De nombreux sites Web et applications posent des questions de sécurité lors de votre première inscription. Ensuite, ils utilisent les réponses que vous fournissez pour vérifier votre identité chaque fois que vous demandez à changer un mot de passe perdu. Mais les cyberattaquants trouvent souvent des moyens de contourner les questions de sécurité. Comment déroulent-ils vos réponses secrètes et accèdent-ils à votre compte ? Comment contournent-ils ces questions pour pirater vos profils ?
1. Le phishing et l’ingénierie sociale
Le phishing et l’ingénierie sociale sont des techniques qui vont de pair. Le phishing se produit lorsque le pirate se présente comme quelqu’un de différent, c’est-à-dire un faux personnage.
Par exemple, un attaquant peut nous dire dans un appel, un SMS ou un e-mail qu’il représente la société qui détient l’un de nos profils. Il peut nous demander de répondre à certaines questions dans un délai donné pour renforcer notre sécurité. Ou il peut même nous envoyer un lien vers un formulaire en ligne – principalement une fausse réplique du site Web d’origine.
Il y a même des cas où des pirates demandent à leurs victimes de remplir des formulaires Google ou tout questionnaire en ligne sous prétexte qu’ils mènent des recherches. Les pirates utilisent souvent cette technique pour exploiter des individus moins avertis en matière de sécurité.
Bien sûr, une fois qu’ils ont obtenu les informations requises, il devient facile de contourner les questions de sécurité et d’obtenir un contrôle illimité du compte de la cible.
📄 ARTICLE EN LIEN : Qu’est-ce que l’hameçonnage de consentement et pourquoi est-il dangereux?
2. Escroqueries sur les réseaux sociaux
Un aspect négatif des réseaux sociaux est qu’il est difficile de dire qui est réel. Il n’est pas inhabituel pour les cybercriminels de l’utiliser pour tromper les victimes afin qu’elles révèlent leurs réponses aux questions de sécurité.
Un moyen courant pour les pirates informatiques d’y parvenir est de se présenter en tant qu’amis ou abonnés de leurs victimes sur des plateformes de réseaux sociaux telles que Facebook, LinkedIn, Instagram ou Twitter. Utilisant des formes de manipulation psychosociale, ils trompent une victime pour qu’elle lui fasse confiance.
Une fois qu’un cyberattaquant se lie d’amitié avec sa cible sur les réseaux sociaux, il discute avec la victime et divulgue d’abord de fausses informations sur lui-même pour paraître digne de confiance. Dans ce qui ressemble plus à l’une de ces arnaques d’applications de rencontres, ils engagent des conversations sur les intérêts et les goûts de la victime.
Parfois, l’attaquant peut prétendre partager les mêmes intérêts, passe-temps et goûts avec une victime, qui peut finir par partager des informations secrètes sans le savoir, ce qui, bien sûr, est susceptible d’inclure des réponses à des questions de sécurité.
3. Force brute
Bien que les pirates utilisent généralement des attaques par force brute pour déchiffrer les mots de passe, rien ne les empêche de faire de même avec les questions de sécurité. Alors que le forçage manuel prend du temps et de la patience, les algorithmes modernes de forçage brutal simplifient le processus.
De plus, tout en craquant les questions de sécurité, un cyberattaquant n’a besoin de se concentrer que sur les combinaisons de mots plutôt que sur la manipulation de caractères comme c’est le cas avec les mots de passe. Cela rend les questions de sécurité moins difficiles à déchiffrer car il est facile de faire des entrées significatives en combinant différents mots.
Une fois que le pirate connaît les questions posées par un site Web, il lui suffit de forcer brutalement toutes les réponses possibles spécifiques à une victime. Nous pourrions penser que c’est plus difficile pour le pirate si le site Web permet uniquement aux utilisateurs de générer leurs questions. Malheureusement, c’est loin d’être vrai, car les questions générées par les utilisateurs sont souvent moins sécurisées. Par conséquent, les réponses sont probablement plus faciles à deviner.
4. Informations de nos profils en ligne
Bien que les questions de sécurité soient censées être privées et connues de nous seul, nous avons probablement laissé de nombreux indices sur leurs réponses partout sur Internet.
Un pirate informatique peut facilement déchiffrer les réponses à nos questions de sécurité si nous laissons souvent des informations sensibles nous concernant sur nos profils de réseaux sociaux. Cette technique implique généralement que le pirate effectue des recherches intensives sur nos informations en ligne.
Pour ce faire, ils nous recherchent sur des moteurs de recherche comme Google et vérifient nos identifiants de réseaux sociaux, y compris LinkedIn, Facebook, Twitter, Instagram, et plus encore, pour autant d’indices qu’ils peuvent saisir.
Comment sécuriser sa vie numérique ?
Vous avez donc vu comment les cyberattaquants peuvent contourner vos questions de sécurité et accéder à votre compte. Mais comment pouvez-vous rester en sécurité en ligne ? Voici quelques points qui peuvent vous aider.
1. Utiliser l’authentification à deux facteurs
L’authentification à deux facteurs est indispensable à activer pour sécuriser efficacement nos différents comptes (lorsque ce services est disponible). De plus, le combiner avec des questions de sécurité renforce encore la sécurité de notre compte.
Une telle fusion de protocoles de sécurité laisse un attaquant avec des énigmes plus délicates à résoudre. Dans de tels cas, ils ont tendance à abandonner et chercher une autre victime. Ainsi, c’est fonctionnalités est très intéressantes à prendre en compte lorsque nous devons choisir un outil numérique.
📄 ARTICLE EN LIEN : Comment sécuriser ses comptes avec l’authentification à deux facteurs?
2. Éviter d’utiliser des questions et réponses génériques
De nombreuses questions de sécurité sont faciles à deviner car les victimes fournissent souvent des réponses génériques. La situation s’aggrave lorsqu’un site Web ou une application permet aux utilisateurs de générer leurs propres questions de sécurité.
Les réponses à des questions telles que nos passions, notre couleur préférée, notre animal de compagnie, notre film, notre musique ou encore notre nourriture sont relativement faciles à deviner. Donc, il est préférables d’utiliser ce genre d’informations pour sécuriser nos comptes.
Pour des questions plus spécifiques comme le nom de jeune fille de notre mère, etc., nous pouvons également essayer de fournir des réponses plus uniques ; par exemple, ceux-ci n’ont même pas besoin d’être les bons, mais plutôt quelque chose auquel nous les associons. Si nous sommes susceptible d’oublier les réponses que nous avons fournies pour une question particulière parce qu’elle est unique, nous pouvons les stocker dans une application de note cryptée pour les rechercher chaque fois que nous en avons besoin (ou encore dans un coffre fort / gestionnaire de mots de passe par exemple).
3. Supprimer les informations sensibles de nos profils
Les informations personnelles sur nos réseaux sociaux et autres profils en ligne peuvent donner des indices sur nos réponses de sécurité. Il est souvent préférable de supprimer ces détails sensibles de nos profils pour éviter une violation de question de sécurité.
Pour conclure…
Comme l’authentification à deux facteurs, les questions de sécurité ajoutent une autre couche de protection aux services en ligne que nous utilisons. Certains services nécessitent des questions de sécurité avant de fournir un lien de réinitialisation du mot de passe. D’autres services le font après que nous ayons réinitialisé notre mot de passe. Tous ces éléments visent à sécuriser davantage nos comptes.
Quoi qu’il en soit, les pirates informatiques sont souvent confrontés à des boucliers de deuxième couche, tels que des questions de sécurité, lorsqu’ils tentent d’accéder à notre compte. De plus, la façon dont nous utilisons Internet influence énormément le pouvoir des questions de sécurité. Tâchons donc d’être prudent sur les informations que nous laissons trainer en ligne. 😉
Portez-vous bien et à bientôt !