Proton

Quel était le nom de votre premier animal de compagnie ? Dans quelle ville êtes-vous né(e) ?

Nous avons tous dû répondre à ces questions pour réinitialiser un mot de passe oublié depuis longtemps, mais réfléchissons à leur fonctionnement. D’autres personnes peuvent facilement trouver ces informations et vous pouvez facilement les oublier, ce qui en fait une mauvaise défense pour vos comptes en ligne les plus précieux, vos données personnelles et vos informations sensibles.

Les questions secrètes (ou de sécurité) sont censées aider à réinitialiser les mots de passe, rouvrir les comptes verrouillés et protéger vos espaces numériques contre les attaques ou les fuites, mais une telle protection est considérée comme défectueuse et peu fiable(nouvelle fenêtre).

Une importante fuite de données chez Yahoo(nouvelle fenêtre) a mis en évidence les dangers de se reposer sur les questions de sécurité pour protéger vos comptes. La fuite a exposé les données personnelles de 500 millions de comptes utilisateurs, y compris leurs noms, adresses e-mail, numéros de téléphone et les questions et réponses secrètes utilisées pour la récupération de leur compte.

Cet article va examiner pourquoi les questions de sécurité sont en réalité néfastes pour votre sécurité et quelles mesures vous pouvez prendre pour mieux protéger vos données privées les plus sensibles.

Qu’est-ce qu’une question secrète (ou de sécurité) ?

Lorsque vous êtes bloqué hors d’un compte, il est courant de devoir répondre à des questions secrètes pour regagner l’accès ou réinitialiser les mots de passe. Cette couche de sécurité est courante et utilisée sur de nombreuses plateformes, qu’il s’agisse de la messagerie électronique, des réseaux sociaux ou des sites internet de services bancaires et de commerce.

Les réponses à des questions comme « Quel est le nom de jeune fille de votre mère ? » sont censées être des informations que vous êtes la seule personne à connaître, avec un nombre restreint de personnes, en théorie. En effet, moins la réponse est connue, plus la sécurité est élevée.

Cependant, les experts ont commencé à remettre en question l’efficacité(nouvelle fenêtre) de cette couche de sécurité en raison des vulnérabilités liées au fait de demander aux gens de se souvenir d’informations qui peuvent être oubliées, modifiées ou découvertes par des attaquants potentiels en fouillant sur internet.

Pourquoi les questions secrètes sont une mauvaise idée ?

Plusieurs raisons expliquent pourquoi il est déconseillé de s’appuyer sur les questions de sécurité pour se protéger. Cela se résume à deux réalités malheureuses : les attaquants potentiels sont plus astucieux que vous ne le pensez et il y a plus d’informations personnelles en ligne que vous ne le réalisez.

Voici un aperçu des raisons pour lesquelles les questions de sécurité sont le maillon le plus faible des mesures de sécurité :

  • Prévisibilité(nouvelle fenêtre) : des questions secrètes courantes comme « Quelle est votre couleur préférée ? » peuvent être trop génériques et facilement prévisibles, la CNIL estime qu’elles font courir des risques aux utilisateurs sur leurs données personnelles(nouvelle fenêtre). Quand le nombre de réponses possibles est faible, il est beaucoup plus facile pour un attaquant potentiel de deviner.
  • Accessibilité : à une époque où les gens gèrent plusieurs comptes sur divers réseaux sociaux, les attaquants peuvent souvent trouver les réponses aux questions de sécurité en fouillant un peu dans vos profils publics. Ils peuvent établir votre profil sur la base de vos messages, en exploitant des informations accessibles au public pour contourner les mesures de sécurité et accéder à votre compte.
  • Oubli : les préférences et les informations changent au fil du temps, ce qui rend souvent difficile de se rappeler des informations au moment où on en a besoin. Cela réduit considérablement la fiabilité des questions de sécurité en tant qu’outil de sécurité.

Le Centre national de cybersécurité britannique encourage les gens à utiliser des méthodes d’authentification aussi robustes que les mots de passe eux-mêmes et met en garde contre la dépendance exclusive aux questions de sécurité(nouvelle fenêtre). Même Google a publié une étude(nouvelle fenêtre) affirmant que les questions secrètes sont l’une des pires manières de protéger votre vie privée en ligne(nouvelle fenêtre) (page en anglais).

« 40 % des utilisateurs anglophones aux États-Unis n’ont pas réussi à se rappeler leurs réponses aux questions de sécurité, selon Google », a rapporté Time(nouvelle fenêtre). « Lorsque les questions sont très difficiles, comme demander le numéro de fidélité d’une personne, le taux de mémorisation tombe à 9 %. »

Attention au partage excessif sur les réseaux sociaux

En explorant vos comptes sur les réseaux sociaux, les pirates peuvent souvent obtenir les informations que vous utilisez pour réinitialiser les mots de passe, notamment les réponses aux questions secrètes. Assurez-vous de prendre en compte tout ce que vous partagez qui pourrait contenir les informations suivantes :

  • Noms de famille
  • Date de naissance
  • Lieu de naissance
  • Lieu d’études
  • Noms des animaux de compagnie
  • Toute adresse, actuelle ou ancienne
  • Informations sur vos habitudes

Quels sont les enjeux ? Vos données et votre vie privée

Si jamais les réponses à vos questions de sécurité sont compromises, cela peut conduire à de graves atteintes à la vie privée.

  • Vol d’identité : avec un accès à quelque chose comme votre compte bancaire, il ne faudrait pas beaucoup d’efforts à un attaquant pour usurper votre identité, ouvrir de nouveaux comptes ou commettre une fraude avec votre identité volée.
  • Comptes compromis : si les réponses à vos questions de sécurité sont exposées lors d’une fuite de données, tout compte lié à ces réponses peut être en danger, car il est courant que les gens recyclent les mêmes réponses pour plusieurs comptes.

Quelles sont les meilleures mesures de sécurité alternatives ?

Connaissant les dangers que peuvent comporter les questions de sécurité traditionnelles, vous pourriez envisager d’utiliser des méthodes d’authentification plus efficaces et fiables.

L’authentification à deux facteurs (A2F), également connue sous le nom de vérification en deux étapes, nécessite deux formes d’identification lorsque vous vous connectez à un compte. Après avoir saisi un nom d’utilisateur et un mot de passe, l’A2F peut vous demander d’entrer un code unique généré par une application d’authentification mobile, de brancher une clé de sécurité ou de taper un code envoyé sur votre téléphone.

Voici un aperçu des meilleures formes d’A2F :

  • Clé de sécurité : les clés de sécurité, également connues sous le nom de clés matérielles, aident à prouver votre identité lorsque vous vous connectez à un compte, une application ou un appareil. Cela vous permet de vous connecter à votre compte en utilisant une clé physique, telle qu’une YubiKey(nouvelle fenêtre), qui ressemble à une clé USB. Si vous choisissez d’utiliser une clé A2F avec votre compte Proton, par exemple, vous devez brancher votre clé à chaque fois que vous vous connectez.
  • Les mots de passe à usage unique basés sur le temps (TOTP) : vous pouvez utiliser une application d’authentification sur votre smartphone pour générer des mots de passe à six chiffres qui se régénèrent toutes les 30 secondes pour garder les codes à jour et rendre l’accès non autorisé à vos comptes difficile pour les attaquants potentiels. Néanmoins, utiliser le système TOTP peut s’avérer contraignant puisqu’il s’agit de saisir un code dans un court laps de temps.

Et concernant les messages SMS ?

Les messages texte sont considérés comme l’option la moins sécurisée des méthodes A2F, car ils sont vulnérables aux attaques par échange de carte SIM. Les SMS sont non chiffrés et non sécurisés, ce qui facilite l’interception des codes A2F par les pirates. Si plusieurs méthodes A2F sont proposées, il convient d’éviter les SMS.

Meilleures pratiques pour la sécurité en ligne

À mesure que les menaces en cybersécurité deviennent plus sophistiquées et fréquentes, il est important de réévaluer les pratiques de sécurité et le rôle que jouent les questions secrètes dans notre défense contre de telles attaques. Voici deux manières d’améliorer dès maintenant votre sécurité en ligne :

  • Utilisez des alias d’adresse e-mail : ils vous permettent de garder vos adresses e-mail personnelles privées. Vous pouvez utiliser un service tel que SimpleLogin par Proton, pour générer des adresses e-mail distinctes pour vos différents comptes en ligne. De cette manière, vous pouvez facilement révoquer un alias lié à un compte spécifique si ce compte est compromis.

Protégez votre vie privée

Vous pouvez commencer par remettre en question votre confiance dans les questions de sécurité et utiliser des outils alternatifs, comme l’authentification à deux facteurs et des services de messagerie sécurisée comme Proton Mail, pour renforcer vos défenses.

Il est important d’utiliser les meilleurs outils disponibles pour créer un avenir où le respect de la vie privée sera la règle.

Articles similaires

The cover image for a Proton Pass blog comparing SAML and OAuth as protocols for business protection
en
SAML and OAuth help your workers access your network securely, but what's the difference? Here's what you need to know.
Proton Lifetime Fundraiser 7th edition
en
Learn how to join our 2024 Lifetime Account Charity Fundraiser, your chance to win our most exclusive plan and fight for a better internet.
The cover image for a Proton Pass blog about zero trust security showing a dial marked 'zero trust' turned all the way to the right
en
Cybersecurity for businesses is harder than ever: find out how zero trust security can prevent data breaches within your business.
How to protect your inbox from an email extractor
en
Learn how an email extractor works, why your email address is valuable, how to protect your inbox, and what to do if your email address is exposed.
How to whitelist an email address and keep important messages in your inbox
en
Find out what email whitelisting is, why it’s useful, how to whitelist email addresses on different platforms, and how Proton Mail can help.
The cover image for Proton blog about cyberthreats businesses will face in 2025, showing a webpage, a mask, and an error message hanging on a fishing hook
en
Thousands of businesses of all sizes were impacted by cybercrime in 2024. Here are the top cybersecurity threats we expect companies to face in 2025—and how Proton Pass can protect your business.