// CLUBIC — MOBILE & WEB
Non, vous ne devriez pas faire ces quiz sur Facebook
Vous continuez à aller sur Facebook pendant votre pause déjeuner ? Attention à ces petits jeux qui circulent. Derrière leur apparence ludique, ils collectent précisément les informations que les banques utilisent pour vérifier votre identité à distance.
Yegor Sak, fondateur du service VPN Windscribe, a expliqué ce mécanisme dans une interview accordée à TechRadar. Selon lui, ces quiz, en apparence anodins, fonctionnent en réalité comme des formulaires de collecte ciblée, capables de contourner les systèmes de sécurité bancaires sans recourir au moindre logiciel malveillant.
Qui n'a jamais oublié un mot de passe et tenté de récupérer un compte en ligne en répondant à des questions de sécurité remplies à la va-vite des années plus tôt ? Nom de jeune fille de la mère, nom du premier animal, nom de la rue de son enfance… ces quiz les collectent une par une, sous couvert de jeu. Un format qui demande votre "nom de scène" en combinant premier animal et nom de votre mère n'est pas un divertissement. C'est un formulaire de réinitialisation de compte déguisé.
"Si un inconnu vous abordait dans la rue pour vous demander le nom de jeune fille de votre mère, votre premier animal et la rue où vous avez grandi, vous lui tourneriez le dos. Enrobez ces mêmes questions dans un quiz sur les personnages de sitcom des années 90, et les gens tapent les réponses dans une base de données appartenant à quelqu'un qu'ils ne rencontreront jamais."
La mécanique repose uniquement sur la psychologie : posée directement, la question met les gens sur leurs gardes. Habillée en jeu, elle ne provoque aucune méfiance.
La menace n'est pas nouvelle, loin de là, mais elle reste encore bien active. Déjà en 2020, une enquête du bureau du commissaire britannique à l'information (ICO) confirmait que des applications de type quiz avaient collecté les données de dizaines de millions d'utilisateurs sans qu'ils en soient informés. La Federal Trade Commission américaine avait d'ailleurs donné l'alerte en 2023 en affirmant précisément que les réponses collectées servent à déclencher des réinitialisations de mots de passe et à vider des comptes bancaires.
Si vous avez déjà perdu votre temps sur l'un de ces "jeux", le fondateur de Windscribe estime que la meilleure chose à faire est de se connecter à ses comptes en ligne puis de remplacer les vraies réponses par des chaînes fictives sans lien avec sa vie réelle. Ces réponses doivent ensuite être conservées dans un gestionnaire de mots de passe, comme n'importe quel identifiant. "Les données sont parties. La seule chose qui reste à faire, c'est de changer vos questions/réponses de sécurité partout, et de ne plus utiliser de questions dont les réponses existent sur Internet", conclut-il. Encore à l'heure actuelle, beaucoup de services en ligne maintiennent ces méthodes de vérification malgré leurs failles. Pourtant, des alternatives biométriques ou matérielles existent depuis plusieurs années.