Mots de passe : les questions secrètes ne sont pas sécurisées !
La question de la sécurité des données est sur toutes les lèvres ces derniers temps. Il faut dire que depuis les révélations d'Edward Snowden, certains utilisateurs ont pris conscience de l'importance de bien protéger ses appareils.
De ce fait, les études portant sur le thème de la sécurité se font aussi plus nombreuses. La dernière en date a été faite par Google dont les conclusions ne sont pas rassurantes en ce qui concerne les questions secrètes demandées lorsqu'un utilisateur veut récupérer un mot de passe.
- Lire également : Tutoriel, comment sécuriser vos mots de passe
“Quelle est votre couleur préférée ?”, “Quel est le modèle de votre première voiture ?” ou encore “Quel est le nom de votre premier animal de compagnie ?” sont des questions qui doivent vous dire quelque chose.
Il s'agit en effet des nombreuses questions de sécurité auxquelles certains services web vous demandent de répondre lorsque vous souhaitez récupérer un mot de passe perdu. Figurez-vous que selon une étude de Google, ces questions ne sont absolument pas sécurisées.
[Les questions secrètes] ne sont ni sûres, ni assez fiables pour être utilisées seules comme un mécanisme de récupération de compte (et) cela parce qu’elles souffrent d’un défaut fondamental : leurs réponses sont soit peu sécurisées, soit faciles à retenir, mais rarement les deux» – Elie Bursztein, ingénieur chez Google –
Pour tirer ces conclusions, les ingénieurs de Google ont analysé à l'aide de méthodes automatisées les questions et réponses secrètes d'utilisateurs lors de réelles demandes de récupération de mot de passe. Au total ce sont les pratiques de centaines de millions d'utilisateurs qui ont été étudiés. Et pour Google, la sécurité est beaucoup trop faible.
[Les réponses] contiennent souvent des informations communément connues ou accessibles au public, ou sont dans un petit ensemble de réponses possibles pour des raisons culturelles. – Elie Bursztein, ingénieur chez Google –
Car les réponses données sont bien trop évidentes et ancrées dans l'inconscient collectif selon les zones géographiques. Par exemple, à la question “Quel est votre plat préféré ?”, 20% des utilisateurs répondent “pizza” dans les pays anglophones.
“Il existe aussi des questions plus complexes” direz-vous. En effet, il est possible par exemple de choisir une question du type “Quel est votre numéro d'abonné Netflix ?”. Mais le problème est que la réponse est trop complexe et que les utilisateurs ne la retiennent pas. Et en plus les français sont nuls en mots de passe.
La solution ? Elie Bursztein explique que chez Google par exemple on peut “utiliser d’autres méthodes d’authentification, telles que les codes de secours envoyés par SMS ou adresses e-mail secondaires, pour authentifier leurs utilisateurs et les aider à récupérer leurs comptes. Celles-ci sont à la fois plus sûres, et offrent une meilleure expérience utilisateur».
