Vers la fin d’un long après-midi récent dans un cubicule terne d’une succursale locale de l’un des plus grands systèmes bancaires du monde, je suis entré dans une autre dimension. Mon épouse et moi avions passé notre temps à signer des formulaires et à présenter des photos d’identité pour ouvrir un nouveau compte dont nous avions besoin. La femme de l’autre côté du bureau avait rapidement tapé des numéros de téléphone et des adresses. Puis elle a dit qu’elle avait juste besoin de poser quelques questions de sécurité. Quel était le nom de la rue où j’ai grandi ? Quel était le nom de jeune fille de ma mère ? J’ai soudain eu l’impression désagréable d’avoir été transporté dans un film rétro de Florence Pugh. Qui grandit dans une seule rue de nos jours ? Dont la mère était une maiden? Est-ce que moi – une femme qui partageait des enfants avec l’homme assis à côté d’elle mais ne partageait pas son nom – j’en avais déjà été une ?
“Maiden” se trouve juste à côté de “co-ed” et “love child”, toujours aussi populaires, dans le panthéon des expressions que personne ne devrait plus utiliser. Nous sommes au 21e siècle et beaucoup de femmes vont à l’université ; les personnes non mariées ont des bébés, et tout le monde n’a pas une mère hétérosexuelle et cisgenre qui a absorbé la nomenclature d’un mari lorsque son père la lui a remise avec sa dot.
Ces développements ne sont pas nouveaux. Comme l’écrivait Kate Tuttle pour Salon en 2015, le concept des noms de jeune fille ” nous rappelle une chose : le mariage en tant qu’institution exigeait autrefois une mariée vierge qui passait de la maison de son père à celle de son mari, et que le nom qu’elle avait porté depuis sa naissance était jeté avec sa virginité à l’occasion de son mariage. “
Environ 20 à 30 % des femmes aux États-Unis conservent leur nom de naissance lorsqu’elles se marient. Cela représente des millions de femmes, dont beaucoup sont ou seront la mère de quelqu’un. Un tiers des enfants américains vivent actuellement avec un seul parent. Entre 2 et 3,7 millions d’enfants américains de moins de 18 ans sont élevés par au moins un parent LGBTQ. Même parmi ceux d’entre nous qui ont ou ont eu des mères portant des noms de jeune fille et de femme mariée traditionnels, tout le monde ne veut pas avoir un rappel de ses parents ou de ses grands-parents lorsqu’il s’agit simplement de remplir des formulaires. Le “nom de jeune fille” est un concept de plus en plus obsolète.
D’autres questions de sécurité standard semblent presque aussi désuètes et étranges. Comment quelqu’un qui a déménagé plusieurs fois dans son enfance – ce qui a été le cas de mon épouse et de moi-même – choisit-il la rue où il a grandi ? Comment une personne qui n’a jamais possédé de voiture peut-elle nommer le “modèle de sa première voiture” ? Comment une personne ayant fait l’école à la maison pourrait-elle nommer une école primaire ou secondaire ? Ou encore, comment une personne dont les antécédents financiers, religieux ou culturels sont très variés pourrait-elle nommer un “premier concert” ?
Il est vrai que le système de sécurité d’une banque, extrêmement aléatoire et datant probablement des années 90, n’est pas le premier endroit vers lequel on se tourne pour avoir une idée nuancée de l’identité moderne et de la dynamique familiale. Mais ce qui est d’autant plus troublant, c’est que ces questions de sécurité faciles et, pour beaucoup, sans réponse, ne sont même pas vraiment sûres.
En 2008, un homme du nom de David Kernell s’est introduit directement dans le compte de messagerie Yahoo de Sarah Palin, alors candidate à la vice-présidence, en utilisant le système de récupération de mot de passe et en répondant à quelques questions de sécurité facilement consultables, comme sa date de naissance et le lieu où elle a rencontré son conjoint. Peu après, il a posté sur 4chan que “ça a pris sérieusement 45 mins sur wikipedia et google pour trouver l’info”. [sic] Ce sont les mêmes questions que votre banque ou votre réseau social vous posent probablement encore aujourd’hui, toutes ces années plus tard.
Si vous n’êtes pas le gouverneur de l’Alaska, vous pensez peut-être que vos informations personnelles ne sont pas aussi accessibles ou alléchantes pour les autres. Mais faites un peu de recherche créative sur Google et voyez comme il est facile de trouver vos écoles, vos adresses précédentes et probablement même votre premier concert et le nom de votre premier animal de compagnie. Pensez ensuite que votre argent, vos informations de crédit, tout ce que vous pouvez imaginer sur vous, peut être caché derrière – et c’est une vraie question de sécurité – le deuxième prénom de votre frère ou sœur aîné(e). (Les premiers-nés et les onliens n’ont pas besoin de répondre, je suppose).
En 2016, Yahoo a admis un précédent piratage qui avait compromis les informations personnelles d’environ 500 millions d’utilisateurs. Comme le rapporte le Guardian, “Yahoo n’a pas chiffré toutes les questions de sécurité qu’il stockait, et certaines sont donc lisibles en clair”. S’il peut être irritant de devoir changer un mot de passe volé, il est un peu plus grave de devoir changer le nom de jeune fille d’une mère volée.”
Si c’est aussi simple pour un étranger de comprendre comment craquer votre sécurité, imaginez à quel point cela pourrait être plus simple pour quelqu’un qui vous connaît. Un livre blanc de 2015 de Stanford intitulé “Secrets, Lies, and Account Recovery : Lessons from the Use of Personal Knowledge Questions” (Secrets, mensonges et récupération de comptes : leçons tirées de l’utilisation des questions de connaissances personnelles), publié par Stanford en 2015.Google” a révélé que “les réponses des utilisateurs peuvent être facilement accessibles à des partenaires, des amis ou même des connaissances.” Une étude citée a montré que même des connaissances “pouvaient deviner 17% des réponses des utilisateurs”. [security] en cinq tentatives ou moins”, et qu'”en utilisant une seule estimation, un attaquant aurait un taux de réussite de 19,7 % pour deviner les réponses des utilisateurs anglophones à la question ‘nourriture préférée'”. Le livre blanc conclut, sans surprise, que “les questions secrètes offrent généralement un niveau de sécurité bien inférieur aux mots de passe choisis par l’utilisateur.”
Sachant à quel point ces questions de sécurité sont facilement exploitables, pourquoi alors certaines des plus grandes entreprises du monde continuent-elles à les poser ? C’est en partie parce que ces réponses sont censées être faciles à retenir pour vous. Lorsque vous avez échoué à trouver votre mot de passe pour la dixième fois, votre vieille mère ou votre animal de compagnie bien-aimé devrait toujours être facile à retrouver dans votre mémoire.
Mais Ric Hawkins, un ancien conseiller financier qui écrit actuellement sur les logiciels d’IA, le référencement, le marketing de contenu et l’investissement, explique que ces questions ne sont pas intentionnellement simples pour notre bénéfice. “Pour commencer, elles sont relativement bon marché et faciles à mettre en œuvre”, dit-il. “Ils ne nécessitent aucun matériel ou logiciel spécialisé, et les propriétaires d’entreprises n’ont pas à se soucier de former leurs employés à leur utilisation. Dans de nombreux cas, il s’agit d’un manque de créativité. Avec un tel nombre de comptes à gérer, il est facile pour les entreprises de se contenter des mêmes questions, encore et encore. Par conséquent, les pirates peuvent facilement trouver les réponses à ces questions en creusant un peu.”
Alors que sommes-nous censés faire lorsqu’on nous présente ces options ridicules ? Le mensonge. Steve Weisman, expert en sécurité et auteur de “Identity Theft Alert : 10 Rules You Must Follow to Protect Yourself from America’s #1 Crime” (Alerte au vol d’identité : 10 règles à suivre pour se protéger du crime n°1 en Amérique), déclare : “Il n’y a aucune raison pour que vous deviez répondre honnêtement à une question de sécurité. Ainsi, la réponse à la question concernant le nom de jeune fille de votre mère peut être ‘firetruck’. C’est tellement idiot que vous vous en souviendrez et qu’aucun pirate ne pourra jamais le deviner.”
On peut et on doit contourner ces questions de sécurité en inventant (et en se souvenant !) des questions alternatives. Mais il serait également intéressant que nous passions tous au 21ème siècle. Ce n’est pas seulement à moi, en tant que consommateur, de trouver des réponses plus introuvables. Ce devrait être aux banques et aux entreprises de commencer à inventer de meilleurs systèmes de sécurité.
Lentement, cela commence à se produire. Des options plus sûres comme l’authentification à deux facteurs deviennent de plus en plus la norme. Et pour ce qui est de la question du nom de jeune fille de la mère, “honnêtement, je ne le vois pas beaucoup utilisé de nos jours”, déclare Chris Fletcher, vice-président senior des comptes nationaux chez Crest Capital, “à l’exception des sociétés de cartes de crédit, et je soupçonne qu’elles vont le supprimer progressivement si ce n’est déjà fait”. M. Fletcher note : “Il n’est plus pertinent aujourd’hui. Il s’agit d’une époque révolue où nous supposions que “tout le monde” appartenait à une famille nucléaire stéréotypée, même si ce n’était pas le cas. Toutes ces questions de sécurité reposent sur une hypothèse stéréotypée. Première voiture, premier animal domestique, premier concert… elles supposent toutes une vie de classe moyenne avec des concerts, des animaux domestiques et des voitures.” Et ça, dit-il, “c’est un problème”.
J’ai le même nom de famille que celui avec lequel je suis née – le nom de l’homme auquel ma mère était mariée pendant trois mois entiers de sa grossesse avec moi. Ce n’est pas mon nom de jeune fille ; c’est juste mon nom. C’est aussi le troisième nom de famille le plus courant en Amérique, donc si vous voulez essayer de deviner le nom de jeune fille de la mère de quelqu’un, le mien est une assez bonne supposition. C’est peut-être pour cela que mes filles trouvent ces questions sur le “nom de jeune fille de leur mère” si étranges. Lorsque je me suis assise à côté de ma fille de 18 ans en août alors qu’elle ouvrait un nouveau compte bancaire, elle m’a jeté un bref regard perplexe lorsque la question a été posée. Puis elle a sagement donné celui de sa grand-mère à la place.
