La faiblesse des « questions de sécurité », et comment faire mieux!

Lorsque vous oubliez le mot de passe qui accompagne votre compte sur un site quelconque, il y a deux méthodes généralement utilisées pour vous permettre d’en générer un nouveau : soit vous recevez un courriel avec un lien à cliquer et le site vous permet de saisir un nouveau mot de passe, soit le site vous pose une ou plusieurs questions de sécurité et vérifie vos réponses avec ce que contient votre fiche.

Comment ça marche ?

Pour cette deuxième solution, ces questions font partie de la procédure d’inscription. Ils vous demandent de choisir une question parmi une liste prédéfinie (« nom de jeune fille de ma mère », « ville de naissance », « nom de mon premier animal de compagnie », etc) et la réponse qui va bien. Il faut parfois constituer 3 ou 4 couples de question/réponse car lorsque vous oubliez votre mot de passe, le site va choisir aléatoirement une ou plusieurs de ces questions et vous devrez indiquer les mêmes réponses correspondantes.

Premier problème : votre mémoire!

Et cette méthode pose de vrais problèmes de sécurité et de fiabilité. Tout d’abord, vous devez vous rappeler très précisément de chaque réponse puisque c’est un logiciel qui va la comparer avec celle donnée lors de l’inscription, et non un humain. En l’occurence, si vous aviez répondu « Genève » à « Quelle est votre ville de naissance ? », et que lors de la procédure de récupération du mot de passe vous répondez « genève » ou « Geneve », il y a fort à parier que votre réponse sera refusée.

Deuxième problème : ça n’a rien de sécurisé du tout !

Ensuite, et bien plus grave, ces questions sont contre-indiquées par nature et ne devraient pas être considérées comme des éléments authentifiants. Ce sont des questions simples sur votre vie privée. Et les réponses à ces questions se trouvent très souvent sur les réseaux sociaux ; on y trouve votre date de naissance, votre lieu de naissance, le nom de vos parents, de vos enfants, vos préférences cinématrographiques, etc.

Un hacker peut ainsi relativement facilement accéder à votre compte en devinant simplement les réponses que vous avez faites aux questions qui sont posées. Il y a des tonnes de cas concrets mais le plus médiatisé reste certainement celui de Sarah Palin.

Renverser la situation avec un gestionnaire de mots de passe

Comme Lily Hay Newman le suggérait déjà le 28.9.2016 dans son article « Time to Kill Security Questions » sur Wired.com, il est temps d’utiliser d’autres moyens d’identification.

Pour les sites qui appliquent toujours ces méthodes d’un autre âge, il y a néanmoins une méthode particulièrement confortable et sûre pour répondre à ces « questions de sécurité ».

Pendant la phase d’inscription, choisissez l’une des questions disponibles et utilisez le générateur de votre gestionnaire de mots de passe pour inventer une réponse. Ainsi, si vous optez pour la question « Quel était le nom de votre meilleur ami pendant votre adolescence ? », la réponse pourrait être « nor-cutting-rainfall ». Evidemment, votre ami portait probablement un prénom plus conventionnel, mais l’important est que la réponse corresponde à la question et qu’elle soit aléatoire. Et comme c’est un logiciel qui se charge du contrôle, la concept même de cohérence ou de vérité n’existe pas.

Les bons gestionnaires de mots de passe (comme le toujours excellent 1Password notamment) permettent d’ajouter des champs libres à chaque fiche de compte. Ainsi, vous pouvez indiquer le texte de la question retenue en guise d’étiquette et la réponse générée en guise de mot de passe. Lorsqu’une vérification d’identité sera nécessaire, comme dans l’exemple ci-dessous pour un compte iCloud, il suffira de retrouver la bonne réponse en fonction des questions choisies par le site, comme ceci :

Pourquoi avoir fait le choix d’un code constitué de plusieurs mots et non un mot de passe de 30 à 40 caractères aléatoires comme je le recommande dans l’article qui parle des règles de bonne pratique ? Parce que si vous devez communiquer ce code par téléphone à une personne d’un helpdesk en cas de blocage particulièrement compliqué (quand la procédure en ligne ne fonctionne plus), il sera beaucoup plus confortable de lui dicter 3 mots plutôt que gvx*hcTjfYYyPo(lxI8$9LZ6IK7E?k. Bien sûr, donner ce genre d’information au téléphone ne devrait jamais arriver mais de grands groupes (eBay.com) le pratiquent malheureusement encore.

Et la cerise on the cake de cette méthode : vous n’aurez plus besoin de vous souvenir de ce que vous avez indiqué, ou de la façon dont vous l’avez écrit : votre gestionnaire de mot de passe s’en souvient pour vous.

Allez, c’est le moment de mettre à jour ces questions de sécurité partout où elles sont utilisées !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *