Comment j’ai piraté mes propres questions de sécurité de mon identifiant Apple ?

Pourquoi des questions telles que «Quel est le nom de jeune fille de votre mère ?» ou «Qu’est-ce que vous avez fait l’été dernier ?» ne vous protègent pas.

Au début de l’année 2012, je m’étais acheté un MacBook. A cette époque, j’en connaissais peu sur les nouvelles technologies, et je n’avais pas prévu d’acheter d’autres dispositifs Apple. J’avais démarré l’ordinateur et m’étais créé un identifiant Apple. Comme demandé, j’avais choisi un mot de passe et plusieurs questions de sécurité.

Quatre ans plus tard, je me suis acheté un iPad, et je m’étais bien évidemment téléchargé plusieurs applications intéressantes (certaines d’entre elles que j’avais trouvées sur cette liste élaborée par mes collègues). Mon compte avait de la valeur à mes yeux, donc j’ai commencé à penser de quelle façon je pouvais le protéger. C’est la raison pour laquelle j’avais décidé d’activer l’authentification à deux facteurs.

Ce n’était pas aussi simple que ça aurait dû l’être : Apple ne m’autorisait pas à modifier quoi que ce soit jusqu’à temps que je réponde parfaitement à mes questions de sécurité. Et les réponses que je mettais ne correspondaient pas.

Quand j’ai essayé de changer les questions de sécurité, j’ai découvert que le second e-mail utilisé pour effectuer de telles opérations n’était pas vérifié. Je n’ai aucune idée de pourquoi Apple traiterait un e-mail non vérifié comme actif, mais il l’a bel et bien fait, et c’est ainsi qu’a commencé le cercle vicieux.

J’ai cliqué plusieurs fois sur le lien de l’e-mail de vérification mais je n’ai reçu aucun mail de confirmation. Rien n’allait comme prévu. Ce n’était pas le moment de demander de l’aide au support technique, donc je n’avais qu’un seul moyen de m’en sortir, je devais pirater mes propres questions de sécurité.

Pourquoi pirater les questions ?

Les questions que j’avais choisies quatre ans auparavant n’étaient pas si compliquées. Mais en me penchant sur les réponses, je me suis rendu compte que tout le monde pouvait tomber dessus en regardant mon CV ou mes réseaux sociaux.

-Où avez-vous travaillé pour la première fois ?

LinkedIn est manifestement l’endroit où trouver la réponse.

-Où vos parents se sont-ils rencontrés ?

Mes parents ont grandi, se sont rencontrés et mariés dans la même ville où je suis née. Plein de gens ont la même histoire de vie. Et beaucoup d’entre eux indiquent leur ville d’origine sur les réseaux sociaux (qui leur demandent en général). Cette question n’est pas sûre du tout.

-Quel est votre livre préféré lorsque vous étiez enfant ?

Eh bien, il se trouve que j’ai plusieurs livres préférés de mon enfance, mais si je devais en choisir un, je dirais sûrement Le Hobbit, de J. R. R. Tolkien. Comme pour les questions précédentes, il ne s’agit pas d’un secret. Premièrement, le livre est très populaire. Deuxièmement, mes amis et camarades de la fac savent que j’ai écrit plusieurs mémoires sur Le Hobbit. Ma thèse de doctorat était consacrée à onze traductions en russe de Le Hobbit ! En fin de compte, le seul mystère demeurant autour de cette question est de savoir si j’avais écrit le titre abrégé ou complet :  » Le Hobbit, ou Bilbo le Hobbit  » il y a quatre ans de cela.

security-questions-screenshot-en

Si je connaissais toutes les réponses, alors pourquoi mes réponses ne correspondaient pas ? La réponse est simple : l’anglais était la langue principale de mon compte, et cela voulait dire que les questions de sécurité étaient aussi en anglais. Mais il y a quatre ans, j’y avais répondu en russe. Quand j’ai changé la langue et saisi à nouveau les mêmes réponses, elles ont concordé. Mais même pour les personnes qui n’ont pas changé la langue, les réponses de sécurité peuvent s’avérer problématiques. Avez-vous utilisé les majuscules appropriées ? Des abréviations ? Des surnoms ?

J’ai commencé à penser sur ce qui faisait une bonne question de sécurité, et une bonne réponse.

Quest-ce quune bonne question de sécurité ? Si vous deviez choisir une question dans une liste, laquelle choisiriez-vous ?

Cinq critères nous aident à distinguer les bonnes questions de sécurité des mauvaises.

  1. L’anonymat. Les questions doivent être difficiles à deviner ou retrouver. Par exemple, le nom de jeune fille de votre mère, n’est pas une question fiable. Pas besoin de vous faire un dessin pour vous expliquer pourquoi.
  1. La stabilité. Les réponses ne doivent pas changer au fil du temps. Evitez les questions « préférées ». Votre travail, votre nourriture, votre groupe, votre film, votre restaurant, votre lieu de vacances préféré(s) peuvent changer d’ici quelques anné
  1. La mémorabilité. Nous entrons des mots de passe relativement souvent, mais il est rare qu’on réponde à des questions de sécurité. Même si vous vous rappelez du nom de votre professeur en primaire quand vous étiez ado, vous l’avez sans doute oublié au fil du temps lorsque vous avez eu 30 ans (ou 60). Par conséquent, essayez de ne pas choisir de questions dont vous oublierez probablement les réponses d’ici 10 ou 20 ans.
  1. Simplicité. Certaines questions ont de multiples réponses possibles. Où a eu lieu votre premier baiser? Ce pourrait être « New York, » « New York City, » « NYC, »  » Central Park, » ou du moins d’autres options. Ne vous compliquez pas la tâche, évitez les questions où plusieurs réponses sont possibles.
  1. Choisissez la multiplicité. Les questions qui requièrent un « oui » ou « non » comme réponse sont à éviter impé Même un inconnu a 1 chance sur 2 de deviner la bonne réponse! Les bonnes questions de sécurité doivent impliquer une multitude de réponses dont vous seriez le seul à bien y répondre.

Méfiez-vous de lhameçonnage sur les réseaux sociaux

Vous avez sans doute vu des enquêtes sur les réseaux sociaux ou des tests vous invitant à un petit moment de nostalgie, et à partager les « 7 premiers lieux où vous avez travaillé… », ou « votre premier voyage en avion… ». Il s’agit d’un trésor pour les ingénieurs sociaux. En fait, ce sont souvent les cybercriminels qui y sont à l’origine.

 

Si vous le souhaitez, vous pouvez modifier la réponse même s’il s’agit de la pire question de sécurité, afin que personne ne puisse la deviner. A la question : Quel est le nom de jeune fille de votre mère ? Vous pourriez répondre XCU*(&S1042! Evidemment, vous devez vous assurer de vous en rappeler par la suite.

Ou encore mieux, vous pouvez prendre le nom de jeune fille de votre mère Woodhouse et ne garder que les consonnes pour faire wdhs. Ou mème entrecouper votre date de naissance 04.08.80 pour obtenir 04wd08hs80. Il ne s’agit pas d’une astuce brillante, mais beaucoup mieux que la réponse originale.

Ce genre de méthode est efficace pour les questions de sécurité auxquelles vous êtes obligé de répondre fréquemment, par exemple, lorsque vous appelez votre banque. Si vous devez vous en rappeler de temps en temps, vous n’oublierez pas la combinaison.

Cependant, il existe de meilleures façons de protéger vos comptes que les questions de sécurité, par exemple l’authentification à deux facteurs.

Conseils