Les questions de sécurité constituent une méthode courante d’authentification des identités, que vous avez probablement déjà rencontrée. Lorsqu’un utilisateur crée un compte ou s’enregistre auprès d’un service en ligne, il partage avec le fournisseur du service les réponses à des questions secrètes.
En règle générale, ces questions/réponses de sécurité servent à récupérer un mot de passe en libre-service (il suffit de saisir la bonne réponse pour réinitialiser le mot de passe), mais elles peuvent également constituer un facteur d’authentification supplémentaire au moment de la connexion.
Toutefois, nous ne recommandons pas de recourir exclusivement aux questions de sécurité dans ces deux cas d’usage. Bien qu'elles soient simples à configurer, les questions de sécurité sont piratables, devinables et vulnérables au vol, à peu près de la même manière que les mots de passe. Cela dit, si vous souhaitez toujours protéger votre entreprise au moyen de questions de sécurité, cet article de blog vous aidera à comprendre ce qui constitue une bonne question-réponse de sécurité, ainsi que les bonnes pratiques permettant de les utiliser efficacement.
Types de questions de sécurité
Il existe deux principaux types de questions de sécurité :
- Les questions définies par l'utilisateur permettent aux utilisateurs de choisir une question dans une liste prédéfinie à laquelle ils souhaitent répondre. Bien que les développeurs puissent implémenter facilement ces questions dans le cadre du processus de création de compte, elles ne sont efficaces que si l’utilisateur choisit une réponse difficile à deviner.
- Les questions définies par le système sont basées sur des informations que le fournisseur de services connaît déjà sur l'utilisateur (par exemple, l'adresse ou la date de naissance). Elles ne sont efficaces que si le système dispose de suffisamment d’informations sur l’utilisateur et si la réponse est trop difficile pour être devinée par un cybercriminel.
Nous allons étudier la viabilité de ces deux types de questions dans la suite de cet article, mais commençons par examiner ce qui rend certaines questions de sécurité plus sûres que d’autres.
Qu’est-ce qu’une bonne question de sécurité ?
Les questions de sécurité doivent remplir les conditions suivantes pour contribuer à une authentification sécurisée :
- Confidentialité : Personne d’autre ne doit pouvoir deviner, rechercher ou obtenir la réponse d’une autre manière. Il s’agit de la condition la plus importante. Si la réponse est facile à deviner ou à trouver, la sécurité du compte est fragilisée. Si une information est connue d’une personne de l’entourage de l’utilisateur ou peut être trouvée en ligne, elle n’est pas confidentielle.
- Mémorisabilité : Les utilisateurs doivent se souvenir de la réponse, potentiellement longtemps après avoir créé un compte. Dans l’idéal, l’utilisateur doit se souvenir immédiatement de la réponse, sans avoir besoin de l’écrire ou de la chercher.
- Cohérence : La réponse à la question ne peut pas changer avec le temps. Il est recommandé d’éviter les réponses valables uniquement à l’instant T, par exemple des préférences ou des opinions. Utilisez plutôt des faits historiques ou des informations permanentes.
- Simplicité : La réponse doit être précise, claire pour l’utilisateur et facile à donner. Les questions aux réponses ambiguës ou les réponses sensibles à la casse ou dans un format particulier peuvent être difficiles à mémoriser.
- Multiplicité : Il devrait y avoir plusieurs réponses possibles à la question. Plus il y a de réponses possibles, meilleure est la sécurité : il sera moins probable que quelqu'un parvienne à deviner ou à forcer la réponse par force brute. De nombreux fournisseurs de services vont même jusqu’à bloquer le compte des utilisateurs après un certain nombre de mauvaises réponses.
Liste de questions de sécurité
En tenant compte des principes ci-dessus, nous avons dressé une liste des questions de sécurité courantes. Poursuivez votre lecture pour découvrir en quoi certaines sont plus sécurisées que d’autres.
Exemples de mauvaises questions de sécurité
Ces questions de sécurité sont considérées comme inefficaces, car peu pratiques ou susceptibles d’être exploitées par un individu malveillant :
Question de sécurité inefficace | Justification |
|---|---|
Quelle est votre date de naissance ? | Cette information est facile à deviner et n’est pas confidentielle. |
Comment s’appelait votre instituteur préféré ? | Les informations liées à l’enfance sont souvent trop lointaines pour qu'on se les remémore. |
Quel est votre film préféré ? | Il est probable que la réponse change au fil du temps. |
Quelle était votre première voiture ? | Le niveau de détail de la réponse est ambigu. |
Quel est votre signe astrologique ? | Le nombre de réponses possibles est limité. Cette information est facile à deviner ou à trouver. |
Exemples de bonnes questions de sécurité
Les questions ci-dessus ne sont pas suffisamment sûres ou pratiques. Voici ci-dessous une liste de questions plus appropriées :
Question de sécurité efficace | Justification |
|---|---|
Dans quelle ville êtes-vous né(e) ? | En règle générale, cette information est moins connue, ce qui la rend plus difficile à deviner. |
Quel est le deuxième prénom de l’aîné(e) de votre fratrie ? | En règle générale, cette information n’est connue que par les membres de la fratrie ou les parents et est difficile à deviner. |
Quel est le premier concert auquel vous avez assisté ? | La réponse ne changera pas. |
Quels étaient le fabricant et le modèle de votre première voiture ? | La question demande des informations précises et spécifiques. |
Dans quelle ville vos parents se sont-ils rencontrés ? | Cette information est personnelle. Étant donné qu’il existe de nombreuses réponses possibles, elle est plus difficile à deviner. |
Les questions de sécurité présentent-elles des avantages ?
Les questions de sécurité sont faciles à implémenter par les entreprises et les utilisateurs ont l’habitude d’y répondre. En termes d’avantages, cela s’arrête là.
Dans un environnement de menaces de plus en plus sophistiqué, les questions de sécurité ont fait leur temps. Elles offrent une protection peu fiable, et même les exemples de questions de sécurité mentionnés ci-dessus peuvent faire l’objet de suppositions et de recherches sur les réseaux sociaux ou en ligne. De plus, les réponses de sécurité définies par l'utilisateur et par le système sont aussi vulnérables au vol dans une violation de données ou une escroquerie par hameçonnage que les mots de passe, une raison importante pour laquelle les experts en sécurité préconisent leur abandon.
Nous ne vous recommandons pas d’utiliser des questions de sécurité comme votre principale méthode de protection des comptes. Dans le cadre d’une stratégie de sécurité plus globale, nous estimons que de bonnes questions de sécurité peuvent faire office de méthode d’authentification supplémentaire, à condition de respecter certaines bonnes pratiques.
Bonnes pratiques relatives aux questions de sécurité
Bien que les questions de sécurité ne constituent pas la méthode de protection des comptes la plus efficace, il existe certaines bonnes pratiques que les entreprises, collaborateurs et clients peuvent adopter pour renforcer leur sécurité.
Conseils pour l’utilisation de questions de sécurité
Si vous souhaitez toujours utiliser des questions de sécurité comme méthode de protection supplémentaire pour vos collaborateurs ou clients, nous vous suggérons de suivre les bonnes pratiques ci-dessous pour réduire les vulnérabilités :
- Restreindre les réponses : Vérifiez les réponses par rapport à une liste d’exclusion pour les réponses courantes, telles que le nom d’utilisateur ou l’adresse e-mail, le mot de passe actuel de l’utilisateur et les chaînes de caractères faciles à deviner comme « 123 » et « mot de passe ». Imposer une longueur minimum peut également permettre d’éviter de telles réponses.
- Questions de renouvellement : Invitez périodiquement l'utilisateur à revoir ses questions de sécurité et à confirmer qu'il connaît toujours les réponses. Vous leur donnez ainsi la possibilité de modifier les réponses qui auraient changé et vous augmentez les chances qu’ils se souviennent de leurs réponses les plus récentes au cas où ils auraient besoin de récupérer l’accès à leur compte.
- Pas de questions auto-rédigées : Autoriser les utilisateurs à rédiger leurs propres questions introduit un risque. Ils pourraient choisir des questions sécurisées et uniques auxquelles les pirates auraient du mal à répondre, mais aussi des questions non sécurisées et dont les réponses seraient faciles à deviner. Les questions auto-rédigées reposent sur le comportement de sécurité de l’utilisateur, de sorte qu’inviter les utilisateurs moins sensibilisés à la sécurité à définir leurs propres questions peut réellement augmenter le risque de prise de contrôle de compte.
- Définissez plusieurs questions de sécurité : poser plusieurs questions aux utilisateurs en même temps peut augmenter le niveau de protection des questions de sécurité, en particulier si les réponses sont variées et qu’elles exigent des cybercriminels qu’ils obtiennent des informations plus confidentielles. Combiner des questions définies par l’utilisateur et par le système peut s’avérer une approche intéressante. Quoi qu’il en soit, lorsqu’un utilisateur doit répondre à une question parmi une sélection, ne le laissez pas en choisir une autre avant qu’il n’y ait répondu correctement. Vous réduirez ainsi le risque que des cybercriminels devinent ou trouvent les réponses dont ils ont besoin pour accéder aux comptes.
- Utilisez un stockage chiffré : les réponses peuvent contenir des informations personnelles des utilisateurs et être réutilisées pour accéder à d’autres comptes. Envisagez d’utiliser des algorithmes de hachage sécurisés pour empêcher les pirates d’obtenir les réponses à partir de votre système.
Conseils pour des réponses efficaces aux questions de sécurité
L’implémentation de questions de sécurité n’est efficace que si les utilisateurs connaissent les bonnes pratiques. Voici des conseils que vous pouvez donner à vos collaborateurs et clients afin qu’ils renforcent la sécurité de leurs réponses :
- Utilisez de fausses réponses : au lieu de répondre avec des informations significatives que d'autres peuvent découvrir, utilisez une fausse réponse que d'autres ne peuvent pas vérifier, idéalement avec une chaîne de caractères aléatoires. Traitez les réponses de sécurité comme des mots de passe : plus elles sont aléatoires, mieux c’est.
- Utilisez un gestionnaire de mots de passe : Se souvenir de chaînes de caractères aléatoires est beaucoup plus difficile que des détails véridiques et personnels. C’est pourquoi il vaut la peine d’utiliser un gestionnaire de mots de passe pour stocker vos réponses de sécurité, afin de ne pas les perdre.
Quelles sont de meilleures alternatives aux questions de sécurité ?
Si vous préférez abandonner totalement les questions de sécurité, il existe un large éventail d’options, chacune offrant un niveau de protection différent :
Avant d’en sélectionner une pour protéger vos collaborateurs et clients, il est important de connaître les avantages et les inconvénients de chacune d’entre elles, ainsi que le niveau de sécurité qu’elles offrent. Les options reposant sur une information connue de l’utilisateur (p. ex. les questions de sécurité et les mots de passe) sont les moins sécurisées, tandis que celles qui s’appuient sur un objet en la possession de l’utilisateur ou l’un de ses attributs offrent le niveau de protection le plus élevé.
L'authentification biométrique, par exemple, est plus résistante aux menaces que d'autres, car elle repose sur des identifiants propres à chaque utilisateur, comme la voix, les empreintes digitales, l'ADN et la reconnaissance faciale. Les utilisateurs n’ont pas besoin de mémoriser ni de stocker des caractéristiques biométriques comme ils doivent le faire pour les questions de sécurité, ce qui rend ces méthodes plus difficiles à compromettre.
L'authentification multifacteur (MFA), d'autre part, est une approche contextuelle de l'authentification. Vous pouvez implémenter une combinaison de facteurs d’authentification en fonction des besoins de votre entreprise et analyser les indices de risque des tentatives de connexion utilisateur en vue de déterminer les méthodes d’authentification les plus adaptées. Avec cette configuration, vous bénéficiez de la flexibilité nécessaire pour utiliser des questions de sécurité et des mots de passe parmi d’autres options d’authentification et les déployer pour renforcer la sécurité des environnements à faible risque ou y renoncer totalement.
Les questions de sécurité peuvent être compromises, car elles reposent sur des connaissances. Si un cybercriminel devine une réponse à une question de sécurité, la trouve ou l’obtient dans le cadre d’une attaque de phishing, le compte est compromis. Même les questions de sécurité les plus sûres ne peuvent pas résister à ces attaques. Pour s’affranchir des questions de sécurité et en savoir plus sur la solution Okta Adaptative MFA, consultez notre fiche produit.
