Discussion :

[Michael Guilloux]

Faut-il continuer à utiliser les questions de sécurité pour protéger les comptes des utilisateurs ?
Une étude de Google livre ses conclusions

Vous avez probablement déjà répondu à des questions du genre « quel est le nom de jeune fille de votre mère ? » ou encore « quel est votre plat préféré ? », lors de la création d’un compte de messagerie par exemple.

Ces questions dites de sécurité ou questions secrètes sont utilisées par de nombreux services en ligne pour aider les utilisateurs à récupérer leurs comptes s’ils oublient leurs mots de passe. Elles sont également considérées comme une couche supplémentaire de sécurité pour se protéger contre les connexions suspectes.

Toutefois, une nouvelle étude de Google révèle que « les questions secrètes ne sont ni sûres, ni assez fiables pour être utilisées seules comme un mécanisme de récupération de compte. » A écrit Elie Bursztein, ingénieur de Google. « Cela, parce qu'elles souffrent d'un défaut fondamental : leurs réponses sont soit peu sécurisées, soit faciles à retenir, mais rarement les deux. » A-t-il ajouté.

Google a pu parvenir à cette conclusion après avoir analysé des centaines de millions de questions et réponses secrètes qui avaient été utilisées pour des millions de demandes de récupération de compte. La firme a également mesuré la probabilité pour les pirates de deviner les réponses.

Suite à l’analyse des demandes de récupération de compte, un résultat évident est que les réponses faciles ne sont pas sécurisées. Elles « contiennent souvent des informations communément connues ou accessibles au public, ou sont dans un petit ensemble de réponses possibles pour des raisons culturelles (par exemple, un nom de famille commun dans certains pays). » Explique Bursztein.

L’étude montre en effet qu’un un seul essai suffit à un attaquant pour deviner avec 19,7% de chance les réponses des utilisateurs anglophones à la question « quel est votre plat préféré ? ». La plupart ont répondu 'pizza'. Avec 10 essais, l’attaquant aurait 24% de chance de deviner la réponse des utilisateurs arabophones à la question « quel est le nom de votre premier professeur ?» et 21% de chance de trouver les réponses des utilisateurs hispanophones à la question « quel est le nom de votre père ? » Dix essais suffisent encore pour permettre au pirate de trouver les réponses des utilisateurs parlant le coréen à la question « quelle est votre ville de naissance ? » avec 39% de chance, et de deviner leur nourriture préférée avec 43% de chance.

Si les réponses faciles ne sont pas sûres, l’étude montre cependant que les questions et réponses difficiles ne sont pas non plus utilisables pour la simple raison qu’il est difficile pour les utilisateurs de s’en souvenir. En effet, 40% des utilisateurs américains anglophones ne pouvaient pas se rappeler les réponses aux questions secrètes quand ils en avaient besoin. Dans seulement 22% des cas, les utilisateurs se sont souvenu de la réponse à la question potentiellement plus sûre « quel est votre numéro de carte de bibliothèque ? », alors qu’à la question plus facile « quel est le nom de votre père ? », le taux de réussite était de 76%.

Si les réponses faciles ne sont pas difficiles à deviner par les pirates, une solution serait d’ajouter plusieurs questions de sécurité faciles. L’utilisation de plusieurs questions secrètes réduit la probabilité pour un pirate de deviner les bonnes réponses à la fois, mais cela diminue également la probabilité pour l’utilisateur de se souvenir des réponses quand il en a besoin. Pour cette raison, Google n’utilise pas plus d’une question de sécurité et en déconseille l’utilisation.

Vu les résultats de l’étude, Google a décidé de ne plus utiliser les questions de sécurité seules, même au pire des cas, comme preuve de propriété d’un compte lors de la récupération. Le géant de l’IT invite également les propriétaires de sites à « utiliser d'autres méthodes d'authentification, telles que les codes de secours envoyés par SMS ou adresses e-mail secondaires, pour authentifier leurs utilisateurs et les aider à récupérer leurs comptes. Celles-ci sont à la fois plus sûres, et offrent une meilleure expérience utilisateur. » A écrit l’ingénieur de Google.

Source : Blog Google

Et vous ?

Que pensez-vous des résultats de l’étude ?

[azias]

Pour moi ce sont surtout des questions d'anti-sécurité, si on m'oblige à répondre à ce genre de question je met une suite de caractères quelconque.

Il m'est déjà arrivé, pour un association, de récupérer en 5 min l'accès à un compte et à modifier le mot de passe grâce à ce genre de choses alors même que la "question de sécurité" était elle-même saisie directement par le précédent administrateur. Bref, il se trouve que la réponse à la question était connue de toute personne qui avait fréquenté cette association dans ses premières années. Alors quand je vois que la plupart du temps on vous demande le nom de jeune fille de votre mère ou le nom de votre chien: que des infos qui se trouvent en 5 min via google/facebook.

La seule utilité de se truc serait d'y mettre une pass phrase de secours, mais si on oubli le mot passe principal il y a peu de chance qu'on se souvienne du pass de secours.

Pour moi si on a oublié son mot de passe, eh bien tant pis. C'est ça la sécurité.

Rappelons au passage que les mots de passe ça se change au moins une fois par an, au passage ça permet de se rafraîchir les neurones sur les mots de passe qu'on utilise le moins souvent.

[MikeRowSoft]

Il devrait plutôt demander si il faut crypter ces informations et même l'adresse e-mail de secours utilisé quelque fois. Informations qui se retrouvent dans des bases d'informations ayant peut-être une ou plusieurs applications extérieurs pour les crypter. Le décryptage n'ayant aucun lieu d'être dans se cas là, puisque qu'une comparaison peut suffire.

[defq0n]

Je suis du même avis que toi Olreak, mais tu as oublie un autre point concernant la politique de gestion de ses MDP, peut-être même plus important que les changent régulièrement : un MDP doit être unique et associé à un seul service à la fois. (Par exemple, le MDP twitter est diffèrent de celui de Facebook, qui est lui-même diffèrent que celui pour les mails, qui et lui-même ….)

Perso mon petit truc, c’est ce genre de passe phrase avec des [variables] très faciles à retenir :
Pour un compte Google :
1 MDP pour [Google], avec [6] [$$$$$$]

Pour un compte Facebook :
1 MDP pour [Facebook], avec [6] [$$$$$$]

Pour le point que tu as souligné on pourra rajouter une autre variable avec l’année, voir le mois pour plus de sécurité. Mais je pense que les utilisateurs lambda c'est très contraignant et donc peu efficace car peu utilisé de changer régulièrement. Il faudrait le faire à la main, puisque confié ce genre de procédure à un script c’est moyen pour la sécurité. Du coup ça peut être très très long en fonction du nombre de login. Ce qui donnerait ce genre de chose :

Pour un compte les [Mail] :
1 MDP pour [Mail], avec [6] [$$$$$$] pour l’année [2015]

[MintWater]

Ces questions dites de sécurités sont complètement absurdes, et ça ne date pas d'aujourd'hui. L'affaire du piratage des comptes de Sarah Palin (http://en.wikipedia.org/wiki/Sarah_Palin_email_hack) n'est qu'un exemple parmi tant d'autres.
J'ai vraiment du mal à croire que Google commence seulement à s'en soucier.
Il n'existe pas de solution fiables à 100% en sécurité, mais en matière de gestion des comptes, il faut sérieusement s'inquiéter quand on a une question comme l'article en fait mention (non le nom de mon chien n'est pas un secret).
De la même façon, il vaut mieux abandonner lorsqu'on reçoit son mot de passe par mail : d'une part les mails sont très généralement non sécurisés, d'autre part cela laisserait supposer qu'il est stocké en clair (surtout si on le reçoit après une action de "mot de passe oublié").
Plutôt que de me proposer de retrouver mon mot de passe, j'aime autant qu'on me permette d'en saisir un nouveau.

[tbarry]

Sans parler des compagnie sérieuses comme: bouyguestelecom, easyjet, colissiomo(la poste) , etc. qui forcent l'utilisateur à ne pas utiliser des caractères spéciaux dans le mot de passe, je n'ai jamais compris pourquoi.

[23JFK]

M'enfin, ce n'est pas parce qu'il est demandé "Quelle est le nom de votre animal de compagnie ?" Qu'il faut obligatoirement répondre Rufus. Pour ma part je considère ce genre de questions sécuritaires comme un système de mdp secondaire que je renseigne donc avec pratiquement la même exigence qu'un mdp classique, par exemple : 0yHHt52PQdzHNrxqAmjmigvU6i18Si6oQ , j'évite néanmoins l'usage de caractères spéciaux, l'expérience m'ayant enseigné que certains sites les gèrent mal et peuvent de ce fait, à l'occasion d'une mise-à-jour foireuse, rendre les mdp avec caractères spéciaux invalides (ce qui peut être problématique pour certains sites qui désactivent un compte après N refus de connexion). Mais cela doit suffire pour stopper qu'un voleur de compte quelques millions d'années... En plus, cela fait travailler la mémoire à long terme.