Assortir son traditionnel mot de passe par une question secrte ne scurise plus aussi bien qu'avant un compte en ligne : un constat ralis par Google, qui pointe du doigt les rseaux sociaux.

Lorsqu'on oublie son mot de passe, il est frquent de devoir rpondre une question de scurit choisie par nous-mme pour dbloquer un compte en ligne. Une dmarche visant s'assurer que la personne qui veut accder au compte en est bien le propritaire lgitime, cens tre le seul pouvoir rpondre ladite question. Mais une tude publie par Google montre que la ralit n'est pas aussi simple aujourd'hui.

Logo Google

Dans l'tude publie cette semaine, les chercheurs de Google dressent plusieurs constats. Le premier, c'est que la rponse la question secrte est souvent oublie : ce serait le cas pour 40% des utilisateurs anglophones, qui se rabattraient 80% sur une mthode de rcupration par SMS.

La solution est donc, souvent, de mettre des questions aux rponses trs simples, et faciles retenir. Mais Google souligne que ce sont galement les rponses les moins scurises. La raison : les informations divulgues sur les rseaux sociaux permettent souvent d'y rpondre. De fait, les dmarches d'ingnierie sociale des pirates sont facilites par le fait que les internautes donnent souvent les cls de dblocage de leurs comptes sans en avoir conscience sur Facebook et ailleurs.

Quel est votre plat prfr ?

Les expriences ralises par Google mettent en lumire la simplicit de certaines questions. Un attaquant parvient, dans 20% des cas, trouver du premier coup la rponse la question Quel est votre plat prfr ? , soit en tapant une rponse au hasard, soit en cherchant des infos sur les rseaux sociaux.

L'une des solutions envisages pour renforcer la scurit via l'usage de questions est de multiplier ces dernires. En posant deux questions au lieu d'une seule, il est possible de faire baisser drastiquement le risque d'tre pirat par ce biais. La contrepartie, c'est que la dmarche est contraignante pour l'utilisateur qui doit retenir deux rponses au lieu d'une.

Google conclut en expliquant que le rel problme ne se trouve pas dans le systme de questions/rponses, mais dans l'utilisation qu'en fait l'internaute. La solution : utiliser la fois une question et d'autres solutions complmentaires, comme l'envoi d'un code par SMS, pour renforcer la scurit et ne pas uniquement compter sur sa mmoire.