Démo gratuite Contactez-nous
Questions de sécurité

Questions de sécurité

Questions de sécurité : sont-elles réellement sûres et comment les améliorer ?

Les questions de sécurité sont utilisées pour vérifier l’identité d’une personne, par exemple lors de la réinitialisation d’un mot de passe ou pour des transactions importantes. Comment ces questions de sécurité fonctionnent-elles, quels en sont les avantages et les inconvénients, comment les utiliser de manière sûre et existe-t-il des alternatives ? Nous y répondons ci-dessous.

authenticatiefactoren

Qu’est-ce qu’une question de sécurité ?

Une question de sécurité fait partie des facteurs d’authentification possibles utilisés pour vérifier l’identité d’une personne. En pratique, on distingue généralement trois types de facteurs :

  • Quelque chose que vous connaissez, comme un mot de passe ou un code PIN.

  • Quelque chose que vous possédez, par exemple votre smartphone ou une clé de sécurité.

  • Quelque chose que vous êtes, à savoir des caractéristiques biométriques telles que votre empreinte digitale ou votre iris.

Une question de sécurité relève de la première catégorie, à savoir quelque chose que l’utilisateur connaît. Elle fonctionne toutefois de manière un peu différente. Un mot de passe ou un code PIN sont générés aléatoirement ou définis par l’utilisateur, et ils sont difficiles à mémoriser. Une question de sécurité est au contraire une question personnelle à laquelle l’intéressé peut toujours répondre. Comme le nom de jeune fille de votre mère ou le nom de votre premier animal de compagnie. En principe, cela ne s’oublie pas.

Les questions de sécurité sont souvent utilisées en dernier recours, lorsque l’utilisateur a oublié son mot de passe et qu’aucune autre méthode d’authentification n’est disponible. Elles peuvent également servir de facteur de vérification supplémentaire lors d’actions sensibles, par exemple une transaction financière ou un échange avec un médecin. Avant un tel échange ou une transaction, il faut d’abord répondre à une question de sécurité.

Pourquoi les questions de sécurité sont-elles vulnérables ?

Il est établi que tous les facteurs de connaissance sont vulnérables. Cela vaut pour les mots de passe et les codes PIN, et les questions de sécurité sont encore plus risquées. L’avantage d’une telle question est que la réponse n’a pas besoin d’être stockée, puisqu’elle est censée être connue de manière innée. Cependant, ces informations ne sont pas toujours réellement uniques et, à l’ère numérique, bon nombre de données personnelles sont faciles à retrouver. Cela rend ces questions vulnérables.

Types de questions de sécurité

Il existe essentiellement deux types de questions de sécurité :

  • Des faits déjà enregistrés par l’organisation concernée, comme votre date de naissance, votre numéro client ou votre numéro d’identification. De nombreux établissements de santé demandent par exemple systématiquement la date de naissance lors d’un rendez-vous.

  • Des questions pour lesquelles vous définissez vous-même la réponse. Elles vont des préférences personnelles, par exemple votre couleur préférée, aux souvenirs individuels, par exemple le nom de votre premier animal de compagnie

Des éléments comme votre date de naissance sont généralement déjà connus et peuvent être utilisés immédiatement comme question de sécurité, sans préparation supplémentaire. Les autres questions doivent être préparées. Lorsqu’un utilisateur obtient un compte, il lui est ainsi demandé de définir une question de sécurité. Vous pouvez en général choisir parmi plusieurs questions proposées et vous devez définir votre réponse personnelle. Si votre identité doit être vérifiée ultérieurement, le système pose la question de sécurité et compare votre réponse à la réponse d’origine.

Qu’est-ce qu’une bonne question de sécurité

Une bonne question de sécurité doit répondre à plusieurs critères. La réponse doit évidemment être difficile à deviner ou à obtenir, et en tout cas ne pas être publique. Il est également important que la réponse reste stable dans le temps. Votre école primaire ou le nom de votre premier chat ne changeront plus jamais, alors que votre série préférée peut évoluer si une nouveauté arrive sur Netflix. L’univocité de la réponse est aussi essentielle. Erykah Badu est peut-être votre artiste préférée, mais l’écrirez-vous encore sans faute l’année prochaine ? Voici quelques exemples de mauvaises et de bonnes questions de sécurité.

Exemples de mauvaises questions de sécurité

Les mauvaises questions de sécurité sont celles dont la réponse est facile à deviner ou à trouver :

  • Votre date de naissance : facile à trouver via les réseaux sociaux. Il en va de même pour des éléments comme les codes postaux et les numéros de rue.

  • Couleur préférée : cette réponse se devine généralement facilement. Émeraude ou autre teinte rare serait plus sûr, mais il est bien connu que la plupart des personnes choisissent le bleu.

  • Nom de jeune fille de votre mère : autrefois pertinent, mais aujourd’hui souvent trouvable en ligne via des sites de généalogie.

  • Votre équipe sportive préférée : elle est souvent visible en ligne et peut se deviner. Par exemple, Ajax sera plus fréquemment cité qu’un club local peu connu.

Exemples de bonnes questions de sécurité

Les bonnes questions de sécurité portent sur quelque chose d’immuable, difficile à deviner et peu accessible sur Internet :

  • Nom de votre premier animal de compagnie : sauf s’il figure encore en bonne place sur vos réseaux sociaux, ce nom est difficile à retrouver.

  • Instituteur préféré à l’école primaire : cette information n’existe en général que dans vos souvenirs.

  • Votre première voiture : la plupart des gens s’en souviennent très bien. Il convient bien sûr de demander la marque et le modèle.

Sont-elles sûres à utiliser ?

En elles-mêmes, les questions de sécurité restent vulnérables. Leur force réside dans le fait que vous n’oubliez pas la réponse car elle vous concerne personnellement. Mais cela les rend intrinsèquement moins sûres. Beaucoup d’informations peuvent être obtenues par ingénierie sociale, devinées facilement ou découvertes par des attaques par force brute. Il convient donc, pour chaque processus métier, de se demander s’il existe une alternative à la question de sécurité.

Dans le même temps, il n’est pas toujours possible de les éviter. Par exemple lorsque des systèmes hérités sont encore utilisés et qu’ils intègrent nativement des questions de sécurité pour la réinitialisation de mot de passe ou la vérification. Elles peuvent également constituer un dernier recours si les méthodes modernes ne sont pas disponibles. Si un utilisateur a perdu à la fois son mot de passe et son téléphone, la question de sécurité peut rester l’unique option.

Comment les rendre plus sûres ?

Il est possible de renforcer la sécurité des questions en choisissant de bonnes questions et en élaborant des réponses intelligentes. Pour les questions liées à l’expérience ou aux préférences, rien ne vous empêche de complexifier la réponse avec, par exemple, un chiffre. Si votre école primaire s’appelait « JongLeren », vous pouvez par exemple répondre « JongLeren123 ». Il n’est pas non plus indispensable de fournir des réponses factuelles. Vous pouvez en inventer. Le risque est toutefois d’oublier la réponse, ce que ces questions sont précisément censées éviter.

Bonnes pratiques

Voici quelques bonnes pratiques pour l’usage des questions de sécurité :

  • Utilisez des réponses uniques. Comme pour les mots de passe, exigez une réponse différente par application. Variez également les questions selon les usages.

  • Envisagez d’utiliser des réponses complexes ou fictives. Vous les rendez ainsi uniques et plus sûres. Cette approche reste toutefois exigeante, car elles seront plus difficiles à mémoriser.

  • Vous pouvez y remédier en enregistrant les réponses dans un gestionnaire de mots de passe.

  • Limitez le partage d’informations personnelles sur les réseaux sociaux. Ce conseil dépasse d’ailleurs le seul cadre des questions de sécurité. La fraude numérique commence presque toujours par la constitution d’un profil personnel à partir des informations disponibles en ligne.

  • Utilisez plusieurs questions. Les questions de sécurité sont relativement vulnérables, mais deux questions sont déjà plus sûres qu’une. Cela ne pose généralement pas de problème car ces contrôles sont utilisés dans des cas exceptionnels comme la réinitialisation de mot de passe.

  • Protégez les réponses stockées avec le même niveau d’exigence que les mots de passe. Ne les enregistrez pas en clair, mais sous forme hachée.

  • Définissez également des exigences de qualité pour les réponses. Par exemple une longueur minimale et l’interdiction de termes courants comme « motdepasse », « qwerty » et « 123 ».

Meilleures alternatives aux questions de sécurité

La meilleure recommandation consiste toutefois à limiter autant que possible l’usage des questions de sécurité. Heureusement, cela devient de plus en plus réaliste.

Nous avons commencé par les différents facteurs d’authentification. Dans la plupart des environnements numériques, plusieurs facteurs peuvent désormais être appliqués. Notre fonctionnalité HelloID Access Management prend par exemple en charge l’authentification multifacteur, MFA, avec une application d’authentification sur smartphone ou une clé de sécurité YubiKey. La réinitialisation de mot de passe via une question de sécurité n’est alors plus nécessaire. Les utilisateurs reçoivent simplement un lien de réinitialisation par e-mail, que vous pouvez confirmer en complément avec le smartphone ou la clé de sécurité.

Nous cherchons également à réduire l’usage des mots de passe au strict minimum, tout en améliorant l’ergonomie et la sécurité. Vous aurez ainsi moins souvent besoin de réinitialiser un mot de passe. Principales mesures :

  • Les environnements GIA tels que HelloID prennent en charge le Single Sign-On, SSO. Vous vous connectez avec un mot de passe maître unique, puis vous accédez à tous vos comptes professionnels sans ressaisir de mot de passe.

  • Pour les mots de passe qu’il reste à mémoriser, utilisez un gestionnaire de mots de passe. Cette « coffre-fort » numérique ne requiert qu’un seul mot de passe principal et permet de récupérer les autres en un clic. Vous évitez ainsi de les égarer.

  • Enfin, de plus en plus d’applications prennent en charge les passkeys. L’authentification s’effectue alors via un chiffrement à clés publiques sécurisé et des données biométriques. Les mots de passe ne sont plus nécessaires.

Dans des environnements GIA modernes, les questions de sécurité deviennent donc heureusement de moins en moins nécessaires. Notre fonctionnalité de gestion des accès fournit, avec des fournisseurs d’identité tels qu’Entra ID, une sécurité d’accès fiable et ergonomique grâce au Single Sign-On et à l’authentification multifacteur. Nous serons ravis d’en discuter avec vous.

Qu’est-ce qu’une question de sécurité ?

Une question de sécurité est une mesure supplémentaire visant à vérifier l’identité d’un utilisateur. Ces questions sont par exemple utilisées pour la réinitialisation d’un mot de passe. La question est définie lors de la première connexion à un service ou à un système et porte souvent sur un élément personnel introuvable ailleurs. Par exemple le nom de votre premier animal de compagnie.

Exemple de question de sécurité ?

Il s’agit le plus souvent de questions personnelles, par exemple : « Quel était votre professeur préféré au lycée ? » Une telle question doit être définie à l’avance par l’utilisateur. Il est aussi possible de demander des informations déjà détenues par l’organisation, comme le numéro client ou le code postal.

Les questions de sécurité sont-elles encore beaucoup utilisées ?

Le recours aux questions de sécurité diminue, car la réinitialisation de mot de passe s’effectue le plus souvent via l’authentification multifacteur, MFA. Un lien de réinitialisation est alors envoyé à une adresse e-mail ou un code de réinitialisation à votre smartphone. En dernier recours, lorsque tout le reste est perdu, une question de sécurité peut toutefois constituer une option. Elles restent aussi utilisées comme vérification lors d’échanges personnels avec un médecin ou une banque.