Skip to main content
La fin des questions de sécurité : pourquoi la KBA est morte

La fin des questions de sécurité : pourquoi la KBA est morte

March 12, 2025

6

min read

Stratégie de sécurité

La fin des questions de sécurité
Figure 1 : le déclin des identifiants de connaissance statiques

Le paradoxe du « nom de jeune fille de votre mère »

Depuis 30 ans, les banques et les opérateurs télécoms s’appuient sur l’authentification basée sur la connaissance (KBA).
« Quelle était votre première voiture ? »
« Dans quelle rue avez-vous grandi ? »

En 2010, c’était une information « secrète ».
En 2025, c’est du domaine public.

La menace du scraping par LLM

Les agents d’IA générative peuvent désormais récupérer 15 ans d’historique de réseaux sociaux en quelques secondes.

  • Cette photo de votre première Honda Civic sur Instagram (2014) ? L’IA connaît votre première voiture.
  • Ce post « Throwback Thursday » sur la maison de votre enfance ? L’IA connaît votre rue.

Identifiants statiques vs. dynamiques

Les mots de passe et les réponses sont statiques. Une fois volés (ou devinés), ils restent valables pour toujours jusqu’à ce qu’on les change.
La voix est dynamique.

  • Elle ne peut pas être volée dans une base de données.
  • Elle exige une « détection du vivant » (liveness) pour fonctionner.
  • Elle change subtilement avec le temps et le contexte, ce qui rend impossible de la « rejouer » efficacement face aux détecteurs modernes.

Le coût de la friction

Au-delà de la sécurité, la KBA est la cause n° 1 de frustration des clients.

  • Temps moyen pour répondre à 3 questions de KBA : 45-60 secondes.
  • Taux d’échec : 15-20% (des clients légitimes qui oublient leurs réponses).
  • Temps d’authentification vocale : 3 secondes (passive).

Aller de l’avant

Le secteur bascule des facteurs de « connaissance » (ce que vous savez) vers les facteurs d’« inhérence » (ce que vous êtes).
Si votre sécurité repose sur la mémoire de vos clients, vous êtes déjà piratés.

Passez à la biométrie.

Tags:

KBAAuthentificationIngénierie socialeCybersécurité