Quand un formulaire vous demande le nom de jeune fille de votre mère, il ne vous demande pas un secret. Il vous demande une mention d’état civil.
Toute la critique est là ; le reste n’est que détails. Une question de sécurité est un mot de passe avec trois défauts qu’un mot de passe normal n’a pas : ce n’est pas vous qui l’avez choisi, la réponse est devinable parce que beaucoup de gens répondent la même chose, et elle est souvent écrite quelque part où vous n’avez pas la main. En échange, on lui accorde un privilège énorme : elle peut remplacer votre mot de passe. C’est la porte de derrière de votre compte, et elle ferme moins bien que celle de devant.
Ce n’est pas une intuition de corporation. C’est ce que Google a mesuré.
L’étude que personne ne lit avant de dessiner le formulaire
En 2015, cinq chercheurs — Joseph Bonneau, Elie Bursztein, Ilan Caron, Rob Jackson et Mike Williamson — ont présenté à la conférence WWW, à Florence, un travail dont le titre dit déjà presque tout : Secrets, Lies, and Account Recovery. Ce n’était pas un laboratoire avec trente volontaires : ils ont analysé des centaines de millions de réponses secrètes et des millions de tentatives réelles de récupération de compte.
La trouvaille a deux moitiés. On n’en raconte presque jamais qu’une.
Première moitié : elles se devinent
Le modèle de menace de l’article, ce n’est pas votre beau-frère qui fouine : c’est quelqu’un qui attaque des comptes en masse et n’a besoin de tomber juste que sur une fraction. Avec cette loupe, les chiffres changent de sens.
Avec une seule tentative, un attaquant devinerait 19,7 % des réponses des utilisateurs anglophones à « Votre plat préféré ? ». Une. Et la réponse, au cas où il y aurait un doute, tend à être celle à laquelle vous pensez en ce moment même. Avec dix tentatives, il devinerait 39 % des réponses des utilisateurs coréens à « Votre ville de naissance ? ». Et un seul essai suffit pour toucher 3,8 % des réponses des hispanophones à la question que Google leur servait traduite par « Premier nom de famille de votre père ? ».
3,8 %, ça a l’air de rien jusqu’au moment où vous vous rappelez que l’attaquant n’attaque pas votre compte : il en attaque un million. Et il n’est pas nécessaire d’être Google pour se fabriquer la liste. Les auteurs l’ont vérifié : avec à peine mille réponses achetées sur une plateforme de crowdsourcing, ils ont monté des distributions entre 75 % et 80 % aussi efficaces que la vraie sur une centaine de tentatives. L’expérience leur a coûté 100 dollars et moins d’une journée.
Le plus accablant, c’est que les questions conçues pour être uniques n’y échappent pas non plus. Un numéro de voyageur fréquent devrait être unique par définition ; dans les faits, une seule tentative en devine 4,2 % chez les anglophones. La raison est magnifique et nous y reviendrons : les gens mentent, et ils mentent en troupeau.
Deuxième moitié : elles s’oublient
Ici l’argument s’effondre pour de bon, car la seule raison pour laquelle nous
continuons à utiliser des questions de sécurité, c’est la croyance qu’elles sont
fiables. La prémisse était raisonnable : se souvenir de sa ville natale devrait
être plus facile que de se souvenir de xK4$mz. Ça ne l’est pas. 40 % des
utilisateurs américains anglophones ont été incapables de retrouver leur réponse
au moment où ils en avaient besoin. Ils ne l’avaient pas oubliée dans
l’abstrait : ils essayaient d’entrer dans leur compte et ils n’ont pas pu.
Et là surgit l’inversion parfaite, celle qui aurait dû tuer cette technologie il y a dix ans. Plus la question est sûre, moins on s’en souvient. Dans cette même population, « Le deuxième prénom de votre père ? » — une question faible — affichait 76 % de réussite. « Votre premier numéro de téléphone ? », nettement plus difficile à deviner, tombait à 55 %. Et les candidates théoriquement les plus sûres coulent à pic : « Le numéro de votre carte de bibliothèque ? » 22 %, « Votre numéro de voyageur fréquent ? » 9 %.
Le temps achève le travail. Pour « Votre plat préféré ? », la réussite était de 74 % au bout d’un mois, de 53 % au bout de trois mois et d’à peine 47 % au bout d’un an. Et les récupérations ne se concentrent pas au début : les auteurs ont constaté que les utilisateurs ne sont pas plus enclins à récupérer leur compte tôt que tard, si bien que la plupart arrivent devant la question quand le souvenir s’est déjà évaporé.
La conclusion des auteurs ne se prête pas à mille lectures : il semble presque impossible de trouver des questions secrètes qui soient à la fois sûres et mémorisables.
Mentir ne vous sauve pas, ça vous enferme dehors
La réaction sensée, quand on a compris le problème, c’est de mentir : s’ils demandent votre ville natale, répondez « Reykjavik » et n’en parlons plus.
L’article a mesuré ça aussi, avec une enquête auprès de la population américaine. Parmi ceux qui ont admis donner de fausses réponses, 37 % l’ont fait pour compliquer la tâche d’un attaquant, 15 % pour que ce soit plus facile à retenir — relisez-le deux fois — et 31,9 % par souci de vie privée, parce qu’ils n’avaient pas envie d’offrir leur biographie à une entreprise.
Le problème, c’est que durcir une réponse est un geste prévisible. C’est exactement le sens des 4,2 % des numéros de voyageur fréquent : les mensonges de beaucoup de gens se ressemblent entre eux bien davantage que leurs vérités. Et l’addition se paie dans l’autre moitié. Les utilisateurs américains qui remplissaient « Votre premier numéro de téléphone ? » avec quelque chose de sept chiffres — une réponse plausible — retrouvaient leur réponse 55 % du temps. Ceux qui ont mis six caractères, c’est-à-dire ceux qui inventaient, y arrivaient 18 % du temps.
Mentir sans le noter n’est pas une stratégie de sécurité. C’est jeter la clé.
En France, la question n’en est même pas une
Revenez au nom de jeune fille de votre mère. C’est le nom qui figure sur votre acte de naissance, sur le livret de famille, sur la moitié des papiers que vous avez remplis dans votre vie. Ce n’est pas un secret : c’est une ligne dans un registre.
Ce n’est pas une bizarrerie locale. L’article lui-même cite une étude de Griffith et Jakobsson qui a déduit ce nom pour au moins 30 % des résidents du Texas à partir des registres publics de naissances et de mariages ; et Rabkin, qui a trouvé que 16 % des questions utilisées en pratique avaient des réponses listées de façon routinière sur des profils publics de réseaux sociaux.
Une donnée qui figure dans un registre et s’affiche sur votre profil n’est pas un secret partagé. C’est une information publique avec une case « mot de passe » devant.
Que faire du formulaire qui vous y oblige
Parfois il n’y a pas d’échappatoire : la banque exige trois questions et impossible de passer à l’écran suivant. Dans ce cas, arrêtez de les traiter comme des questions et traitez-les pour ce qu’elles sont.
- Répondez avec un mot de passe, pas avec votre vie. À « Votre ville de naissance ? », on peut répondre par une chaîne aléatoire du générateur, ou par une phrase que vous aurez fait passer avant par le vérificateur. C’est la seule réponse qui ne figure dans aucun registre.
- Notez-la dans le gestionnaire, sur la fiche du site. Ce n’est pas optionnel : c’est très exactement la différence entre 55 % et 18 % de rappel. Le mensonge ne fonctionne que si vous le gardez.
- Si le service vous laisse choisir une autre méthode de récupération, choisissez-la. Dans les données de Google, le SMS tombait juste 81 % du temps et le courriel 75 %, contre 61 % pour les questions secrètes chez les utilisateurs américains anglophones — et seulement 44 % chez les Français.
Google a agi en cohérence avec ses propres données sous les yeux : il a relégué les questions secrètes au rang de dernier recours, toujours accompagnées d’autres signaux. Ce que recommande l’article, c’est qu’elles ne soient jamais utilisées seules.
Onze ans plus tard, votre assureur vous demande toujours le nom de votre premier animal de compagnie. Répondez-lui par seize caractères aléatoires. Il l’a bien cherché.
Sources : J. Bonneau, E. Bursztein, I. Caron, R. Jackson et M. Williamson, « Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google », WWW 2015, Florence · V. Griffith et M. Jakobsson, « Messin’ with Texas: Deriving Mother’s Maiden Names Using Public Records », ACNS 2005, et A. Rabkin sur les questions de sécurité en pratique, tous deux cités dans le travail précédent.