Nom de jeune fille, film préféré… Du bon usage des questions de sécurité
Quelles informations personnelles sont connues de vous seul(e) ? Le nom de jeune fille de votre grand-mère maternelle, ou encore, la marque et le modèle de votre première voiture ? Protégeant vos informations confidentielles des acteurs malveillants, les questions de sécurité (basées sur des connaissances qui vous sont propres) reposent sur l’idée que vous êtes la seule personne à pouvoir y répondre.
Ces questions ont longtemps été un moyen d’authentifier les utilisateurs, mais sont-elles toujours efficaces pour protéger vos données ? Nous présentons ici tout ce que vous devriez savoir à leur sujet, notamment comment optimiser leur efficacité.
La mauvaise façon d’utiliser les questions de sécurité
Voici les choses à ne pas faire :
- Réutiliser les questions et les réponses. L’utilisation des mêmes questions et réponses de sécurité est tout aussi déconseillée que la réutilisation de mots de passe : les informations peuvent déjà être disponibles sur le dark Web à la suite d’une faille de données sur un autre de vos comptes, ce qui signifie que les pirates ont déjà un vecteur d’intrusion.
- Les utiliser comme unique méthode de protection de vos données. Les questions de sécurité peuvent être utilisées conjointement à d’autres méthodes de sécurité, mais leur seule utilisation présente un risque.
- Utiliser des questions inefficaces. Certaines questions peuvent être trop difficiles à retenir pour les utilisateurs si elles concernent un détail très ancien ; il arrive que les réponses changent au fil du temps (par exemple, une question comme « Quel est votre film préféré ? »). Inversement, les réponses simples peuvent être faciles à deviner pour les pirates informatiques.
Peuvent-elles faire plus de mal que de bien ?
Dans un livre blanc de 2015 intitulé « Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google », une étude a révélé que les questions secrètes, au-delà de leur inefficacité potentielle, pouvaient même nuire à la sécurité.
Non seulement les questions difficiles telles que « Quel est votre numéro de voyageur fréquent ? » ont un faible taux de mémorisation (9 %), ce qui amène les utilisateurs à constamment réinitialiser leur mot de passe, mais les questions faciles à mémoriser sont également faciles à pirater. Les questions sur les aliments préférés ou le deuxième prénom du père ne génèrent pas de réponses suffisamment uniques. Si vous êtes une personne de premier plan, ces types de données personnelles peuvent potentiellement être trouvés en ligne. Sinon, les pirates informatiques peuvent toujours utiliser des attaques par force brute pour dénicher la réponse à une question de sécurité.
La bonne façon d’utiliser les questions de sécurité
Si les questions de sécurité ne sont pas le moyen le plus efficace d’empêcher une faille de données, il existe toutefois des manières intelligentes de les utiliser. Voici nos conseils :
- Utilisez des questions efficaces. Les questions doivent être faciles à mémoriser, suffisamment personnelles pour que vous soyez le ou la seul(e) à connaître la réponse, et induire suffisamment de réponses potentielles pour que les pirates ne puissent pas les deviner lors d’une attaque par force brute. La plateforme de protection des identités Okta recommande d'utiliser une question comme « Dans quelle ville vos parents se sont-ils rencontrés ? », axée sur un détail très personnel et dotée de nombreuses réponses possibles, ce qui rend la vraie réponse difficile à deviner pour des pirates.
- Utilisez plusieurs questions. Si vous êtes en mesure d’influencer vos politiques de sécurité au travail, incluez plusieurs questions définies tantôt par l’utilisateur, tantôt par le système. Les questions définies par l’utilisateur sont sélectionnées par ce dernier dans un menu déroulant (par ex. « Quel était votre professeur d’école primaire préféré ? »), alors que les questions définies par le système utilisent des informations déjà recueillies sur un utilisateur (par ex. la date de naissance).
- Passez en revue et renouvelez vos questions. De temps à autre, vérifiez et assurez-vous que vous ou vos collaborateurs vous souvenez des réponses aux questions de sécurité. Le fait de passer en revue ces questions et réponses vous permet de les garder en mémoire, afin d’éviter de recourir à une récupération de compte à l’avenir.
- Fournissez de « fausses » réponses. La réponse à une question de sécurité peut être traitée comme un mot de passe et consister en une chaîne aléatoire de chiffres et de lettres, au lieu d’une réponse pouvant être piratée.
- Enregistrez les réponses de manière sécurisée. Si vous souhaitez enregistrer les réponses aux questions de sécurité, il est recommandé de le faire dans un gestionnaire de mots de passe et de les chiffrer à l’aide d’algorithmes de hachage, par exemple.
Alternatives aux questions de sécurité
Il existe des moyens plus sûrs de protéger vos données :
- Technologie biométrique : Face ID et Touch ID sont plus efficaces que les questions de sécurité contre le piratage. Les outils de reconnaissance faciale, vocale et tactile enregistrent vos données sur votre appareil plutôt que dans un système. Les utilisateurs n’ont rien à retenir, et les données sont propres à chaque individu.
- Authentification à plusieurs facteurs : Les applications d’authentification requièrent l’autorisation de l’utilisateur via un deuxième appareil et instaurent une contrainte de temps, ce qui les rend hautement sécurisées.
- Mots de passe forts. Cela peut paraître évident, mais les mots de passe forts sont plus efficaces que les questions de sécurité contre le piratage, surtout si vous utilisez un gestionnaire de mots de passe pour enregistrer ces derniers en toute sécurité.
Inscrivez-vous pour connaître toute l'actualité de Dashlane