Mot de passe : la mauvaise idée des questions secrètes
Une étude réalisée par Google prouve que la méthode des questions secrètes pour la récupération de vos mots de passe égarés est mauvaise. Pourtant, cette méthode est très fréquemment proposée par des services web en cas de perte de mot de passe.
Lors d’une inscription à un service web, il est demandé de fournir au moins un nom d’utilisateur et un mot de passe. En prévention de la perte éventuelle de ce mot de passe, il est également parfois demandé de choisir dans une liste de propositions de type questions secrètes et d’y fournir une réponse personnalisée, comme “nom de votre premier chien : youki».
A la perte du mot de passe, plusieurs procédures permettent de le récupérer ou de le réinitialiser et ces procédures incluent parfois ces questions de sécurité. Vous donnez votre réponse personnalisée et la procédure est couronnée de succès. Seulement voilà : cette méthode des questions secrètes est, selon Google, trop peu sûre.
Questions secrètes : ni sûres, ni fiables
La firme de Mark Zuckerberg s’est penchée sur le sujet des méthodes de récupération de mot de passe. En ce qui concerne l’emploi des questions de sécurité ou questions secrètes, voici les conclusions de l’étude : bien que ces questions à réponse personnalisée représentent une couche supplémentaire de sécurité, elles “ne sont ni sûres, ni assez fiables pour être utilisées seules comme un mécanisme de récupération de compte (et) cela parce qu’elles souffrent d’un défaut fondamental : leurs réponses sont soit peu sécurisées, soit faciles à retenir, mais rarement les deux», peut-on lire d’Elie Bursztein, ingénieur chez Google.
Les ingénieurs de Mountain View ont employé des méthodes automatisées d’analyse de questions et réponses secrètes utilisées par des utilisateurs lors de réelles demandes de récupération de mot de passe. Des centaines de millions de cas ont été étudiés et la probabilité qu’un pirate lambda puisse découvrir les réponses secrètes a été évaluée. Selon Google, cette probabilité reste bien trop élevée.
Des réponses simples à deviner ou faciles à oublier
Si les réponses aux questions secrètes coulent de source pour les utilisateurs, elles seront d’autant plus faciles à deviner pour les pirates. Elles ne sont donc, par définition, pas sécurisées. Toujours selon Bursztein, elles “contiennent souvent des informations communément connues ou accessibles au public, ou sont dans un petit ensemble de réponses possibles pour des raisons culturelles», comme des patronymes trop communs dans certains pays, comme Smith aux Etats-Unis, Suzuki au Japon ou Martin en France. Il y a aussi des questions du type “quel est votre plat préféré ?», et la réponse, selon la zone géographique ou la langue concernées, peut être parfois facile à deviner, comme le cas de “pizza», réponse utilisée par près de 20% des utilisateurs anglophones ! Souvent les pourcentages de chances de trouver la bonne réponse après seulement 10 tentatives dépassent les 40%, quand il s’agit de noms de famille ou de villes.
Ces chances de voir devinées les réponses aux questions secrètes diminuent très nettement quand les questions se compliquent. Un exemple est “quel est votre numéro de carte de bibliothèque ?». Ici, trouve la réponse demande au pirate l’emploi d’un algorithme de cassage de mot de passe. C’est déjà plus sûr. Mais la contrepartie est la suivante : les utilisateurs ont tendance à oublier purement et simplement les réponses à ces questions plus complexes, comme pour près de 80% dans le cas du numéro de carte de bibliothèque.
Aussi, chez Google, on a décidé de ne plus utiliser seulement les questions secrètes dans la procédure de demande de récupération de mot de passe. Elie Bursztein conseille d’ “utiliser d’autres méthodes d’authentification, telles que les codes de secours envoyés par SMS ou adresses e-mail secondaires, pour authentifier leurs utilisateurs et les aider à récupérer leurs comptes. Celles-ci sont à la fois plus sûres, et offrent une meilleure expérience utilisateur».