-même les réponses aux questions qu'il utilise pour sécuriser ses comptes en ligne. Avec un peu de recherche et d'ingénierie sociale, il n'est pas très difficile de remplir avec exactitude les questions secrètes. Parfois, il suffit de tenter sa chance avec des réponses répandues (comme "pizza" pour le plat préféré) pour taper juste.

La faiblesse de ce dispositif a récemment été mis en exergue dans le cadre d'une recherche effectuée par Google, à la suite d'une analyse basée sur plusieurs millions de questions / réponses secrètes. Sans surprise, les questions les plus simples à mémoriser sont aussi les plus faciles à deviner pour une personne mal intentionnée (surtout si celle-ci est un proche de la victime).

Bien sûr, il existe des méthodes pour améliorer ce système : on peut par exemple donner de fausses réponses (mais il faut bien les mémoriser, ce qui devient très difficile lorsqu'on réutilise cette tactique sur beaucoup de sites). On peut aussi choisir des questions difficiles, en combiner plusieurs, ou bien inventer ses propres questions (mais tous les services ne proposent pas ces options).

LA DIFFICULTÉ AFFECTE AUSSI L'USAGER

Google note toutefois que ces approches sont aussi des contraintes pour l'usager.

Par exemple, à la question "Dans quelle ville êtes-vous né ?", Google constate que plus de 79 % des internautes qui ont choisi cette question secrète y répondent correctement. Le taux de succès des pirates atteint pour sa part 6,9 %. À la question "Quel est le deuxième prénom de votre père ?", les usagers répondent juste à 74 % et les pirates à 14,6 %.

En posant ces deux questions au moment de la réinitialisation du mot de passe, il est possible de faire tomber les chances de succès des pirates à 1 %. Mais, du même coup, on diminue aussi le taux de réussite des usagers. Celui-ci n'atteint plus que 59 %. Faut-il donc opter pour cette approche, qui réduit statistiquement la probabilité de l'internaute d'accéder à nouveau à son compte ?

Autre exemple : l'utilisation d'une question secrète compliquée. Si vous voulez utiliser votre code identifiant à la bibliothèque municipale comme réponse, on peut raisonnablement penser que vous devrez aller chercher votre carte parce que vous ne l'aurez pas mémorisé. Idem pour le nom de l'école élémentaire fréquentée par votre mère ou votre grand-mère.

DES QUESTIONS À GARDER, MAIS…

En définitive, Google ne dit pas qu'il faut se débarrasser des questions secrètes (l'entreprise s'en sert aussi, en permettant aux internautes de choisir la leur) mais qu'il faut réfléchir plus sérieusement à leur utilisation, du côté des sites qui s'en servent pour contrôler la réinitialisation du mot de passe, mais aussi du côté des utilisateurs, en choisissant soigneusement les questions et les réponses associées.

Par ailleurs, la firme de Mountain View recommande de ne pas limiter la réinitialisation du mot de passe à cette seule méthode. D'autres solutions existent, comme l'envoi d'un code de récupération sur un adresse de courrier électronique secondaire ou par SMS.

( photo : CC BY eleaf )

Partager sur les réseaux sociaux

Articles liés