Pages Menu
TwitterRssFacebook
Categories Menu

Posted by on 26, Mai 2009 in Logiciels & Webmails, Messagerie, Sécurité | 0 comments

Webmail : le choix de sa question secrète lors de la création d’un compte de messagerie

Vous vous apprêtez à créer votre compte sur un webmail (hotmail, la Poste, Alinto, GMail, etc…) et dans le formulaire d’inscription se trouve le paragraphe Question secrète et Réponse à la question secrète. Comme vous êtes pressé et lassé de remplir des formulaires, vous choisissez une question banale et une réponse encore plus banale. Puis vous continuez alors tranquillement la création de votre compte. Quelle erreur !

En effet, le choix de la question secrète et donc de sa réponse est PRI-MOR-DIAL ! Cela permet en effet, en cas d’oubli ou de perte de mot de passe, d’en générer un temporaire pour accéder à sa messagerie. De là en général, un nouveau mot de passe est demandé.

Alors pour certains, le choix est vite vu. Peut importe la réponse, on écrit au hasard un mot, une phrase…
Mais les réponses que l’on écrit sont elles véritablement fiables ? Est-il possible de se faire pirater sa messagerie personnelle issue de Hotmail, Laposte, Alinto, Gmail, Free, ou autre webmail ? La réponse est oui.

Alors attention : le choix initial de la question et de sa réponse est crucial. Prenez un peu de temps à réfléchir au choix de votre question et de sa réponse, avant d’écrire dans votre webmail « fjsdf24145454fsdf » ou « blanc » comme réponse à « Quelle est ma couleur préférée ? » L’utilisation de la question secrète peut s’avérer un redoutable piège, permettant à quiconque de retrouver la réponse avec un peu d’intuition ou d’imagination, comme nous le verrons plus bas dans cet article.

Pendant le sommet sur la sécurité informatique de l’IEEE, des chercheurs de Microsoft et de l’université de Carnegie Mellon ont tenté de montrer que la question secrète permettant d’accéder à son compte en cas d’oubli du mot de passe est souvent bien trop facile à deviner.

« Les questions secrètes à elles seules ne sont pas aussi sécurisées que nous le souhaiterions pour une authentification sécurisée », explique Stuart Schechter, chercheur chez Microsoft. Il ajoute : « par ailleurs elles ne sont pas assez fiables pour assurer l’utilisateur qu’il aura de nouveau accès à son compte en cas d’oubli de son mot de passe ».

Alors comment choisir ?

Deux catégories de personnes peuvent deviner votre réponse : des illustres inconnus ou des membres de votre entourage.
Celles-ci peuvent s’infiltrer par mégarde dans votre messagerie (ex : homonyme) ou volontairement si les questions sont trop faciles à deviner.
En voici quelques exemples:

  • « quelle est votre couleur préférée » : ici, on pourra saisir les nuances de couleur existantes…
  • « quelle est votre ville favorite » : on peut aisément tomber sur la bonne, en saisissant quelques grandes villes connues…Idem pour la question « quelle est votre équipe sportive favorite« .
  • « Quelle était le nom de votre école primaire »: avec un minimum de connaissances sur vous, toute personne de votre entourage peut deviner la réponse à votre question secrète. Alors méfiance…si vous êtes inscrit sur des sites de réseau sociaux tels que Mes copains d’avant, ou Facebook, et que vous avez saisi votre cursus scolaire en entier depuis la maternelle! En effet, tout hacker de messagerie n’aura aucunement besoin de Sir Sherlock Holmes pour entrer dans votre boîte mail ! Un simple tour sur le site communautaire et hop, le tour est joué !

Il s’avère que plus d’un tiers des pirates arrivent à trouver la réponse à ce type de questions. De plus, M.Schechter affirme que 16% des utilisateurs de Yahoo! oublient la réponse à la question secrète dans un délai de trois à six mois. Et plus généralement, les experts affirment qu’un internaute sur cinq oublie la réponse initialement entrée lors de la création du compte.

Alors voici quelques conseils

  • ne pas écrire une réponse au hasard car celle-ci sera facilement oubliée…Votre réponse doit correspondre à une phrase complète.
  • mélanger des caractères alpha-numériques dans la réponse.
  • Choisissez une question à laquelle vous seul connaissez la réponse et sans rapport avec votre mot de passe.
  • Choisissez une question à laquelle aucune recherche ne permet de répondre. Pas de question ouverte du type :le nom de jeune fille de votre mère, votre date de naissance, votre nom ou votre prénom, votre numéro de sécurité sociale, votre numéro de téléphone, le nom de votre animal de compagnie, par exemple, sont des questions dont la réponse peut être retrouvée facilement,
  • Choisissez, quand c’est possible, d’inscrire votre propre question que vous prendrez le temps de construire et dont vous êtes le seule à connaitre la réponse en insérant des chiffres dont vous êtes le seul détenteur de la combinaison. Utilisez cette combinaison sur les différents sites nécessitant une récupération de mot de passe… histoire de ne jamais l’oublier…

Pour illustrer ces propos, voici quelques exemples de comptes piratés :

Sources : Sécurité, la question secrète n’est pas fiable

Post a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *