Je suis adepte de la première heure de l’authentification à deux facteurs (2FA) ici chez Sophos comme partout ailleurs. Avec tous les piratages de compte qui ont causé tant de soucis, de maux de tête, nous pensons qu’il est particulièrement crucial pour des services tels que Twitter et Facebook, services qui, pour le meilleur et pour le pire, font partie intégrante de notre vie en ligne et sur les réseaux sociaux.
Sur le blog de Sophos France et sur nakedsecurity nous vous avons mis à disposition, par le passé, des guides sur la manière de configurer le 2FA, mais ces derniers vous ont toujours mis en garde sur un point important : à savoir que vous deviez être à l’aise avec le fait de fournir votre numéro de téléphone à un service, qui s’est avéré être un peu maladroit avec les données personnelles.
Fans incontesté du 2FA, ai dû vivre avec un tel compromis, étant donné que Facebook a demandé aux utilisateurs d’avoir un téléphone portable afin d’obtenir ce deuxième facteur par SMS. Car c’est l’essence même d’une authentification 2FA : à savoir une technologie qui vous oblige à prouver que vous êtes qui vous prétendez être au niveau d’un site web ou d’un service, en utilisant deux des trois choses suivantes :
- Quelque chose que vous connaissez : comme un mot de passe.
- Quelque chose que vous détenez : comme un code numérique.
- Quelque chose qui fait partie de vous : comme une empreinte digitale.
Mais c’est histoire de SMS envoyé fait à présent partie du passé. Facebook a annoncé qu’il facilitait la configuration du 2FA, avec un processus simplifié de configuration qui vous guide pas à pas. Il offre également d’autres moyens pour obtenir votre deuxième facteur en plus de celle passant par votre numéro de téléphone.
La refonte de Facebook facilite désormais l’utilisation des applications d’authentification tierces, comme par exemple Google Authenticator, Authy, Duo Security ou Sophos Authenticator (voici les liens pour les versions iOS et Android).
La configuration d’une authentification 2FA sur votre compte Facebook
1) Sur votre ordinateur, connectez-vous à votre compte Facebook. Vous pouvez cliquer ici pour accéder aux Paramètres, ou bien cliquer sur la flèche déroulante en haut à droite de la page dans la barre de notification bleue. Elle situe à droite du point d’interrogation :
2) Au bas du menu, cliquez sur “Paramètres“. Sur l’écran suivant, cliquez sur “Sécurité et connexion” dans le menu sur la gauche :
3) Faites défiler jusqu’à atteindre la rubrique “Authentification à deux facteurs“.
4) Comme vous pouvez le voir dans l’image ci-dessus, vous avez maintenant trois choix possibles pour une authentification 2FA : vous pouvez utiliser l’ancienne méthode et utiliser votre code d’accès avec en plus un code envoyé sur votre téléphone, parcourir une liste d’appareils pour lesquels vous n’aurez pas besoin d’utiliser un code de connexion ou enfin accédez à vos applications avec des codes d’accès spéciaux au lieu d’utiliser votre code d’accès Facebook ou vos codes de connexion.
5) Ensuite, indiquez si vous souhaitez utiliser votre numéro de téléphone ou une application d’authentification pour ajouter une couche de sécurité supplémentaire.
Vous devriez choisir d’utiliser une application d’authentification : c’est une option plus sûre ! (J’ai personnellement choisi cette option avec Duo que j’utilise déjà pour plusieurs autres services en ligne)
Comme nous l’avons déjà écrit, il existe des avantages et des inconvénients concernant les applications SMS ou d’authentification en matière de 2FA, mais le National Institute of Standards and Technology (NIST) a déclaré que l’ère des 2FA envoyés par SMS était bel et bien terminée.
Un cybercriminel peut détourner vos SMS avec une technique de SIM Swap. Si un hacker peut convaincre un magasin de téléphonie mobile qu’il est bien vous, il peut obtenir du magasin qu’il émette une carte SIM de remplacement encodée avec votre numéro de téléphone. Votre téléphone s’éteindra, et le sien commencera à recevoir vos appels et messages, y compris bien évidemment les codes 2FA !
Nous avons vu le SMS se retrouver au centre de nombreux arnaques au 2FA, dont un incident en août 2016 où les comptes Telegram de plus d’une douzaine de militants, journalistes et autres personnes, occupant des postes sensibles en Iran, ont été la cible de pirates qui ont intercepté les SMS d’activation de l’application.
Pour l’instant, Facebook n’a pas éliminé définitivement le 2FA par SMS, mais de mon côté je souhaite vivement qu’il disparaisse ! Adoptez les authentificateurs, ils simplifieront votre vie, maintenant que Facebook a ouvert une brèche !
Billet inspiré de Facebook 2FA no longer needs a phone number: here’s how to set it up, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.