Je ne vous dirai pas le nom de mon chat quand j’étais petite. Quand j’étais toute jeune, ce nom tout droit sorti des studios de Walt Disney me plaisait. Mais plus tard, j’ai pu en mesurer le ridicule quand j’ai dû crier ce nom à tue-tête pendant des heures pour retrouver la malheureuse bête perdue en forêt.

Stéphanie Grammond Stéphanie Grammond
La Presse

Mais ce n’est pas pour cela que je ne vous dirai pas le nom de mon chat. Plutôt par souci de sécurité. La semaine dernière, quand j’ai voulu vérifier mon dossier de crédit, on m’a justement ressorti la fameuse question de sécurité pour récupérer le mot de passe que j’avais oublié : 

– Quel était le nom de votre premier animal de compagnie ?

Facile, je n’en ai eu qu’un seul. Mais j’ai eu beau entrer son nom, son diminutif encore plus affreux, avec et sans majuscule au début, rien n’y a fait. Zut de zut ! J’ai été obligée de donner ma langue au chat… et d’envoyer un courriel au service à la clientèle qui a mis des jours à me revenir.

Mais quelle est la valeur de ce genre de questions personnelles ? Forment-elles des barrières suffisantes pour protéger nos renseignements personnels ?

Ces questions sont d’actualité, à la lumière du vol d’identité de 2,9 millions de membres du Mouvement Desjardins et de 6 millions de clients canadiens de l’émetteur de cartes de crédit américain Capital One.

***

Ce n’est pas d’hier que l’efficacité de ces questions de sécurité est remise en question. Dès les années 90 et 2000, des études ont prouvé leurs failles.

Par exemple, une enquête diffusée par l’IEEE Computer Society a déjà démontré que 20 % des répondants ne se souviennent plus de leurs propres réponses de trois à six mois plus tard. C’est encore plus vrai pour des questions dont la réponse peut varier dans le temps, comme : 

– Quelle est votre chanson préférée (42 %) ?

– Qui était votre héros de jeunesse (48 %) ?

– Quel est votre passe-temps favori (34 %) ?

Le hic, c’est qu’en optant pour des questions plus simples, les réponses deviennent faciles à deviner par l’entourage.

En général, près du quart des proches (22 %) sont capables de répondre. Et la moitié d’entre eux connaissent la réponse aux questions plus évidentes comme : 

– Le nom de votre animal (juste à regarder sur Facebook)

– L’endroit où vous êtes né (Montréal, facile)

– Votre équipe sportive préférée (ben oui, le Canadien !)

Vous me direz que ce n’est pas si grave puisqu’il s’agit de vos proches. Mais qu’arriverait-il si un collègue jaloux ou un de vos ex perçait vos comptes ?

Mais il y a pire : 13 % des réponses à vos questions de sécurité peuvent être aisément devinées par un parfait inconnu après cinq essais. C’est particulièrement vrai pour des questions dont les réponses sont très homogènes au sein d’une communauté, comme : 

– Le nom de votre équipe sportive préférée (décryptée dans 57 % des cas)

– Votre ville préférée (30 %)

– La marque de votre première voiture (25 %)

***

« Ce n’est pas un secret que le nom de votre chien n’est un secret pour personne », convient Jordan Prokopy, leader nationale pour la protection de la vie privée et des données chez PwC.

« Ça devient facile pour quelqu’un de deviner la réponse à ce genre de questions avec l’information disponible en ligne et avec toutes les fuites de données dont on fait état dans les médias. Certaines d’entre elles peuvent inclure la réponse à ces questions de sécurité », dit-elle.

C’est sans compter que les fraudeurs peuvent utiliser des logiciels permettant de voler les informations tapées sur le clavier et ainsi d’intercepter les mots de passe et les réponses aux questions de sécurité.

Alors ne serait-il pas temps d’envoyer ces questions de sécurité aux oubliettes ? Oui, mais par quoi les remplacer ?

De plus en plus d’entreprises utilisent un processus d’identification à double facteur d’identification incluant l’envoi d’un code de sécurité par message texte. Fort bien.

On commence aussi à voir des méthodes d’authentification qui reposent sur la reconnaissance faciale ou vocale. Pensez aux nouvelles versions de l’iPhone qui utilisent votre joli minois pour vous donner accès à votre téléphone.

Ces nouvelles technologies de l’avenir sont peut-être plus sûres, mais elles ne sont pas infaillibles pour autant. L’iris, le visage ou l’empreinte digitale peuvent aussi être dérobés.

« Ce sont des informations numériques contenues sur un serveur quelque part. Il n’est pas nécessaire de couper le doigt d’un individu comme dans les films d’espionnage pour obtenir son empreinte digitale », dit Jean Triquet, directeur principal, conseils, cybersécurité et protection de la vie privée et des données chez PwC.

En cas de vol, bonne chance ! Si vous êtes capable de remplacer un mot de passe, vous ne pouvez pas changer vos données biométriques comme l’empreinte digitale. Lorsque ces données sont compromises, impossible de revenir en arrière.

En attendant ces solutions à la Star Trek, si on vous demande le nom de jeune fille de votre mère, vous pouvez toujours donner une fausse réponse pour dérouter les fraudeurs. Elle s’appelle Tremblay ? Vous pouvez la rebaptiser Smith. Là, ce sera un vrai secret !