Selon Google, les questions de sécurité pour récupérer son mot de passe ne valent rien

Que celui qui n’a jamais oublié son mot de passe jette le premier Lolcat. La vie d’un internaute est aujourd’hui inséparable de cette chaîne de caractères, que l’on veut toujours plus longue, toujours plus complexe, toujours plus difficile à retenir. Alors, lorsqu’un utilisateur oublie son mot de passe, il est confronté à ces mêmes questions qui reviennent inlassablement. « Quel est le prénom de votre premier animal de compagnie? » « Quel est le nom de jeune fille de votre mère? » « Quelle est votre ville de naissance ? » Mais sont-elles vraiment efficaces? Pour Google, la réponse est non.

            {"type":"Pave-Haut2-Desktop"}
          

Deux employés de la multinationale, Elie Bursztein et Ilan Caron, ont mené une étude sur le degré de sécurisation lié aux questions de sécurité qui servent à récupérer un mot de passe lorsqu’on ne parvient plus à s’en souvenir. Le résultat est sans appel: « Les questions de sécurités sont soit sécurisées, soit faciles à retenir, mais rarement les deux à la fois. »

D’après Google, les réponses données à ces questions sont tellement évidentes, ou classiques, que les outils que les pirates utilisent peuvent les deviner en moins de 10 essais. Bursztein et Caron ont analysé des « centaines de millions » de questions de sécurité ainsi que leurs bonnes réponses pour arriver à ce constat. Ils ont détaillé deux schémas les plus classiques, qu’ils ont regroupés dans une infographie (lien pour l’image complète).

La réponse est trop simple, donc pas assez sécurisée

Avec un seul essai, un pirate a 17% de chance de trouver la réponse à la question « Quelle est votre nourriture préférée ? » quand l’utilisateur est anglophone (la pizza semble fortement appréciée sur internet). En dix essais, il a 43% de chance de trouver la réponse à la même question lorsque l’internaute a répondu en coréen. Les exemples sont simples et illustrent bien le principal souci des questions générales ; beaucoup d’internautes partagent les mêmes goûts. Aussi, certaines réponses sont extrêmement populaires et donc extrêmement faciles à deviner. Un internaute se souviendra qu’il adore la pizza, mais son mot de passe deviendra beaucoup trop facile à trouver.

La réponse est sécurisée, mais il est trop difficile de s’en souvenir

L’autre cas le plus fréquent revient à choisir une question qui appelle une réponse très compliquée. C’est malin pour éviter de se faire pirater, mais il faut disposer d’une bonne mémoire (ou d’un post-it bien caché dans un endroit secret) (et on oublie tout de suite le fichier en .doc intitulé « mots de passe » disposé bien en évidence sur son bureau). « Quel est votre numéro de carte de bibliothèque? » ou « quel était le surnom de l’école primaire de votre second cousin germain? » sont des énigmes qui semblent faciles à résoudre sur le moment, mais lorsqu’il s’agit de s’en souvenir un an plus tard, c’est une autre histoire.

A la question « Quel est votre numéro de carte de fidélité de compagnie aérienne? » choisie par les utilisateurs des applications de Google, seuls 9% des internautes en question ont en effet réussi à se souvenir de leur réponse. Le mot de passe est ainsi protégé contre les attaques… mais aussi contre son propre propriétaire.

Quelle solution ?

Selon les deux ingénieurs, une des solutions serait donc de multiplier le nombre de questions de sécurité, en demandant par exemple deux à la suite. Problème : « le taux de récupération des mots de passe chute alors de manière significative« . Dans l’exemple ci-dessous, on passe en effet d’un taux de récupération de 79% et 74% pour une seule question, à seulement 59% quand les deux questions sont posées à la suite.

Google encourage ainsi ses utilisateurs à vérifier souvent leurs paramètres de confidentialité et de changer la question de sécurité s’ils ne se souviennent plus de la réponse. D’autant plus que d’après un questionnaire soumis à 1500 Américains, la multinationale s’est rendu compte que 62,8% des internautes interrogés ne pensaient pas qu’un pirate pouvait avoir l’idée de trouver la réponse à leur question secrète pour récupérer leur mot de passe. Un comble.