La sécurité en ligne peut parfois ressembler à une course à l’armement, et donner l’impression que de nouvelles menaces à surveiller apparaissent constamment. Mais beaucoup de méthodes et de principes de cybersécurité, déjà éprouvés, existent depuis un certain temps, ils prennent juste un certain temps pour être pleinement adoptés par le grand public.
L’une de ces méthodes est appelée l’authentification à deux facteurs (2FA), une expression plutôt technique pour désigner une méthode qui est en fait assez simple et peut vraiment vous aider à sécuriser vos données en ligne. Mais si l’expression “authentification à deux facteurs” ne semble pas vous concerner, ou semble être une méthode incompréhensible pour vous, je vous assure que ce n’est pas le cas, que vous soyez un expert (ou non).
L’authentification à deux facteurs en bref…
En fait, l’authentification à deux facteurs consiste à prouver “qui vous êtes” au niveau d’un site web ou d’un service, en utilisant deux des trois éléments suivants :
- Un élément que vous connaissez : comme un mot de passe.
- Un élément que vous avez : comme un code de clé numérique.
- Un élément que vous possédez : comme une empreinte digitale.
Familièrement, beaucoup de gens décrive l’authentification à deux facteurs, ou 2FA, comme un code à saisir, au niveau d’un site web, après avoir entré préalablement un mot de passe. Il est très probable que vous avez déjà rencontré le 2FA au cours de votre vie digitale. Ceux qui ont travaillé dans le monde de l’entreprise, à un moment donné, ont dû avoir en leur possession un petit porte-clés ou un jeton, et ont certainement saisi les chiffres affichés lors de la connexion au système central de l’entreprise.
De même, si votre site web marchand ou de bancaire préféré vous demande de vérifier votre identité en tapant un code numérique envoyé par SMS sur votre numéro de téléphone, il s’agit tout simplement du 2FA en pleine action !
Pourquoi le mot de passe est insuffisant ? Et les questions de sécurité ? Combien de facteurs supplémentaires sont nécessaires ?
La sécurité fonctionne par couches. Pensez à un château médiéval, ces châteaux ne reposaient jamais sur une seule technique pour se protéger. Ils étaient construits dans des endroits naturellement défendables, avaient des portes solides, des ponts-levis, de hautes tours, de lourds murs de pierre, et bien plus encore.
Ainsi, même si l’un de ces éléments de protection devait défaillir lors d’une attaque, le château avait de nombreux autres moyens de sécurité en place pour continuer à se protéger.
La même approche s’applique quand il s’agit de sécuriser vos données au niveau des sites web et des applications que vous utilisez quotidiennement. Les cybercriminels sont toujours en train de développer de nouvelles méthodes pour mettre la main sur vos données sensibles, donc en face nous devons nous assurer d’avoir pris les mesures de sécurité les plus sophistiquées possibles pour les arrêter.
Le 2FA est une couche de sécurité supplémentaire, qui s’ajoute aux méthodes humaines existantes, telles que les mots de passe. Plus les couches de sécurité mises en place seront nombreuses, plus il sera compliqué pour un cybercriminel d’œuvrer afin de mettre la main sur vos données personnelles (et avec tant d’autres cibles potentielles dans la nature, peut être plus faciles à attaquer, il se peut qu’il/elle décide que vous n’en valez pas la peine !).
En d’autres termes, l’ajout d’un facteur supplémentaire réduit le risque qu’un tiers se fasse passer pour “vous”, et accède à vos données sans votre consentement. Bien évidemment, cette méthode n’est pas infaillible et ne garantit pas une sécurité totale. En effet, un fournisseur majeur de clés d’authentification à deux facteurs a été piraté en 2011, et il y a eu récemment des cyberattaques qui utilisaient de faux messages de vérification 2FA. Le risque zéro n’existe pas malheureusement. Mais il est certainement plus sûr que d’utiliser un mot de passe seul !
Comment utiliser le 2FA sur les sites web et les services que je visite ?
De nombreux sites web populaires, tels que les messageries électroniques, les sites d’achats en ligne et bancaires, disposent souvent déjà du 2FA (et si vous ne vous connectez jamais à des sites et que vous n’avez pas de compte en ligne, alors effectivement vous n’avez pas à vous inquiéter car vous n’avez pas besoin du 2FA !).
Chaque site web possède son propre processus d’activation du 2FA au niveau de votre compte, mais la première étape consiste généralement à se connecter à votre compte au niveau du site en question, à accéder au menu des paramètres et à rechercher une rubrique de “sécurité”. En général, ce processus exigera que vous ayez votre téléphone à portée de main car vous devrez l’enregistrer sur votre compte pour vérifier que vous possédez bien le téléphone, en tapant tout simplement un code qui vous aura été envoyé par SMS.
Dans d’autres cas, le site web peut vous demander de télécharger une application d’authentification, et il vous indiquera précisément laquelle, étant donné qu’il en existe beaucoup, puis vous devrez saisir le code numérique généré par cette dernière.
Remarque : si vous avez besoin de conseils supplémentaires pour configurer le 2FA, nous publierons, sous peu, un certain nombre de guides pour les principaux services web qui vous aiderons étape par étape).
En résumé, le 2FA n’est pas encore omniprésent. Ainsi il se peut qu’un site web que vous utilisez ne le propose pas.
Une ressource que j’utilise pour vérifier si le 2FA est disponible est la Two Factor Auth List, qui répertorie beaucoup de sites web couramment utilisés et mentionne si le 2FA y est disponible ou non (et si votre site web préféré n’a pas encore le 2FA, la liste dispose d’un bouton bien pratique pour tweeter le site en question afin de les encourager à l’adopter !). Même si le nombre de sites proposant le 2FA progresse, nous avons encore du chemin à faire !
J’espère que cet article vous aura aidé à faire la lumière sur le 2FA et à comprendre son utilité pour renforcer la sécurité de vos comptes, et éviter qu’ils en tombent dans de mauvaises mains. Alors, êtes-vous prêt à l’essayer ?
Billet inspiré de Two-factor authentication (2FA): why you should care, sur Sophos nakedsecurity.