«Quel est le prénom de votre mère ?», «Quel est votre lieu de vacances préféré ?» Ce genre de question pour réinitialiser un mot de passe perdu ne devrait plus être utilisé ou, en tous cas, pas comme seul moyen de protection. C’est ce que préconise une étude menée par Google intitulée «Secrets, Lies and Account Recovery ». Elle a été menée sur un large panel des comptes Google (soit des millions de personnes) et montre que ces interrogations sont loin de garantir une sécurité optimale.
La banalité des questions et des réponses favoriserait les attaques. Dans leur étude, les chercheurs ont réussi dans 20% des cas à répondre dès la première proposition à la question «Quel est votre plat favori ?» pour les utilisateurs de langue anglaise. Ce taux monte à 39% au bout de 10 tentatives pour les clients coréens se protégeant avec la question «Quelle est votre ville de naissance ?». Pour les français, le taux de succès est relativement faible, car il faut une centaine d’essais sur la question «Quel est le nom de votre meilleur ami ?» pour atteindre 23,6%…
L’étude montre aussi le développement préjudiciable des fausses réponses. Pour être plus en sécurité, les utilisateurs choisissent de mentir à la question posée. Cela a une double conséquence. La première est l’oubli de la réponse et la seconde est le choix d’une réponse commune et donc facile à trouver. Ce dernier point est important, car l’oubli de la réponse est très rapide. Par exemple sur la question «Quel est votre plat favori ?», l’étude montre que 74% des personnes se rappellent de leur réponse après un mois, 53% après 3 mois et 47% après un an.
Le choix d’une question plus compliquée pourrait de la même façon se heurter au problème de mémorisation, ainsi qu’à des considérations techniques (car tous les fournisseurs ne proposent pas l’option de choisir sa question).