Question de sécurité
Une question de sécurité (en anglais, security question) est une forme de secret partagé[1] utilisée comme authentifiant. Des questions de sécurité sont couramment utilisées par les banques, les fournisseurs d'accès à Internet et les fournisseurs de téléphone sans fil comme couche de sécurité supplémentaire.
Histoire
Les institutions financières utilisent des questions de sécurité pour authentifier leurs clients depuis au moins le début du XXe siècle. Dans un discours prononcé en 1906 lors d'une réunion d'une section de l'American Bankers Association (en), le banquier de Baltimore William M. Hayden a décrit l'utilisation par son institution de questions de sécurité en complément des fiches de signature des clients. Il a décrit les cartes de signature utilisées pour l'ouverture de nouveaux comptes, qui comportaient des espaces pour le lieu de naissance du client, son lieu de résidence, le nom de jeune fille de sa mère, sa profession et sa date de naissance[2].
Hayden a noté que certains de ces éléments étaient souvent laissés en blanc et que les informations relatives à la résidence étaient principalement utilisées pour contacter le client, mais que le nom de jeune fille de la mère était utile en tant que test d'identité fiable. Bien qu'il ait observé qu'il était rare qu'une personne extérieure à la famille du client essaie de retirer de l'argent d'un compte client, il a déclaré que le nom de jeune fille de la mère était utile pour la vérification parce qu'il était rarement connu en dehors de la famille et que même les personnes ouvrant les comptes étaient souvent surprises par cette question[2]. De même, selon la pratique moderne, les fournisseurs de cartes de crédit demandent souvent le nom de jeune fille de la mère d'un client avant d'émettre un remplacement pour une carte perdue[1].
Dans les années 2000, l'utilisation des questions de sécurité s'est généralisée sur Internet[1]. En tant que forme de réinitialisation de mot de passe en libre-service, les questions de sécurité ont permis de réduire les coûts des centres d'assistance informatique[1]. En autorisant l'utilisation des questions de sécurité en ligne, celles-ci sont cependant rendues vulnérables aux attaques par enregistrement de frappe et par devinette par force brute[3], ainsi qu'au hameçonnage[4]. En outre, alors qu'un représentant du service clientèle humain est capable de faire face de manière appropriée à des réponses de sécurité imprécises, mais acceptables, les ordinateurs sont moins doués. Ainsi, les utilisateurs doivent se souvenir de l'orthographe exacte et parfois même de la casse des réponses qu'ils fournissent, ce qui présente le risque que davantage de réponses soient notées, les exposant ainsi au vol physique.
Application
En raison de l'utilisation généralisée des médias sociaux, bon nombre des anciennes questions de sécurité traditionnelles ne sont plus sûres. Il est important de se rappeler qu'une question de sécurité n'est qu'un autre mot de passe. Par conséquent, une question de sécurité ne doit pas être partagée avec qui que ce soit, ni inclure des informations facilement accessibles sur les sites de médias sociaux, tout en restant simple, facile à mémoriser, difficile à deviner et constante dans le temps. Sachant que toutes les questions ne conviennent pas à tout le monde, l'entreprise de sécurité RSA propose aux banques 150 questions parmi lesquelles choisir leurs questions de sécurité[1].
Nombreux sont ceux qui remettent en question l'utilité des questions de sécurité[5] - [6] - [7]. Le spécialiste de la sécurité Bruce Schneier souligne que, puisqu'il s'agit de faits publics concernant une personne, ils sont plus faciles à deviner pour les pirates informatiques que les mots de passe. Les utilisateurs qui le savent créent parfois de fausses réponses aux questions, puis oublient ces réponses, ce qui va à l'encontre du but recherché et crée un inconvénient qui n'en vaut pas l'investissement[8].
Références
- Josh Levin, « In What City Did You Honeymoon? And other monstrously stupid bank security questions », Slate,
- William M. Hayden (1906), Systems in Savings Banks, The Banking Law Journal, volume 23, page 909.
- (en) Joseph Bonneau, Elie Bursztein, Ilan Caron, Rob Jackson et Mike Williamson, « Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google », International World Wide Web Conferences Steering Committee, Florence Italy, , p. 141–150 (ISBN 978-1-4503-3469-3, DOI 10.1145/2736277.2741691 , lire en ligne)
- (en-US) « Facebook users unwittingly partake in viral password hint scam by 'playing question games' », sur Your Content, (consulté le )
- Robert Lemnos, Are Your "Secret Questions" Too Easily Answered?, MIT Technology Review, May 18, 2009 (retrieved 21 May 2015)
- Victor Luckerson, Stop Using This Painfully Obvious Answer For Your Security Questions, Time Magazine, 21 May 2015 (retrieved 21 May 2015)
- Elie Bursztein, New Research: Some Tough Questions for ‘Security Questions’, 24th International World Wide Web Conference (WWW 2015), Florence, Italy, May 18 - 22, 2015; Google Online Security Blog, 21 May 2015 (retrieved 21 May 2015)
- Bruce Schneier, « The Curse of the Security Question »