L’authentification à deux facteurs dans notre quotidien

Vous ne le réalisez peut-être pas, mais vous utilisez régulièrement l’authentification à deux facteurs. Lorsque vous glissez votre carte de débit et que vous êtes invité à entrer votre NIP ou à montrer votre permis de conduire lorsque vous faites un chèque lors de l’achat de véhicule au concessionnaire automobile? Chacune de ces méthodes est une forme d’authentification à deux facteurs. Le premier exemple vous oblige à posséder votre carte et à connaître votre NIP. La seconde vous oblige à posséder votre chéquier et à prouver que votre visage correspond à la photo d’identité sur votre carte d’identité.

L’authentification à deux facteurs nécessite deux façons de prouver votre identité et peut également être utilisée pour protéger vos différents comptes en ligne. Il n’offre pas une sécurité parfaite et nécessite une étape supplémentaire lors de la connexion à vos comptes, mais il rend vos données plus sécurisées en ligne.

Comment fonctionne l’authentification à deux facteurs en ligne?

L’authentification à deux facteurs (2FA) – également connue sous le nom de vérification en deux étapes ou d’authentification multifactorielle – est largement utilisée pour ajouter une couche de sécurité à vos comptes en ligne. La forme d’authentification à deux facteurs la plus courante lors de la connexion à un compte est le processus de saisie de votre mot de passe, puis la réception d’un code via le texte sur votre téléphone que vous devez ensuite saisir. La deuxième couche de l’authentification à deux facteurs signifie qu’un pirate informatique ou toute autre personne néfaste aurait besoin de voler votre mot de passe avec votre téléphone pour accéder à votre compte.

Il existe trois types d’authentification:

• Quelque chose que vous savez: un mot de passe, un NIP, un code postal ou une réponse à une question (nom de jeune fille de votre mère, nom de votre animal domestique, etc.) ;
• Quelque chose que vous avez: un téléphone ou une carte de crédit ;
• Quelque chose que vous êtes: épreuve biométrique, tel qu’une empreinte digitale, une captation de la rétine, votre visage ou votre voix.

Comment fonctionne le deuxième facteur?

Après avoir entré votre mot de passe – le premier facteur d’authentification – le deuxième facteur arrive généralement par SMS. Autrement dit, vous obtiendrez un texte avec un code numérique que vous devrez ensuite saisir pour vous connecter à votre compte. Contrairement à un NIP pour une carte de débit, un code 2FA n’est utilisé qu’une seule fois; chaque fois que vous vous connectez à ce compte, vous recevrez un nouveau code.
Alternativement, vous pouvez utiliser une application d’authentification dédiée pour recevoir des codes au lieu de vous les envoyer par SMS. Les applications d’authentification les plus courantes sont Google Authenticator, Authy et DuoMobile.

Dois-je utiliser SMS ou une application?

De nombreux sites et services, dont Amazon, Dropbox, Google et Microsoft, vous offrent la possibilité d’utiliser SMS ou une application d’authentification. Twitter est le plus grand exemple de site qui vous oblige à utiliser les SMS. Si vous avez le choix, utilisez une application d’authentification.

La réception de codes par SMS est moins sécurisée que l’utilisation d’une application d’authentification. Un pirate pourrait intercepter un SMS ou détourner votre numéro de téléphone en convainquant votre opérateur de le transférer vers un autre appareil, ou, si vous synchronisez des messages texte avec votre ordinateur, un pirate pourrait avoir accès aux codes SMS en volant votre ordinateur.

Une application d’authentification a l’avantage de ne pas avoir besoin de s’appuyer sur votre opérateur; les codes sont envoyés à votre téléphone en fonction de ce secret partagé et de l’heure actuelle. Les codes expirent rapidement, généralement après 30 ou 60 secondes. Étant donné qu’une application d’authentification n’a pas besoin de votre opérateur pour transmettre des codes, ils resteront avec l’application même si un pirate parvient à déplacer votre numéro vers un nouveau téléphone. Une application d’authentification fonctionne également lorsque vous n’avez pas de service cellulaire, un autre bonus.

L’utilisation d’une application d’authentification nécessite un peu de configuration supplémentaire, mais offre une meilleure protection que les SMS. Pour configurer une application d’authentification, vous devrez installer l’application sur votre téléphone, puis configurer un secret partagé entre l’application et vos comptes. Cela se fait généralement en scannant un code QR avec l’appareil photo de votre téléphone. Une fois configurée, cependant, une application d’authentification vous évite d’avoir à saisir un code; vous appuyez simplement sur les notifications de l’application pour vous connecter à l’un de vos comptes.

Et si je n’ai pas mon téléphone sur moi?

De nombreux services en ligne tels que Dropbox, Facebook, Google et Instagram vous permettent de créer des codes de sauvegarde, que vous pouvez imprimer ou faire une capture d’écran. De cette façon, si vous perdez votre téléphone ou si vous n’avez pas de signal cellulaire, vous pouvez utiliser un code de sauvegarde comme deuxième facteur d’authentification pour vous connecter. Assurez-vous simplement de conserver votre impression des codes de sauvegarde en lieu sûr.

2FA sécurisera-t-il mes comptes?

Aucun produit de sécurité ne peut prétendre offrir une protection parfaite et infaillible, mais en combinant deux des trois types d’authentification ci-dessus, 2FA rend plus difficile l’accès à votre compte. Non seulement vous rendez vos comptes plus difficiles à attaquer, mais vous faites également de vos comptes des cibles moins attrayantes.

Pensez-y en termes de protection du domicile. Si vous avez un système de sécurité à domicile, vous réduisez les chances d’un cambriolage. Si vous avez un gros chien bruyant, vous réduisez également les chances de cambriolage. Si vous combinez un système de sécurité avec un gros chien, votre maison devient encore plus difficile à pénétrer et une cible moins attrayante. La plupart des cambrioleurs trouveront simplement une cible plus facile – une sans alarme et la possibilité d’une morsure de chien.

De même, l’authentification à deux facteurs empêche une grande partie des pirates de cibler votre compte; beaucoup vont simplement continuer et trouver des comptes plus faciles à pénétrer. Et s’ils vous ciblent, ils auront besoin de plus que votre mot de passe. En plus de votre mot de passe, un pirate devrait également avoir votre téléphone – ou accéder aux jetons placés sur votre téléphone par le mécanisme d’authentification via une attaque d’hameçonnage, un malware ou l’activation de la récupération de compte où votre mot de passe est réinitialisé et 2FA est alors désactivée. C’est du travail supplémentaire.
Est-ce que 2FA est un problème à utiliser?

Je ne sais pas si je dirais que c’est un problème, mais 2FA nécessite une étape supplémentaire lors de la connexion à vos comptes. Vous devrez entrer votre mot de passe, attendre qu’un code arrive par SMS, puis entrer ce code. Ou si vous utilisez une application d’authentification, vous devrez attendre la notification pour que vous puissiez ensuite appuyer pour vérifier que c’est bien vous.

J’utilise l’authentification 2FA sur plusieurs de mes comptes en ligne et je trouve que c’est moins compliqué à utiliser que d’utiliser un mot de passe fort ou une phrase secrète qui combine des lettres, des chiffres et des symboles en majuscules et minuscules. Et tandis que je suis sur le sujet des mots de passe forts, permettez-moi de dire que l’utilisation de 2FA comme excuse pour utiliser des mots de passe plus faibles et plus faciles à saisir est une mauvaise idée. N’affaiblissez pas votre premier facteur simplement parce que vous avez ajouté un deuxième facteur.

Source : Two-factor authentication: How and why to use it par Matt Elliot – C|Net – 28/03/2017 (traduction libre par Marc Lajoie)