Pour récupérer simplement et rapidement un accès à un compte en ligne dont on aurait perdu le mot de passe, une majorité des sites proposent encore le recours à la fameuse question secrète.

Le principe est simple : lors de son inscription à un site, l'utilisateur est invité à renseigner une réponse à une question "secrète" ( son nom de jeune fille, le prénom de son premier animal de compagnie, son pays favori, son repas préféré...). Lorsque l'utilisateur oublie son mot de passe, il peut alors le récupérer en répondant correctement à cette fameuse question.

Le tout fonctionnait relativement bien avant que les réseaux sociaux n'entrent en jeu, puisque désormais il est plus que probable que vous ayez déjà fourni ces indications sans même le vouloir au fil de vos publications sur Facebook et consort...

Et même sans les réseaux sociaux, il a récemment été démontré que ces questions "secrètes" ne permettaient pas de concentrer suffisamment de réponses originales pour se vouloir fiables. Des chercheurs de Google ont ainsi analysé des centaines de millions de questions secrètes ainsi que leurs réponses permettant de récupérer ses identifiants aux comptes Google.

Un petit calcul de probabilité, et le constat est flagrant : des hackers ont énormément de chances de deviner les réponses en misant sur des termes basiques. Un hacker aurait ainsi 19,7 % de chance de deviner avec succès la réponse utilisée à la question " quel est votre plat préféré". Et juste au cas où cela vous inquiète, la réponse la plus largement utilisée pour cette question est la pizza.

Pour deviner une ville de naissance d'un compte d'une personne parlant coréen, un hacker aura 39 % de chance de viser juste au bout de la 10e tentative.

Et pas question de se sentir rassuré en se disant que l'on a choisi une fausse bonne réponse pour tenter de biaiser le système, puisque même dans nos choix de fausses réponses, les redondances sont suffisamment significatives pour représenter un risque sécuritaire.

Paradoxalement, le recours aux questions et réponses plus complexes n'est pas employé par les utilisateurs, principalement parce qu'elles sont aussi bien souvent plus difficiles à retenir que le mot de passe que l'on cherche à récupérer... La boucle est donc bouclée.

Une des solutions serait d'imposer la réponse à plusieurs questions, mais là encore, c'est l'utilisateur qui trouvera le processus trop lourd et qui risquerait également d'oublier l'une des réponses choisies au préalable...

Finalement la meilleure chose à faire serait d'abandonner ce système et d'opter pour une authentification forte basée sur l'envoi d'un SMS. Restera alors à ne plus perdre son smartphone ou sa ligne téléphonique.