Questions de sécurité : bonnes pratiques, exemples et idées
Les questions de sécurité constituent une méthode courante d’authentification des identités, que vous avez probablement déjà rencontrée. Lorsqu’un utilisateur crée un compte ou s’enregistre auprès d’un service en ligne, il partage avec le fournisseur du service les réponses à des questions secrètes.
En règle générale, ces questions/réponses de sécurité servent à récupérer un mot de passe en libre-service (il suffit de saisir la bonne réponse pour réinitialiser le mot de passe), mais elles peuvent également constituer un facteur d’authentification supplémentaire au moment de la connexion.
Toutefois, nous ne recommandons pas de recourir exclusivement aux questions de sécurité dans ces deux cas d’usage. Bien que ces dernières soient simples à configurer, les réponses peuvent être piratées, devinées et vulnérables au vol, à l'instar des mots de passe. Cela dit, si vous souhaitez toujours protéger votre entreprise au moyen de questions de sécurité, cet article de blog vous aidera à comprendre ce qui constitue une bonne question-réponse de sécurité, ainsi que les bonnes pratiques permettant de les utiliser efficacement.
Types de questions de sécurité
Il existe deux principaux types de questions de sécurité :
- Les questions définies par l’utilisateur permettent aux utilisateurs de choisir une question au sein d’une liste prédéfinie. Bien que les développeurs puissent implémenter facilement ces questions dans le cadre du processus de création de compte, elles ne sont efficaces que si l’utilisateur choisit une réponse difficile à deviner.
- Les questions définies par le système se basent sur des informations que le fournisseur de services possède déjà sur l’utilisateur (p. ex. son adresse ou sa date de naissance). Elles ne sont efficaces que si le système dispose de suffisamment d’informations sur l’utilisateur et si la réponse est trop difficile pour être devinée par un cybercriminel.
Nous allons étudier la viabilité de ces deux types de questions dans la suite de cet article, mais commençons par examiner ce qui rend certaines questions de sécurité plus sûres que d’autres.
Qu’est-ce qu’une bonne question de sécurité ?
Les questions de sécurité doivent remplir les conditions suivantes pour contribuer à une authentification sécurisée :
- Confidentialité : personne d’autre ne doit être capable de deviner ou de trouver la réponse de quelque manière que ce soit. Il s’agit de la condition la plus importante. Si la réponse est facile à deviner ou à trouver, la sécurité du compte est fragilisée. Si une information est connue d’une personne de l’entourage de l’utilisateur ou peut être trouvée en ligne, elle n’est pas confidentielle.
- Mémorabilité : les utilisateurs doivent se souvenir de la réponse, potentiellement pendant longtemps après la création d’un compte. Dans l’idéal, l’utilisateur doit se souvenir immédiatement de la réponse, sans avoir besoin de l’écrire ou de la chercher.
- Cohérence : la réponse à la question ne peut pas changer au fil du temps. Il est recommandé d’éviter les réponses valables uniquement à l’instant T, par exemple des préférences ou des opinions. Utilisez plutôt des faits historiques ou des informations permanentes.
- Simplicité : la réponse doit être précise, claire et facile. Les questions aux réponses ambiguës ou les réponses sensibles à la casse ou dans un format particulier peuvent être difficiles à mémoriser.
- Multiplicité : il doit exister plusieurs réponses possibles à la question. Plus il y a de réponses possibles, plus la sécurité est grande. Il sera moins probable que quelqu’un parvienne à deviner la réponse ou à l’obtenir par force brute. De nombreux fournisseurs de services vont même jusqu’à bloquer le compte des utilisateurs après un certain nombre de mauvaises réponses.
Liste de questions de sécurité
En tenant compte des principes ci-dessus, nous avons dressé une liste des questions de sécurité courantes. Poursuivez votre lecture pour découvrir en quoi certaines sont plus sécurisées que d’autres.
Exemples de mauvaises questions de sécurité
Ces questions de sécurité sont considérées comme inefficaces, car peu pratiques ou susceptibles d’être exploitées par un individu malveillant :
Question de sécurité inefficace |
Justification |
---|---|
Quelle est votre date de naissance ? |
Cette information est facile à deviner et n’est pas confidentielle. |
Comment s’appelait votre instituteur préféré ? |
Les informations liées à l’enfance sont souvent trop lointaines pour qu'on se les remémore. |
Quel est votre film préféré ? |
Il est probable que la réponse change au fil du temps. |
Quelle était votre première voiture ? |
Le niveau de détail de la réponse est ambigu. |
Quel est votre signe astrologique ? |
Le nombre de réponses possibles est limité. Cette information est facile à deviner ou à trouver. |
Exemples de bonnes questions de sécurité
Les questions ci-dessus ne sont pas suffisamment sûres ou pratiques. Voici ci-dessous une liste de questions plus appropriées :
Question de sécurité efficace |
Justification |
---|---|
Dans quelle ville êtes-vous né(e) ? |
En règle générale, cette information est moins connue, ce qui la rend plus difficile à deviner. |
Quel est le deuxième prénom de l’aîné(e) de votre fratrie ? |
En règle générale, cette information n’est connue que par les membres de la fratrie ou les parents et est difficile à deviner. |
Quel est le premier concert auquel vous avez assisté ? |
La réponse ne changera pas. |
Quels étaient le fabricant et le modèle de votre première voiture ? |
La question demande des informations précises et spécifiques. |
Dans quelle ville vos parents se sont-ils rencontrés ? |
Cette information est personnelle. Étant donné qu’il existe de nombreuses réponses possibles, elle est plus difficile à deviner. |
Les questions de sécurité présentent-elles des avantages ?
Les questions de sécurité sont faciles à implémenter par les entreprises et les utilisateurs ont l’habitude d’y répondre. En termes d’avantages, cela s’arrête là.
Les questions de sécurité n’ont plus vraiment leur place dans le paysage des menaces de plus en plus sophistiqué. Elles offrent une protection peu fiable, et même les exemples de questions de sécurité mentionnés ci-dessus peuvent faire l’objet de suppositions et de recherches sur les réseaux sociaux ou en ligne. En outre, les questions de sécurité définies par l’utilisateur et par le système sont aussi vulnérables au vol lors d’une compromission de données ou d’une attaque de phishing que les mots de passe. C’est l’une des principales raisons pour lesquelles les experts en sécurité les déconseillent.
Nous ne vous recommandons pas d’utiliser des questions de sécurité comme votre principale méthode de protection des comptes. Dans le cadre d’une stratégie de sécurité plus globale, nous estimons que de bonnes questions de sécurité peuvent faire office de méthode d’authentification supplémentaire, à condition de respecter certaines bonnes pratiques.
Bonnes pratiques relatives aux questions de sécurité
Bien que les questions de sécurité ne constituent pas la méthode de protection des comptes la plus efficace, il existe certaines bonnes pratiques que les entreprises, collaborateurs et clients peuvent adopter pour renforcer leur sécurité.
Conseils pour l’utilisation de questions de sécurité
Si vous souhaitez toujours utiliser des questions de sécurité comme méthode de protection supplémentaire pour vos collaborateurs ou clients, nous vous suggérons de suivre les bonnes pratiques ci-dessous pour réduire les vulnérabilités :
- Limitez les réponses : comparez les réponses avec une liste d’exclusion des réponses courantes, par exemple le nom d’utilisateur ou l’adresse e-mail, le mot de passe actuel de l’utilisateur et les chaînes de caractères faciles à deviner telles que « 123 » et « motdepasse ». Imposer une longueur minimum peut également permettre d’éviter de telles réponses.
- Renouvelez les questions : invitez régulièrement les utilisateurs à passer en revue leurs questions de sécurité et à confirmer qu’ils connaissent toujours les réponses. Vous leur donnez ainsi la possibilité de modifier les réponses qui auraient changé et vous augmentez les chances qu’ils se souviennent de leurs réponses les plus récentes au cas où ils auraient besoin de récupérer l’accès à leur compte.
- Interdisez les questions libres : n’autorisez pas les utilisateurs à définir leurs propres questions. Ils pourraient choisir des questions sécurisées et uniques auxquelles les pirates auraient du mal à répondre, mais aussi des questions non sécurisées et dont les réponses seraient faciles à deviner. Les questions libres dépendent du comportement de l’utilisateur en matière de sécurité. Le fait d’inviter les utilisateurs moins sensibilisés à la sécurité à définir leurs propres questions peut donc augmenter considérablement le risque de piratage de comptes.
- Définissez plusieurs questions de sécurité : poser plusieurs questions aux utilisateurs en même temps peut augmenter le niveau de protection des questions de sécurité, en particulier si les réponses sont variées et qu’elles exigent des cybercriminels qu’ils obtiennent des informations plus confidentielles. Combiner des questions définies par l’utilisateur et par le système peut s’avérer une approche intéressante. Quoi qu’il en soit, lorsqu’un utilisateur doit répondre à une question parmi une sélection, ne le laissez pas en choisir une autre avant qu’il n’y ait répondu correctement. Vous réduirez ainsi le risque que des cybercriminels devinent ou trouvent les réponses dont ils ont besoin pour accéder aux comptes.
- Utilisez un stockage chiffré : les réponses peuvent contenir des informations personnelles des utilisateurs et être réutilisées pour accéder à d’autres comptes. Envisagez d’utiliser des algorithmes de hachage sécurisés pour empêcher les pirates d’obtenir les réponses à partir de votre système.
Conseils pour des réponses efficaces aux questions de sécurité
L’implémentation de questions de sécurité n’est efficace que si les utilisateurs connaissent les bonnes pratiques. Voici des conseils que vous pouvez donner à vos collaborateurs et clients afin qu’ils renforcent la sécurité de leurs réponses :
- Utilisez de fausses réponses : plutôt que de répondre avec des informations exactes que d’autres personnes pourraient trouver, utilisez une fausse réponse impossible à vérifier, idéalement une chaîne aléatoire de caractères. Traitez les réponses de sécurité comme des mots de passe : plus elles sont aléatoires, mieux c’est.
- Utilisez un gestionnaire de mots de passe : il est bien plus difficile de mémoriser des chaînes de texte aléatoires plutôt que des informations personnelles exactes. C’est pourquoi il est intéressant d’utiliser un gestionnaire de mots de passe pour stocker vos réponses aux questions de sécurité, afin de ne pas les oublier.
Quelles sont de meilleures alternatives aux questions de sécurité ?
Si vous préférez abandonner totalement les questions de sécurité, il existe un large éventail d’options, chacune offrant un niveau de protection différent :
Avant d’en sélectionner une pour protéger vos collaborateurs et clients, il est important de connaître les avantages et les inconvénients de chacune d’entre elles, ainsi que le niveau de sécurité qu’elles offrent. Les options reposant sur une information connue de l’utilisateur (p. ex. les questions de sécurité et les mots de passe) sont les moins sécurisées, tandis que celles qui s’appuient sur un objet en la possession de l’utilisateur ou l’un de ses attributs offrent le niveau de protection le plus élevé.
L’authentification biométrique, par exemple, est plus résistante aux menaces que d’autres facteurs, car elle repose sur des identifiants propres à chaque utilisateur, tels que la voix, les empreintes digitales, l’ADN et la reconnaissance faciale. Les utilisateurs n’ont pas besoin de mémoriser ni de stocker des caractéristiques biométriques comme ils doivent le faire pour les questions de sécurité, ce qui rend ces méthodes plus difficiles à compromettre.
L’authentification multifacteur (MFA) est une approche contextualisée de l’authentification. Vous pouvez implémenter une combinaison de facteurs d’authentification en fonction des besoins de votre entreprise et analyser les indices de risque des tentatives de connexion utilisateur en vue de déterminer les méthodes d’authentification les plus adaptées. Avec cette configuration, vous bénéficiez de la flexibilité nécessaire pour utiliser des questions de sécurité et des mots de passe parmi d’autres options d’authentification et les déployer pour renforcer la sécurité des environnements à faible risque ou y renoncer totalement.
Les questions de sécurité peuvent être compromises, car elles reposent sur des connaissances. Si un cybercriminel devine une réponse à une question de sécurité, la trouve ou l’obtient dans le cadre d’une attaque de phishing, le compte est compromis. Même les questions de sécurité les plus sûres ne peuvent pas résister à ces attaques. Pour s’affranchir des questions de sécurité et en savoir plus sur la solution Okta Adaptative MFA, consultez notre fiche produit.