Quel est le point commun entre le nom de jeune fille de votre mère, votre premier animal de compagnie et l’année où vous avez rencontré votre moitié ?
La dernière fois que vous avez dû vous rappeler de l’un de ces détails personnels, c’était probablement dans le cadre d’une question de sécurité.
Contenu:
En général, une question de sécurité est posée comme mesure secondaire pour vérifier votre identité lorsque vous tentez d’accéder à un compte privé. Son but est d’ajouter une sécurité supplémentaire, en supposant qu’un utilisateur non autorisé ne répondra pas correctement et se verra refuser l’accès.
Une question de sécurité peut vous être posée par téléphone ou après avoir accédé à un compte en ligne. Les questions de sécurité sont simples à mettre en place et il est facile d’y répondre. C’est probablement la raison pour laquelle elles sont encore couramment utilisées par les entreprises, bien que les experts en cybersécurité s’accordent à dire qu’elles ne sont pas sûres.
Qu’il s’agisse de créer des questions de sécurité ou d’y répondre, vous pouvez réduire les risques en connaissant les vulnérabilités les plus courantes et les bonnes pratiques.
Qu’est-ce qu’une question de sécurité ?
Les questions de sécurité sont une forme d’authentification. Une personne au téléphone ou un message sur votre écran pose les questions pour vérifier votre identité. L’utilité des questions de sécurité repose sur l’hypothèse que vous êtes la seule personne capable de répondre correctement à la question.
Questions de sécurité définies par l’utilisateur
Les questions définies par l’utilisateur sont comme un questionnaire. En tant qu’utilisateur, vous participez à leur mise en place sur votre compte. Vous pouvez choisir les questions auxquelles vous souhaitez répondre, généralement à partir d’une liste, et rédiger vous-même les réponses.
Ces questions de sécurité peuvent être ouvertes et portent généralement sur des informations personnelles concernant votre famille ou votre passé.
Questions de sécurité définies par le système
Les questions de sécurité définies par le système ressemblent davantage à un quiz. Le demandeur choisit la question et connaît déjà la bonne réponse.
Votre banque peut utiliser des questions définies par le système lorsque vous appelez un représentant concernant votre compte. Comme votre banque dispose d’une multitude d’informations personnelles et financières, il est facile de poser des questions définies par le système.
Par exemple, « quel a été votre dernier achat ? » ou « Qui d’autre est autorisé à retirer de l’argent de votre compte ? » sont d’excellentes questions de sécurité. Il est facile pour vous de fournir la réponse et très difficile pour les autres de la deviner.
Cet article se concentre sur les questions de sécurité définies par l’utilisateur les plus courantes, sur leurs vulnérabilités et sur la manière d’améliorer leur sécurité.
Pourquoi les questions de sécurité ne sont pas sûres
Si vous avez déjà entendu parler du « problème du mot de passe », les failles de sécurité des questions de sécurité vous sont familières. Pour résumer, le problème est la combinaison d’une mauvaise hygiène cybernétique et d’une grande vulnérabilité au piratage.
Les utilisateurs ont tendance à choisir des mots de passe faciles à retenir, mais qui finissent aussi par être très faciles à pirater. Les réponses relatives à la sécurité sont elles aussi susceptibles d’être sélectionnées dans la précipitation et de privilégier la facilité de mémorisation.
En fait, à l’instar des mots de passe, les questions de sécurité font peser sur les utilisateurs une trop lourde responsabilité en matière de protection de leur confidentialité. À bien des égards, les questions de sécurité sont encore plus vulnérables que les mots de passe. Voici pourquoi.
Les entreprises choisissent les mêmes questions de sécurité
Les mêmes questions personnelles ayant les mêmes réponses, la répétition des questions sur plusieurs sites web implique que si votre réponse est divulguée, par exemple dans le cadre d’une fuite de données, elle peut débloquer l’accès à plusieurs sites web ou comptes à la fois.
Les réponses aux questions de sécurité sont trop faciles à pirater
Comme vous vous en doutez peut-être déjà, il ne faut pas partir du principe selon lequel vous êtes le seul à pouvoir répondre correctement à la question de sécurité. Pour un intrus ou un cybercriminel motivé, trouver la réponse qui déverrouille votre compte peut être un jeu d’enfant.
Les réponses aux questions de sécurité peuvent être découvertes par différents moyens :
Techniques de piratage conventionnel . Comme pour toutes les données personnelles, les intrus peuvent utiliser l’ingénierie sociale comme le phishing par exemple pour dérober vos données ou vos réponses de sécurité elles-mêmes.
Deviner. En jouant sur les probabilités ou en utilisant des indices contextuels, les réponses peuvent être faciles à deviner, en particulier lorsqu’elles sont tirées d’un nombre limité de réponses possibles.
Enquête. Si vos réponses s’appuient sur des informations publiques, les cybercriminels peuvent les repérer grâce à un peu de surveillance.
Famille. Les personnes qui vous sont chères, vos amis ou vos ex peuvent déjà connaître vos réponses parce qu’ils connaissent l’histoire de votre vie.
Une question de sécurité s’apparente à une invite de mot de passe contenant de nombreux indices, ce qui donne trop d’informations à un pirate potentiel. La question indiquera probablement le format (alpha ou numérique) et peut même indiquer un choix restreint de réponses.
Certaines questions de sécurité sont meilleures que d’autres
Comme indiqué plus haut, les questions de sécurité ne répondent pas à un niveau de sécurité suffisant. Néanmoins, certaines questions sont meilleures que d’autres, et l’utilisation de bonnes questions peut atténuer les risques de cette méthode d’authentification.
Ce qui rend les questions de sécurité plus ou moins sûres est mesuré par les réponses qu’elles appellent de la part des utilisateurs. Les réponses plus sûres suivent à peu près les mêmes orientations que les mots de passe forts. Elles doivent être uniques et difficiles à deviner.
Exemples de mauvaises questions de sécurité
Une mauvaise question de sécurité demande soit une réponse trop difficile à trouver par l’utilisateur, soit trop facile à deviner pour un criminel.
Mauvaise question de sécurité | Qu’est-ce qui la rend mauvaise ? |
---|---|
Quel est le nom de jeune fille de votre mère ? | Trop classique. Comme pour les mots de passe, il est déconseillé d’utiliser les mêmes questions et réponses d’un site à l’autre. Si vos questions et réponses sont divulguées, elles peuvent être utilisées pour déverrouiller plusieurs comptes. |
Quelle est la date de votre anniversaire ? | Non personnel. Les escrocs peuvent trouver ces informations en fouillant un peu sur les réseaux sociaux ou en consultant des sites de collecte de données. |
Quelle est la date de votre anniversaire de mariage ? | Non applicable. Les questions doivent être aussi largement applicables que possible afin que tout le monde puisse les utiliser à des fins de sécurité. |
Quel est votre parfum de glace préféré ? | Pas constant. Les questions de goût peuvent changer au fil du temps, ce qui fait que les utilisateurs ont du mal à se souvenir de leurs réponses. |
Quelle est votre couleur préférée ? | Trop prévisible. Bien entendu, la liste des noms de couleurs est illimitée. Toutefois, les utilisateurs ont généralement plus tendance à choisir « bleu » ou l’une des sept couleurs de l’arc-en-ciel plutôt que « coquelicot ». |
Exemples de meilleures questions de sécurité
Une bonne question présente toutes les caractéristiques qui font défaut à une mauvaise question de sécurité. Il vous est facile de répondre à une bonne question de sécurité, mais cette réponse est difficile à trouver par un cybercriminel.
Meilleure question de sécurité | Qu’est-ce qui la rend meilleure ? |
---|---|
Quel est le nom de votre manager préféré au travail ? | Unique. Une bonne question doit être originale et ne pas être une question de sécurité standard. |
Qui est votre méchant préféré au cinéma ? | Confidentiel ou impossible à découvrir. Il est peu probable qu’un utilisateur documente ou publie ces informations. |
Quel est le nom de jeune fille de votre grand-mère maternelle ? | Applicable. L’applicabilité universelle est un défi et la meilleure façon de le relever est de poser des questions multiples. Toutefois, les questions doivent s’appliquer au plus grand nombre de personnes possible. |
Dans quelle rue avez-vous habité pendant votre première année de lycée ? | Constant. Les questions relatives à l’historique des utilisateurs sont statiques. |
Quel était le nom de votre peluche préférée dans votre enfance ? | Imprévisible. Les questions doivent donner lieu à autant de réponses différentes que possible. |
Une bonne question de sécurité est un exercice d’équilibre. Les questions qui encouragent des réponses plus sûres, plus uniques et plus variables risquent d’être difficiles à mémoriser par les utilisateurs. Idéalement, en plus des conseils ci-dessus, les questions doivent susciter des réponses mémorables et directes.
Bonnes pratiques pour des questions de sécurité sûres
Vous pouvez tirer le meilleur parti des questions de sécurité en mettant en œuvre ces bonnes pratiques.
Pour créer des questions (pour les entreprises)
Les questions de sécurité ne sont pas une mauvaise idée dans le cadre d’une protection secondaire. À long terme, les entreprises devront commencer à passer à un deuxième facteur d’authentification plus sûr, mais en attendant, les questions de sécurité valent mieux que rien.
Conseil : aider les utilisateurs à pratiquer une bonne hygiène en matière de questions de sécurité
Votre protocole de questions de sécurité doit permettre aux utilisateurs d’adopter le plus facilement possible un comportement sûr. Utilisez les mesures suivantes pour assurer l’adhésion de vos utilisateurs.
Utilisez plusieurs questions et laissez les utilisateurs choisir celles qui leur conviennent le mieux.
Créez de « meilleures » questions qui reflètent les caractéristiques décrites ci-dessus.
Empêchez les utilisateurs de choisir de fausses réponses courantes telles que 123456.
Invitez les utilisateurs à renouveler régulièrement leurs questions et leurs réponses.
Enfin, dans le cadre d’un programme de cybersécurité plus global, les entreprises doivent assurer la sécurité des données sensibles des utilisateurs grâce à un stockage chiffré de bout en bout afin de réduire le risque de fuites de données personnelles.
Pour répondre aux questions de sécurité (pour les utilisateurs)
Compte tenu de ce que vous savez à présent, vous pouvez opter pour un second facteur d’authentification lorsque vous avez le choix. Toutefois, si ce n’est pas le cas, vous pouvez pratiquer une meilleure hygiène des questions de sécurité en sélectionnant des questions plus sûres qui donnent lieu à des réponses plus difficiles à deviner.
Conseil : utiliser de fausses informations
Comme les réponses de sécurité présentent des vulnérabilités équivalentes à celles des mots de passe, elles peuvent être sécurisées de la même manière.
Traitez vos réponses de sécurité comme des mots de passe. Elles doivent être uniques et consister en une série aléatoire de caractères alphanumériques et de symboles d’au moins vingt caractères. Si le format de la réponse est imposé, donnez une « mauvaise » réponse.
Bien qu’il s’agisse d’une mesure de sécurité importante, cette méthode présente un risque pour l’utilisateur : vous pouvez oublier soit la fausse réponse, soit le « mot de passe ».
Pour éviter cela, vous pouvez sauvegarder la réponse à votre question dans votre gestionnaire de mots de passe.
Des alternatives plus sûres aux questions de sécurité
Les technologues continuent de développer de nouveaux moyens plus fiables de vérifier l’identité des personnes, afin de rationaliser l’authentification et de contrer les cyberattaques. Selon la manière dont on classe les nombreux types d’authentification, on peut arriver à huit types ou « facteurs » différents.
Pour l’instant, limitons-nous à l’essentiel. La manière la plus élémentaire de classer les facteurs d’authentification est la suivante :
quelque chose que vous connaissez
quelque chose que vous êtes
quelque chose que vous avez
Les mots de passe et les questions de sécurité entrent dans la catégorie « quelque chose que vous connaissez ». Voici quelques-unes des alternatives les plus courantes à ce type d’authentification.
Authentification biométrique
L’authentification biométrique utilise vos caractéristiques physiques uniques pour vous identifier : c’est « quelque chose que vous êtes ». Les empreintes digitales et la reconnaissance faciale sont les identifiants biométriques les plus courants.
L’avantage de l’authentification biométrique est qu’elle est unique, difficile à voler et qu’elle est toujours sur vous. Cependant, vous devez être conscient des risques associés au fait de lier vos caractéristiques physiques immuables à l’accès à vos comptes.
Authentification sans mot de passe
L’authentification sans mot de passe a récemment fait l’objet de nombreuses discussions, grâce aux efforts de l’alliance FIDO (Fast Identity Online), une coalition mondiale dont NordPass est membre. L’organisation s’efforce de réduire la dépendance du monde entier à l’égard des mots de passe.
L’authentification sans mot de passe est une vaste catégorie d’authentification définie par ce qu’elle n’est pas. Ayant conscience des vulnérabilités des authentifications de type « quelque chose que vous connaissez », comme les mots de passe et les questions de sécurité, l’authentification sans mot de passe s’appuie sur une combinaison d’autres facteurs, en mettant l’accent sur la facilité d’utilisation.
Parmi les méthodes d’authentification sans mot de passe les plus courantes, citons le type « quelque chose que vous avez », tel qu’un jeton physique. Yubikey en est un exemple.
Authentification multifacteur
Tout en sachant qu’aucun type d’authentification n’est parfaitement sûr, l’authentification multifacteur utilise plusieurs facteurs pour vérifier votre identité. Utiliser plusieurs facteurs à la fois, c’est comme appliquer l’approche des trous de l’emmental à la cybersécurité. Bien que toutes les méthodes d’authentification soient imparfaites, elles deviennent beaucoup plus robustes lorsqu’elles sont utilisées ensemble.
L’authentification multifacteur est une pratique de cybersécurité exemplaire et continue à figurer en tête de liste des recommandations de cybersécurité dans le cadre des orientations générales et de la conformité réglementaire.
La force de cette méthode repose notamment sur sa diversité. Lorsque plusieurs méthodes d’authentification sont combinées sans varier, comme les mots de passe et les questions de sécurité, on parle d’authentification à deux facteurs.
Pour créer une authentification à plusieurs facteurs, ajoutez « quelque chose que vous avez » ou « quelque chose que vous êtes » à l’authentification par mot de passe ou par question de sécurité.
Conclusion
Les questions de sécurité sont susceptibles de faire l’objet de fraudes, ce qui en fait un facteur d’authentification imparfait. Toutefois, comme elles sont faciles à mettre en œuvre et que les entreprises sont soumises à une pression croissante pour renforcer leur cybersécurité, il y a fort à parier que les questions de sécurité ne disparaîtront pas de sitôt. Et, pour être clair, les ajouter en tant que deuxième facteur est mieux que rien.
Quant à vous, utilisateurs, vous pouvez surmonter les vulnérabilités les plus courantes des questions de sécurité en les traitant tout simplement comme des mots de passe et en stockant les (fausses) réponses dans votre gestionnaire de mots de passe.
De même, les entreprises qui doivent passer à des méthodes d’authentification plus fortes peuvent encourager leurs utilisateurs à adopter un comportement sûr en suivant les bonnes pratiques et en faisant preuve de diligence raisonnable en matière de sécurité des données.