Bienvenue à Blogs CodeS-SourceS Identification | Inscription | Aide

CoqBlog

.NET is good :-)
{ Blog de coq }

Actualités

La fonctionnalité de récupération de compte par question(s) secrète(s) rend le compte vulnérable

Via les news Microsoft Research, je suis tombé sur un article abordant le sujet des fonctionnalités de récupération d'accès à un compte utilisateur basées sur une question secrète : 'Secret' Questions Leave Accounts Vulnerable

 

Question secrète ?

Pour rappel, cette fonctionnalité (automatique) de récupération de compte basée sur une (ou plusieurs) question(s) "secrète(s)" consiste à vous demander à l'inscription de définir un (des) couple(s) question/réponse censé permettre de vérifier que c'est bien vous qui voulez récupérer le compte dont vous avez perdu le mot de passe et pas une tierce personne.

 

Cela pose un problème ?

Le problème avec la question secrète est la faiblesse qui découle du créneau sur lequel se positionne cette fonctionnalité : nous sommes censés utiliser comme réponse quelque chose que nous retiendrons facilement, quelque chose que nous reviendra immédiatement en mémoire à la vue de la question.

En tant qu'utilisateur lambda (non paranoïaque), nous allons donc sans doute utiliser quelque chose de personnel.
La réponse sera simple, car nous n'allons pas utiliser la fonctionnalité tous les 2 jours, donc nous risquerions d'oublier la forme de la réponse si elle est trop compliquée.
Pire : certaines implémentations de la fonctionnalité ne nous laisserons même pas poser la question de notre choix mais nous forcerons à en choisir une dans une liste qui sera suivant les cas plus ou moins consternante de simplicité, et massivement orientée vie personnelle :

  • Quel est le nom de jeune fille de notre mère ?
  • Quel est/était le nom de notre premier animal de compagnie ?
  • Quel est le prénom/date de naissance de notre premier enfant ?
  • Quel était notre premier employeur ?
  • ...

Secret quoi...
Dans le cas du nom de jeune fille de la mère, il n'y a jamais que le cercle familial au sens large qui soit au courant de ce genre de choses.
Dans le cas du prénom ou de la date de naissance du premier enfant, on ne peut rajouter au cercle familial que l'intégralité des personnes ayant accès au bureau sur lequel trône la photo des enfants ainsi que celles à qui nous avons annoncée la bonne nouvelle le jour J.
Dans le cas du nom du premier animal de compagnie, ça sera peut être plus restreint côté cercle familial, par contre si c'est le premier il y a des chances que nous ayons été jeunes à cette époque, dotés d'une énorme inspiration pour les noms d'animaux...
Le premier employeur se trouve sans doute dans notre CV.

En plus, nous sommes depuis quelques temps en pleine explosion du phénomène d'adhésion à des réseaux sociaux : il ne s'agit plus d'un simple outil professionnel mais d'un outil grand public.
Du coup avoir accès (ou des pistes pour deviner) à ce genre d'informations personnelles d'un utilisateur normal n'est pas forcément très compliqué, même sans faire partie de ses relations proches.

 

Alternatives ?

Dans le cadre d'une entreprise ou d'un système de faible ampleur, ce type de fonctionnalité automatique peut être remplacé par l'intervention d'un être humain et la mise en place de moyens de vérification d'identité de la personne ayant oublié ses paramètres de connexion.
En cas d'impossibilité d'interaction physique, un envoi postal (la messagerie mobile étant en fin de compte de plus en plus connectée, je ne pense pas que l'on puisse toujours considérer l'envoi d'un SMS comme suffisamment sécurisé) est envisageable si le déblocage de l'accès au système n'est pas nécessaire très rapidement. Ce n'est pas parfait mais déjà plus compliqué pour un assaillant.

Dans le cadre d'un système massif et grand public, ça devient largement plus compliqué ou trop coûteux.

C'est là que semble se positionner le système décrit dans l'article : des tierces personnes physiques connues d'une des parties (en l'occurrence nous et non pas l'entreprise) reçoivent des bribes d'informations dont nous devons récupérer plusieurs exemplaires pour pouvoir effectuer le déblocage, ce qui devrait remplir la fonction de vérification d'identité.
Encore faut-il que ces personnes soient un minimum informées, conscientes de leur rôle, l'accepte et le remplisse avec un minimum de sérieux afin de ne pas non plus donner l'information à n'importe qui : ils sont censés s'assurer que c'est bien nous qui la demandons.
Il faut aussi que le délai de récupération du compte ne soit pas critique, car en faisant intervenir plusieurs êtres humains on s'expose forcément à des délais beaucoup plus grands.

 

Je n'ai pas encore eu le temps de lire le document "It's no secret, Measuring the security and reliability of authentication via ‘secret’ questions" que j'ai fini par trouver sur la page dédiée à la conférence Security and Human Behaviour 2009 (11 juin / Session 2 Fraud / Stuart Schechter, Microsoft), mais il devrait être intéressant. Quand au second document cité dans l'article, je ne sais pas où il se trouve (ni même s'il est disponible en fait).

Bref, sujet à creuser sans doute, je n'ai pas eu le temps d'approfondir plus que cela pour l'instant mais l'information m'a semblé bonne à transmettre :-)

Ce post vous a plu ? Ajoutez le dans vos favoris pour ne pas perdre de temps à le retrouver le jour où vous en aurez besoin :
Posted: dimanche 28 juin 2009 16:58 par coq
Classé sous :

Commentaires

FREMYCOMPANY a dit :

J'ai lu cet article il y a quelque temps.

J'ai aussi vu un commentaire qui m'a semblé très intéressant : Utiliser un encodage

Plutôt que de répondre "Cléopatre", répondre par une forme encodée simple de celui-ci. Par exemple un code césar (ou une solution informatique qui utilise une formule d'encodage de type matricielle).

Cela permet de laisser l'information facile (je n'aurai aucun mal à me rappeler du nom de ma grand-mère et à appliquer ma solution de cryptage à celui-ci si jamais je devais utiliser ma question secrète), mais cela permet de se protéger des "essais" indiscrets, vu qu'on possède un programme d'encodage qui nous est personnel.

# juin 28, 2009 18:41

coq a dit :

Mais on est très loin des moyens utilisables par l'utilisateur normal. C'est lui qui m'inquiète, pas l'utilisateur avancé.

Les gens ne comprennent pas forcément que ce couple question/réponse doit être au minimum aussi sécurisé que leur mot de passe, que le mot "secrète" n'est pas une protection magique qui repousse l'assaillant :-)

# juin 29, 2009 19:36

FREMYCOMPANY a dit :

@coq : Qu'est-ce que l'utilisateur lambda comprend vraiment... Les gens ont des connexions wifi non sécurisées, ils utilsent leur date de naissance comme mot de passe, bref l'utilisateur lamda, par définition, il ne s'y connait pas... D'où le "Ah, je savais pas", après avoir fait une connerie.

C'est pas pour t'alarmer encore plus mais si les gens ne sont pas au courant des conséquences de leurs actes, ils ne font pas attention. Si on met en grand "N'oubliez pas que n'importe qui peut tenter de répondre à votre question secrète pour trouver le mot de passe, même des gens de votre famille", on informe le "lambda", et, par là-même, on lui donne les clés pour sécuriser son compte.

Le problème, ce n'est pas (vraiment) les gens, mais la manière dont ils sont informés/comprennent ce qu'ils font. C'est souvent là que le bas blesse...

Je me trompe ?

# juillet 1, 2009 21:37

coq a dit :

Nous sommes d'accord : ils ne sont pas conscients des risques.

# juillet 2, 2009 18:56

zaurs a dit :

Bonjour,

j'aimerais savoir pourquoi parmi les question de ma réponse secréte je trouve pas la question :

nom de votre premier employeur.

j'aimerais bien utiliser cette question parceque ca me correspond le mieux,comment faire svp?

et merci d'avance

# octobre 8, 2009 16:41

coq a dit :

Eh bien c'est à voir avec le propriétaire de l'application en question, mais le point de cet article était justement de dire que c'était plutôt une mauvaise idée...

# octobre 8, 2009 20:14
Les commentaires anonymes sont désactivés

Les 10 derniers blogs postés

- Merci par Blog de Jérémy Jeanson le 10-01-2019, 20:47

- Office 365: Script PowerShell pour auditer l’usage des Office Groups de votre tenant par Blog Technique de Romelard Fabrice le 04-26-2019, 11:02

- Office 365: Script PowerShell pour auditer l’usage de Microsoft Teams de votre tenant par Blog Technique de Romelard Fabrice le 04-26-2019, 10:39

- Office 365: Script PowerShell pour auditer l’usage de OneDrive for Business de votre tenant par Blog Technique de Romelard Fabrice le 04-25-2019, 15:13

- Office 365: Script PowerShell pour auditer l’usage de SharePoint Online de votre tenant par Blog Technique de Romelard Fabrice le 02-27-2019, 13:39

- Office 365: Script PowerShell pour auditer l’usage d’Exchange Online de votre tenant par Blog Technique de Romelard Fabrice le 02-25-2019, 15:07

- Office 365: Script PowerShell pour auditer le contenu de son Office 365 Stream Portal par Blog Technique de Romelard Fabrice le 02-21-2019, 17:56

- Office 365: Script PowerShell pour auditer le contenu de son Office 365 Video Portal par Blog Technique de Romelard Fabrice le 02-18-2019, 18:56

- Office 365: Script PowerShell pour extraire les Audit Log basés sur des filtres fournis par Blog Technique de Romelard Fabrice le 01-28-2019, 16:13

- SharePoint Online: Script PowerShell pour désactiver l’Option IRM des sites SPO non autorisés par Blog Technique de Romelard Fabrice le 12-14-2018, 13:01