Pour déterminer les données à collecter, réfléchissez d'abord à la meilleure manière d'authentifier les utilisateurs autrement qu'avec le couple habituel : nom d'utilisateur / mot de passe. Il existe de nombreux exemples non techniques de ce genre d'authentification. C'est ainsi qu'une conversation téléphonique avec un agent de service client ou
Etape 1 : Collecte des données
avec un organisme financier
commence inévitablement par
quelques questions dont la réponse
rassure l’agent sur l’identité de l’appelant.
Certains organismes se contentent
de l’adresse et du numéro de
compte. D’autres demandent des informations
personnelles comme le
nom de jeune fille de la mère ou un
mot de passe de compte. Ces questions
de base assurent une authentification
de personne à personne. Les
deux interlocuteurs peuvent ensuite poursuivre la discussion sur un plan
plus technique.
Pour commencer à collecter des renseignements confidentiels sur l’utilisateur,
créez une page Web sécurisée
par NTFS (data_collection.asp dans
l’exemple d’application) qui présente
entre quatre et six questions personnelles,
comme le montre la figure 1.
Ces questions-défi doivent répondre à plusieurs critères. Ce doit être des réalités
que seul l’utilisateur connaît, que
l’on ne peut pas trouver dans des bases
de données d’entreprise ou dans des
stockages d’informations publics et
qu’on ne peut pas deviner en faisant
preuve d’imagination (c’est-à -dire que
les intrus ne peuvent pas trouver les
réponses par intuition, conversation
banale, ou connaissance des traits physiques physiques
de l’utilisateur). De plus, les réponses
doivent être statiques (c’est-à dire
que le renseignement ne change
pas si l’utilisateur change de fonction
ou de lieu). Ces critères excluent des
questions sur, par exemple, le service
dans lequel l’utilisateur travaille, son
adresse personnelle, son numéro de
téléphone.
Presque tout le monde peut fournir
des informations généalogiques
comme l’anniversaire des parents, l’année
de naissance de la mère, ou le nom
du grand-père maternel. Ce genre d’informations
est difficile à découvrir par
des relations et des contacts ordinaires
et, par conséquent, peut constituer
des données statiques intéressantes.
On peut aussi considérer des défis ouverts
à l’interprétation de l’utilisateur,
comme demander une date mémorable.
De telles questions ne précisent
pas le genre de date : d’anniversaire,
de naissance, de recrutement, ou
autres. Vous pouvez aussi laisser les utilisateurs
formuler la question et la réponse.
Cette méthode est probablement
la plus sûre parce que les
imposteurs devraient alors découvrir à
la fois la question-défi et la réponse. Il
n’est pas facile de trouver des questions-
défi remplissant tous les critères
nécessaires ; par conséquent, laisser la
question aux seules mains des utilisateurs
n’est peut-être pas le meilleur
choix. Pour que les données soient à la
fois statiques et difficiles à découvrir, il
faut équilibrer les questions-défi définies
par l’utilisateur et prédéfinies.
Téléchargez cette ressource
Plan de sécurité Microsoft 365
Les attaquants savent comment prendre le contrôle de votre tenant Microsoft 365, et vous, savez-vous comment le reprendre en main ?
Les articles les plus consultés
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- Et si les clients n’avaient plus le choix ?
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Les 6 étapes vers un diagnostic réussi
- Cybersécurité Active Directory et les attaques de nouvelle génération
Les plus consultés sur iTPro.fr
- Cybersécurité française 2026 : explosion des startups, ralentissement des scale-ups et virage stratégique de l’IA
- Le Cercle de l’Innovation décerne le Prix de l’Innovation du Public 2026
- Avec l’IA agentique, la robustesse des SI redevient stratégique
- Les erreurs du secteur bancaire dans son approche IA
Articles les + lus
Couchbase lance AI Data Plane pour industrialiser l’IA agentique
Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
Computex 2026 : 5 signaux forts à retenir
La chaîne d’approvisionnement, point de rupture récurent du SI
Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
À la une de la chaîne Tech
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
- Computex 2026 : 5 signaux forts à retenir
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
