Pourquoi avons-nous retiré la question de sécurité ?

2 Juil, 2020  - écrit par  dans Sécurité

Quel est le nom de jeune fille de votre mère ? Quel est votre plat préféré ? Pendant des années, les clients de Gandi ayant activé cette fonction devaient répondre à l’une de ces « questions de sécurité » pour réinitialiser leur mot de passe oublié.

Ce n’est désormais plus le cas. Dans notre nouvelle interface V5, nous avons supprimé la question de sécurité.

Cela veut-il pour autant dire que votre compte est moins sûr ? Pourquoi avons-nous retiré la question de sécurité ?

Authentification basée sur la connaissance

Les questions de sécurité sont une forme d' »authentification basée sur la connaissance », ou KBA. Il s’agit de vérifier l’identité sur la base d’une information que « seule » la personne que vous essayez d’identifier est censée connaître.

La KBA – en particulier le nom de jeune fille de la mère – a longtemps été un élément classique du secteur bancaire. La logique voulait que les agents puissent interroger toute personne essayant d’effectuer des retraits suspects avec un élément d’information qu’un fraudeur aurait peu de chances de connaître.

Dans le monde d’avant Facebook, (ou même simplement avant que les femmes commencent à conserver leur nom de jeune fille même après le mariage), ce nom n’était pas bien connu en dehors de la sphère familiale. De plus, un potentiel fraudeur ne s’attendait pas à être mis sur la sellette par des questions aussi précises.

La KBA est devenue une procédure opérationnelle standard dans le secteur financier, utilisée pour vérifier l’identité des personnes effectuant toutes sortes de transactions. Les banques, comme le reste des sociétés à travers le monde, ont commencé à se frayer un chemin sur Internet et ont généralisé la KBA : renseigner le nom de jeune fille de sa mère est devenu progressivement la norme.

La KBA a même fini par être intégrée dans les recommandations d’organisations comme le National Institute of Standards and Technology (NIST), qui sont souvent considérées comme les principales autorités en matière de normes de sécurité numérique.

Il n’a donc pas fallu grand chose pour que les questions de sécurité se répandent du secteur bancaire au problème épineux de la réinitialisation des mots de passe.

Mots de passe de secours

Traditionnellement, lorsque vous oubliez votre mot de passe, votre principal recours était de contacter le service clientèle, qui vérifiait alors votre identité par téléphone ou par courrier électronique, puis réinitialisait manuellement votre mot de passe.

Le fait de devoir attendre que le service d’assistance soit disponible pour répondre, rendait non seulement l’épreuve frustrante pour les utilisateurs anxieux qui essayaient simplement d’accéder à des comptes dont ils étaient exclus, mais cela avait aussi un coût réel en termes d’heures de travail des agents d’assistance pour la vérification de l’identité des utilisateurs.

C’est ainsi que les questions de sécurité ont fini par devenir la fonctionnalité de récupération de mot de passe la plus populaire, et en raison de son omniprésence et du fait qu’elle est fortement recommandée par des organisations comme le NIST, elle a fini par être un module opt-in supplémentaire au système de récupération de mot de passe de Gandi.

Les questions de sécurité utilisées pour la récupération des mots de passe sont alors devenues une sorte de « secours » pour la récupération de mot de passe. Si vous ne vous souvenez pas de votre mot de passe, vous pouvez probablement vous souvenir de votre plat préféré.

La problématique devient peut être déjà plus évidente.

Qui n’aime pas la pizza ?

Si votre question de sécurité est un moyen de récupérer votre mot de passe, à quoi bon avoir un mot de passe ? Utilisées simplement comme un mot de passe de secours, les questions de sécurité affaiblissent la sécurité des comptes. Après tout, des informations comme le « nom de jeune fille de la mère » ne sont pas aussi top secrètes pour des attaques ciblées.

Il suffit de demander à Paris Hilton, dont le téléphone a été piraté en 2005, par la question de sécurité « Quel est le nom de votre animal de compagnie préféré ? (le chihuahua Tinkerbell Hilton, était un élément de base de ses comptes de réseaux sociaux bien suivis).

Mais même si vous n’êtes pas une personnalité publique et si vous n’utilisez pas de questions faciles à découvrir comme « nom de jeune fille de votre mère » et que vous optez pour « nourriture préférée », cela ne signifie pas que vous êtes plus en sécurité.

En 2015, Google a publié son étude sur la question de sécurité dans laquelle il a constaté que la « pizza » était la réponse dans environ 20 % des cas à la question « Quel est votre aliment préféré ? ».

Faux sentiment de sécurité

Qu’en est-il des questions plus difficiles que ces dernières ? Google a également constaté que 40 % des utilisateurs aux États-Unis ne réussissaient pas à se remémorer les réponses à leurs questions de sécurité, et 9 % dans le cas de questions « très difficiles » comme le numéro de carte de bibliothèque, ce qui signifie que ces utilisateurs devront tous finalement contacter le support.

Le système de récupération des mots de passe de Gandi n’a jamais été aussi précaire au point de faire des questions de sécurité un moyen de secours. Deviner la bonne réponse ne ferait que lancer un e-mail de réinitialisation du mot de passe à l’adresse e-mail du propriétaire du compte, et non donner accès au compte.

Vous l’avez deviné, lorsque les utilisateurs ne se souviennent pas des réponses à leurs questions de sécurité, ils finissent par contacter le support.

Tout cela revient donc à dire que les questions de sécurité n’apportent pas vraiment de sécurité supplémentaire. Au mieux, elles donnent un faux sentiment de sécurité. Au pire, elles entravent activement le processus qu’elles sont censées faciliter.

Pourquoi avons-nous retiré la question de la sécurité ?

Pour toutes les raisons que nous avons énumérées, les questions de sécurité ne sont plus recommandées, ni par le NIST, ni par des autorités comme le CERT-FR. C’est pourquoi Gandi a choisi de les supprimer sur sa nouvelle interface.

L’authentification multi-facteurs

Donc, si les questions de sécurité ne sont plus sûres, qu’est-ce qui l’est ? Notre suggestion : l’utilisation d’une authentification à plusieurs facteurs.

Un « facteur » d’authentification est une catégorie de justificatifs utilisés pour vérifier l’identité d’une personne.

Les catégories sont souvent les suivantes  :

  •     quelque chose que vous savez,
  •     quelque chose que vous avez,
  •     ou quelque chose que vous êtes.

Si votre sécurité dépend d’un mot de passe et d’une question de sécurité, cela reste juste « quelque chose que vous savez » et « quelque chose que vous connaissez ».

Gandi propose une authentification à deux facteurs basée sur plusieurs « facteurs », quelque chose que vous connaissez (un mot de passe) et soit quelque chose que vous avez (un mot de passe unique chronométré ou une clé USB), soit quelque chose que vous êtes (biométrie comme les lecteurs d’empreintes digitales).

Comment réinitialiser votre mot de passe ?

Il reste à savoir comment réinitialiser votre mot de passe.

Depuis la page de connexion au compte, il vous suffit de cliquer sur « Nom d’utilisateur ou mot de passe oublié » et de fournir l’adresse électronique de sécurité de votre compte pour réinitialiser le mot de passe. Nous vous enverrons alors un e-mail avec un lien pour réinitialiser votre mot de passe.

Si vous avez besoin de mettre à jour votre email de sécurité, il vous suffit de :

  • cliquer sur votre nom d’utilisateur en haut à droite lorsque vous êtes connecté à votre compte Gandi,
  • cliquer sur « Paramètres utilisateur » dans le menu déroulant,
  • cliquer sur « Gérer le compte utilisateur et les paramètres de sécurité ».
  • à côté de « Informations sur le compte », cliquer sur le bouton vert « Modifier » pour changer l’adresse email.