Sécurité : la question secrète n'est pas fiable

Certes, la messagerie électronique devient un moyen de communication de plus en plus important, mais vos emails sont-ils réellement protégés ? Lors du sommet sur la sécurité informatique de l'IEEE, des chercheurs de Microsoft et de l'université de Carnegie Mellon entendent démontrer que la question secrète permettant d'accéder à sa boite mail en cas d'oubli du mot de passe est souvent bien trop facile à deviner.

« Les questions secrètes à elles seules ne sont pas aussi sécurisées que nous le souhaiterions pour une authentification sécurisée », explique Stuart Schechter, chercheur chez Microsoft. Il ajoute : « par ailleurs elles ne sont pas assez fiables pour assurer l'utilisateur qu'il aura de nouveau accès à son compte en cas d'oubli de son mot de passe ».

Certaines questions ne nécessitant pas de connaître la victime sont particulièrement faciles à deviner : « quelle est votre ville favorite ? » ou « quelle est votre équipe sportive favorite ? ». Dans ces deux cas, le taux de réponses satisfaisantes du hacker est respectivement de 30% et 57%. Cela ne signifie pas pour autant que les questions personnelles soient plus difficiles à deviner. Dans 45% des cas le pirate a correctement trouvé le lieu de naissance de la victime et 40% d'entre eux ont correctement inscrit le nom de l'animal de compagnie.

M.Schechter souligne que 16% des utilisateurs de Yahoo! oublient la réponse à la question secrète dans un délai de trois à six mois et d'une manière générale, les experts estiment qu'un internaute sur cinq oublie la réponse initialement entrée lors de la création du compte.

Plusieurs comptes email de célébrités ont été piratés grâce au processus de recouvrement de mot de passe. Durant les élections présidentielles aux Etats-Unis, l'on se souvient de l'infraction commise sur compte Yahoo! Mail du gouverneur de l'Alaska Sarah Palin. Pour accéder à sa messagerie, il suffisait de deviner l'endroit où l'ex-candidate à la vice-présidence avait rencontré son mari. Plus récemment, c'est le compte MobileMe de Salma Hayek qui a été hacké... en mentionnant la date d'anniversaire de l'actrice...