Quel est le deuxième prénom de votre mère ? ou “Dans quel lycée êtes-vous allé ?” sont deux questions ? parmi d’autres ? auxquelles nous devons traditionnellement répondre lorsque nous nous inscrivons à un nouveau service en ligne. Eh bien, une recherche sur Google a révélé que ces questions de sécurité sont inefficaces dans ce qu’elles proposent de faire : confirmer votre identité si vous oubliez votre mot de passe.
Le moteur de recherche a pris des “centaines de millions” de questions secrètes et leurs réponses (hé, et la confidentialité de ces données ?!) pour une analyse approfondie de ce que les gens utilisaient pour récupérer l’accès à leur compte Google. Ensuite, ils ont simulé comment un hacker essaierait de trouver la bonne réponse.
Selon Google, il y a un défaut assez courant : ils sont soit sûrs, soit faciles à retenir, mais répondent rarement aux deux exigences simultanément.
Un pirate informatique ayant accès à l’enquête saurait, par exemple, qu’un cinquième des anglophones ont répondu à la question “Quel est votre plat préféré ? Ces mêmes pirates ont 24 % de chances de découvrir le nom du premier professeur des utilisateurs arabophones (Google n’a pas révélé la réponse). Toujours dans un scénario à dix tentatives, un attaquant aurait 21 % de chances de deviner le deuxième prénom du père d’un utilisateur hispanophone.
Notez que dans chaque langue, il existe des modèles de comportement – qui font partie de ce qu’on appelle l’ingénierie sociale, pour ainsi dire – qui facilitent l’exposition de la personne au risque.
L’étude montre également qu’il est difficile de se souvenir des réponses à une série de questions. Quatre utilisateurs anglophones et américains sur dix ne pouvaient pas se souvenir de l’information au moment où ils en avaient le plus besoin. Toujours à propos du comportement des Américains, des questions comme le numéro d’enregistrement à la bibliothèque et le programme de fidélisation de la compagnie aérienne ont des taux de rappel de 22 % et 9 %, respectivement.
Google a également testé la combinaison de deux questions considérées comme plus faciles, mais en même temps affirmatives. Les utilisateurs se souviennent de la ville où ils sont nés et du deuxième prénom de leur père. Mais lorsqu’ils doivent répondre aux deux questions pour récupérer le mot de passe, le taux de réussite atteint 59 %. Ajouter plus de questions de sécurité ne fait que rendre plus difficile la récupération des comptes des internautes, “et ce n’est pas une bonne solution”, concluent le responsable du laboratoire anti-abus, Elie Burzstein, et l’ingénieur logiciel Ilan Caron.
Les chercheurs recommandent, à la fin de l’article, que les propriétaires de sites réfléchissent à de nouvelles formes d’authentification. Dans le cas spécifique de Google, la recommandation aux utilisateurs est d’accéder à la page de sécurité pour vérifier si toutes les données sont à jour. Vous pouvez également y activer les fonctions de réception de codes par SMS ou par e-mail pour récupérer un compte. Le moteur de recherche prétend qu’il n’utilise la question secrète qu’en dernier recours. Il convient de rappeler que l’authentification en deux étapes est également une réalité ? offerte par Google et Microsoft, entre autres géants technologiques.
