Rappelons d’abord rapidement l’intérêt et les conditions d’utilisation de ces questions. On utilise les questions secrètes (ou de sécurité) le plus souvent lorsque l’utilisateur oublie le mot de passe de son compte. Cela permet de garantir que la personne qui va réinitialiser le mot de passe est bien celle qu’elle prétend être. Bien sûr, aucun système n’est infaillible, mais cela réduit considérablement les risques.
Le principe est le suivant : lors de la création d’un compte, généralement auprès d’un service dans lequel vous avez des données personnelles sensibles (banque, messagerie, etc.), on demande à l’utilisateur de choisir une ou plusieurs questions de sécurité pour lesquelles lui seul saura donner la réponse. Elles doivent être aussi sécuritaires qu’un mot de passe sans être « encryptées ». C’est là que réside le défi !
Fig. 1 - Exemple de question de sécurité chez Paypal
Dans un futur plus ou moins proche, si l’utilisateur souhaite modifier son mot de passe, il devra être en mesure de fournir la réponse aux questions de sécurité qu’il avait sélectionnées. Évidemment, pour “simplifier”, les différents services auxquels il s’inscrit n’offrent pas toujours la même liste de questions !
