L’authentification à deux facteurs (2FA) est une mesure de sécurité qui vous oblige à fournir un facteur d’identification supplémentaire (comme un code envoyé sur votre téléphone) en plus de votre nom d’utilisateur et de votre mot de passe habituels.
Votre banque, votre fournisseur de messagerie et peut-être même votre plateforme de jeu préférée vous ont invité à configurer une authentification à deux facteurs. Si vous ne savez pas exactement ce que c’est ou pourquoi vous voudriez commencer à l’utiliser, lisez la suite pour savoir comment l’authentification à deux facteurs peut tout sécuriser, de votre compte bancaire à votre collection de jeux.
Qu’est-ce que l’authentification à deux facteurs ?
Pour comprendre ce qu’est l’authentification à deux facteurs (2FA), examinons d’abord ce qu’est l’authentification à un facteur et comparons-la aux modèles de sécurité réels et virtuels.
Lorsque vous rentrez du travail, sortez vos clés et déverrouillez votre porte, vous utilisez une simple authentification à un facteur. La porte et la serrure ne se soucient pas de savoir si la personne qui détient la clé est vous, votre voisin ou un criminel qui a volé vos clés.
La seule chose dont la serrure se soucie, c’est que la clé s’adapte – vous n’avez pas besoin de deux clés, une clé et une empreinte digitale, ou toute autre combinaison de vérifications. La clé physique unique est la seule autorisation et son détenteur, qu’il soit légitime ou non, obtient un accès complet.
Le même niveau d’authentification à un facteur se produit lorsque vous vous connectez à un site Web ou à un service qui ne nécessite que votre nom d’utilisateur et votre mot de passe. Vous, votre conjoint ou toute autre personne pouvez saisir le nom d’utilisateur et le mot de passe pour accéder à votre compte, tout comme n’importe qui pourrait récupérer la clé de votre maison et ouvrir votre porte.
Vous êtes en forme si jamais personne ne vole vos clés ou votre mot de passe. Bien que le vol de vos clés représente un risque relativement faible, la sécurité virtuelle est plus complexe. Les failles de sécurité, les attaques sophistiquées et d’autres aspects malheureux mais trop réels du travail et du jeu dans un espace virtuel nécessitent des pratiques de sécurité améliorées, y compris des mots de passe complexes multiples et divers et, le cas échéant, une authentification à deux facteurs.
Qu’est-ce que l’authentification à deux facteurs et à quoi ressemble-t-elle pour vous, l’utilisateur final ? L’authentification à deux facteurs est un sous-ensemble de l’authentification multifacteur (MFA). Toute authentification à deux facteurs est une authentification à plusieurs facteurs, mais toutes les authentifications à plusieurs facteurs ne sont pas à deux facteurs (car un système MFA peut nécessiter 3, 4 ou plus de facteurs d’authentification supplémentaires). Familièrement, les gens utilisent encore le terme 2FA pour désigner les systèmes multi-facteurs en général, et comme il reste l’implémentation la plus courante de l’authentification multi-facteurs, nous utiliserons le terme tout au long de cet article.
Au minimum, l’authentification à deux facteurs nécessite deux variables d’authentification sur trois telles que :
- Quelque chose que vous connaissez (comme le code PIN de votre carte bancaire ou le mot de passe de votre e-mail).
- Quelque chose que vous avez (la carte bancaire physique ou un jeton d’authentification).
- Quelque chose que vous êtes (données biométriques comme votre empreinte digitale ou le motif de votre iris).
Si vous avez déjà utilisé une carte de débit, vous avez utilisé une forme simple d’authentification à deux facteurs : il ne suffit pas de connaître le code PIN ou d’avoir physiquement la carte. Vous devez posséder les deux pour accéder à votre compte bancaire à un guichet automatique.
L’authentification à deux facteurs peut prendre différentes formes et toujours répondre à l’exigence 2 sur 3. Il peut y avoir un jeton physique, tel que les porte-clés RSA SecurID, qui génère continuellement des codes sécurisés aléatoires pour vous. D’autres entreprises ignorent la route du matériel personnalisé et fournissent des applications de téléphonie mobile (ou des codes envoyés par SMS) qui offrent la même fonctionnalité.
Bien que rare par rapport aux solutions logicielles, vous pouvez également utiliser une authentification à deux facteurs basée sur la biométrie (comme la sécurisation d’un fichier crypté via un mot de passe et une empreinte digitale).
De plus, certaines entreprises ont opté pour un modèle MFA qui inclut les variables d’authentification que vous attendez d’un système 2FA, telles que la nécessité d’un mot de passe et d’un code à usage unique d’une application d’authentification, avec l’ajout d’une autre variable, telle que votre emplacement physique ou vos identifiants de réseau.
Pourquoi et où dois-je utiliser l’authentification à deux facteurs ?
Nous sommes fermement convaincus que les gens devraient utiliser l’authentification à deux facteurs sur presque tout ce qu’ils utilisent qui offre une authentification à deux facteurs. C’est un moyen simple et presque sans friction d’augmenter la sécurité et de réduire le risque de vol d’identité, les pertes financières et les tracas généraux liés aux failles de sécurité.
Faire un effort conscient pour utiliser des mots de passe aléatoires et forts avec un gestionnaire de mots de passe parallèlement à l’authentification à deux facteurs est une amélioration de la sécurité si significative que cela vaut le petit inconvénient de brancher un code ou de doubler l’authentification de votre identité de temps en temps. Besoin d’un peu plus de conviction ? Une analyse Microsoft de 2019 des violations de compte a révélé que 99,9 % se produisaient sur des comptes sans 2FA activé.
En avez-vous besoin pour chaque chose? Pas nécessairement. L’authentification à deux facteurs pour un forum de discussion sur les voitures musclées que vous utilisez avec désinvolture et qui ne contient aucune information personnelle et n’est pas liée à votre véritable e-mail ou à vos informations financières est exagérée.
Cependant, une deuxième couche d’authentification pour votre carte de crédit ou votre compte de messagerie principal constitue un excellent renforcement de la sécurité. Le traumatisme personnel et financier qui résulterait d’un voleur d’identité ou d’une autre entité malveillante ayant accès à ces choses l’emporte de loin sur les tracas mineurs liés à la saisie d’informations supplémentaires.
Si votre courrier électronique est compromis, cela vous ouvre la porte à d’autres services compromis, car le courrier électronique sert en quelque sorte de clé principale pour accéder aux réinitialisations de mot de passe et à d’autres demandes. (C’est pourquoi nous recommandons aux utilisateurs d’arrêter d’utiliser leur adresse e-mail principale pour se connecter à tout.)
Si votre banque propose une authentification à deux facteurs, profitez-en. N’oubliez pas les autres outils financiers que vous utilisez comme PayPal. Si un service peut être utilisé pour envoyer ou recevoir de l’argent ou accéder à vos dossiers financiers, vous devez utiliser 2FA. Même chose pour tout service qui héberge des éléments personnels tels que des sauvegardes de fichiers, des sauvegardes de photos, etc.
Même pour des choses comme les plateformes de jeux vidéo, ça vaut le coup. Non seulement les joueurs passent des centaines d’heures à construire leurs personnages et dépensent souvent de l’argent réel pour acheter des biens dans le jeu, mais perdre tout ce travail et cet équipement est une proposition affreuse.
Bien que tous les services n’offrent pas une authentification à deux facteurs, le nombre d’entreprises proposant un type d’authentification à deux facteurs a considérablement augmenté au fil des ans. Lorsque nous avons commencé à écrire sur 2FA, la liste des organisations et des fournisseurs qui l’offraient était suffisamment courte pour que nous puissions les détailler dans un paragraphe.
Maintenant, 2FA est relativement courant, et si vous fouillez dans les documents de support ou même simplement votre page de profil et de paramètres sur un service donné, vous trouverez probablement une sorte d’option pour l’authentification à deux facteurs.
Vous pouvez également réduire le temps consacré à la recherche en utilisant certains des répertoires 2FA pratiques comme la liste des sites Web 2FA et le répertoire 2FA. Les deux sites répertorient les services populaires prenant en charge 2FA, offrent des informations supplémentaires telles que le type de 2FA qu’ils prennent en charge et des liens vers des documents d’aide pertinents pour chaque service respectif.
Fonctionnement des types courants d’authentification à deux facteurs
Bien que nous ne puissions pas vous montrer exactement comment l’authentification à deux facteurs fonctionnera sur chaque service pour lequel vous l’activez, nous pouvons parler des méthodes 2FA courantes que vous devriez vous attendre à rencontrer et de leur fonctionnement.
Si vous vous êtes déjà connecté à un service et que vous avez été invité à vérifier votre courrier électronique pour un code de vérification, vous avez rencontré une forme très basique d’authentification à deux facteurs.
Nous avons mentionné ci-dessus qu’il est essentiel de protéger votre courrier électronique, et c’est pourquoi. De nombreux services utilisent la vérification de base par e-mail avec un code. Si votre e-mail est compromis, il en va de même pour tous les services pour lesquels vous utilisez cet e-mail.
C’est mieux que rien, mais si vous utilisez un service qui propose autre chose sur cette liste, vous devez l’activer.
SMS et appels vocaux
Semblable à l’envoi par e-mail d’un code à usage unique, SMS et 2FA vocal envoient le code à votre téléphone soit par SMS, soit en vous appelant par un robot et en lisant le code par téléphone.
C’est un système loin d’être parfait car il est vulnérable aux attaques comme les escroqueries de portage de téléphone, mais c’est mieux que de ne pas avoir 2FA activé du tout. Si le SMS est la seule option 2FA disponible, vous devez l’utiliser car, imparfait ou non, il est beaucoup plus difficile pour quelqu’un d’accéder à vos comptes.
Applications d’authentification dédiées
Une avancée significative par rapport aux e-mails, SMS ou appels vocaux, les applications d’authentification dédiées se concentrent exclusivement sur la génération de codes à usage unique.
Google Authenticator a été l’une des premières applications d’authentification et reste assez populaire (et la plus grande plainte des utilisateurs, le manque de synchronisation entre appareils, a été corrigée dans le cadre d’une refonte massive de l’application en avril 2023.) Authy et Duo sont deux d’autres alternatives remarquables et populaires.
Bien qu’il ne s’agisse pas d’une application 2FA autonome, l’application de gestion de mots de passe populaire 1Password dispose d’un authentificateur intégré pour vous aider à gérer vos jetons 2FA. 1Password a également une fonctionnalité intéressante liée à 2FA : il vous avertira si un service que vous avez stocké dans votre coffre-fort de mots de passe prend en charge 2FA et vous aidera à le configurer sur place. Si vous recherchez un guichet unique pour une bonne gestion des mots de passe et un déploiement facile de 2FA, il est difficile de battre 1Password.
Enfin, il va sans dire que seul utilisez des applications 2FA d’entreprises réputées. Non seulement vous compromettez la sécurité de votre compte en utilisant une application non sécurisée, mais en 2022, il y a même eu un cas d’application d’authentification malveillante installant des logiciels malveillants et volant des informations bancaires.
Notifications d’applications mobiles
Certains services utiliseront leur application mobile sur votre téléphone comme deuxième forme de vérification d’identité. Les « invites » de Google sont un exemple de ce type de système 2FA, mais ce n’est pas la seule entreprise à les utiliser.
Vous pouvez vous connecter au service sur votre ordinateur personnel ou votre ordinateur portable loin de votre réseau domestique, et vous recevrez un message pour ouvrir l’application de l’entreprise sur votre téléphone et confirmer que c’est vous qui vous connectez à votre compte.
C’est toujours 2FA, il est simplement configuré comme une livraison de jeton unique pour un seul fournisseur de services au lieu d’un arrangement de porte-clés avec plusieurs jetons dans une application dédiée comme Google Authenticator ou Authy.
Clés matérielles 2FA
Les clés matérielles 2FA sont exactement ce à quoi elles ressemblent : des objets physiques que vous utilisez pour authentifier votre identité. La plupart des clés 2FA physiques sur le marché sont une combinaison de périphériques USB/NFC, vous pouvez donc brancher la clé sur votre ordinateur ou la tenir près d’un smartphone pour l’activer. Quelques normes existent, mais la plupart des clés matérielles 2FA utilisent la norme FIDO Universal 2nd Factor Authentication (U2F).
Tout comme vous entrez un code à usage unique dans une application d’authentification pour confirmer votre identité, vous pouvez utiliser la clé physique pour faire de même. Bien que ce soit indéniablement une façon très cool et sécurisée de faire les choses, la plupart des gens n’empruntent pas la voie de la clé matérielle et utilisent leur téléphone et leur application d’authentification comme une méthode 2FA plus pratique.
Cependant, vous pouvez utiliser 2FA, c’est le moment idéal pour activer 2FA sur tous les services que vous utilisez qui le prennent en charge. Bien que l’authentification à deux facteurs ne soit pas invulnérable aux attaques (une attaque sophistiquée de l’homme du milieu ou quelqu’un qui vole votre jeton d’authentification secondaire et vous frappe avec un tuyau pourrait le casser), elle est radicalement plus sécurisée que de s’appuyer sur un mot de passe régulier , et le simple fait d’avoir un système à deux facteurs activé fait de vous une cible beaucoup moins attrayante.