Les questions secrètes visent à apporter une certaine sécurité. Pourtant, une étude de Google révèle les faiblesses de ce dispositif.
Ceux qui ont déjà été confrontés à la perte de leur mot de passe en ligne ont déjà eu à faire aux questions secrètes, des questions/réponses qui permettent en théorie de vérifier votre identité en vous interrogeant sur des informations que vous êtes normalement seul à connaitre.
Une étude de Google révèle les faiblesses de ce dispositif.
Un des problèmes, c’est que les réponses aux questions « Quel était le nom de votre premier professeur ? », « Comment s’appelle votre premier animal de compagnie ? », « Quelle est la couleur de votre voiture ? », « Quel est votre plat préféré ? », « Quel était le nom de jeune fille de votre mère ? », etc., sont des questions auxquelles les réponses sont très facilement trouvables. En effet, il est souvent possible d’obtenir ces réponses par un peu d’ingénierie sociale, notamment en fouillant dans les réseaux sociaux.
Par ailleurs, dans certains cas, il est simplement possible d’utiliser les répondes les plus répandues, comme « pizza » pour le plat préféré.
Il est bien évidemment possible d’améliorer le système est fournissant de fausses réponses. Le problème, c’est qu’il faudra se rappeler les réponses fournies le moment venu.
Il est aussi possible d’utiliser des questions plus compliquées, voire d’en combiner plusieurs. Mais cette approche est contraignante pour l’utilisateur.
En effet, si 79% des internautes répondent correctement à la question « Dans quelle ville êtes-vous né ? » alors que les pirates ne sont que 6,9%, ou que ces mêmes taux sont respectivement de 74% et 14,6% pour la question « Quel est le deuxième prénom de votre père ? », les chances de succès des pirates tombent à 1% si on combine ces deux questions, mais les utilisateurs ne sont aussi plus que 59% à répondre correctement.
En conclusion, Google ne prétend pas qu’il faut supprimer les questions secrètes, mais préconise d’y réfléchir plus sérieusement, que cela soit du côté des sites ou du côté des utilisateurs, notamment pour choisir soigneusement les questions et les réponses associées.
La firme de Mountain View recommande également de ne pas limiter la réinitialisation du mot de passe à cette seule méthode. L’option de l’envoi d’un code de récupération à une adresse e-mail secondaire ou par SMS sont des alternatives.
Si cet article a captivé votre intérêt, vous trouverez certainement les prochains tout aussi passionnants. Assurez-vous de ne rien manquer en vous abonnant à linformatique.org sur Google News. Suivez-nous aussi sur Facebook et Twitter.