L’authentification à deux facteurs est une méthode qui permet de garantir une preuve d’identité relativement sûre d’un utilisateur ou d’un client. Par exemple, la combinaison de mots de passe et de codes envoyés par SMS pour les comptes en ligne ou la combinaison de votre carte bancaire et de votre code PIN pour vos transactions bancaires. Certaines méthodes sont toutefois plus sûres que d’autres. Dans cet article, nous vous expliquons lesquelles et pourquoi.
Comment la double authentification 2FA fonctionne-t-elle ?
L’authentification à deux facteurs (2FA) nécessite, comme son nom l’indique, deux facteurs pour une authentification réussie. Si l’un des facteurs est manquant ou échoue, l’accès est refusé. Les facteurs suivants sont possibles :
- Connaissance (mot de passe, code PIN, numéro de transaction)
- Propriété (carte bancaire, application, clé physique, clé matérielle)
- Inhérence (caractéristiques biométriques telles que l’empreinte digitale (Touch-ID), la reconnaissance de l’iris, Face-ID (reconnaissance faciale)).
L’importance de la double authentification
Bien que de nombreuses personnes utilisent encore “mot de passe”, “1234” ou leur date de naissance pour “sécuriser” leurs comptes, beaucoup de gens se rendent compte qu’un mot de passe fort devrait être un élément essentiel de leur vie numérique. Lorsque vous créez un mot de passe, vous êtes souvent automatiquement informé de la solidité ou de la faiblesse de votre mot de passe. Dans beaucoup d’endroits, il est demandé d’utiliser une combinaison d’au moins 8 caractères, des lettres majuscules et minuscules, des chiffres et des caractères spéciaux. En réalité, cela conduit à des mots de passe difficiles à retenir, en particulier lorsque vous ne voulez pas (et ne devriez pas) utiliser le même mot de passe pour tous vos comptes.
C’est ce qui explique la popularité des gestionnaires de mots de passe.
Mais que se passe-t-il si des pirates ou d’autres acteurs malveillants ont accès à votre mot de passe et donc à votre compte ? Vous êtes à la merci de l’attaquant, car votre défense ne repose que sur un seul facteur, la connaissance (le mot de passe). Si vous aviez un autre facteur en place, il serait beaucoup plus difficile, voire impossible, pour l’attaquant d’accéder à votre compte.
Différentes méthodes de double authentification
Les méthodes 2FA suivantes sont couramment utilisées de nos jours :
- SMS
- Application pour générer des mots de passe à usage unique
- Jeton matériel
Si l’on compare les trois méthodes, les SMS et les applications sont moins sûrs et moins confidentiels que le jeton matériel. Avec les SMS, le code peut être lu directement sur l’écran, même lorsque celui-ci est verrouillé. De plus, les SMS ne sont pas chiffrés et peuvent être interceptés. Ils ne sont pas totalement à l’abri des attaques, comme l’a récemment illustré une fuite de données sur cinq ans d’un grand fournisseur de télécommunications.
Cette situation est aggravée par les inquiétudes exprimées sur le plan de la protection de la vie privée. Le fait que les grandes entreprises technologiques exigent la combinaison de mots de passe et de SMS pourrait constituer une grave atteinte à la vie privée. Un géant de la tech connaît désormais non seulement votre adresse électronique et votre adresse IP, mais aussi votre numéro de téléphone, qui est lié à une preuve d’identité dans la plupart des pays. Si l’on ajoute à cela l’identification et l’empreinte digitale des appareils, il devient beaucoup plus facile pour les entreprises de vous suivre sur toutes les plates-formes et tous les appareils. Et pas besoin de préciser que le suivi des utilisateurs peut impliquer plus que de la publicité personnalisé…
Les applications peuvent générer des mots de passe à usage unique et constituer une couche de sécurité supplémentaire. Toutefois, le vol de l’appareil peut compromettre la sécurité.
Pourquoi les jetons matériels sont-ils à privilégier ?
Les jetons matériels utilisent le chiffrement et sont donc moins susceptibles d’être piratés. Pour qu’une attaque aboutisse, il faut qu’ils soient physiquement volés et que le mot de passe soit déchiffré. Les jetons matériels ne communiquent pas avec un serveur, comme les SMS. Les données ne peuvent donc pas être interceptées par une attaque de type “homme du milieu”.
En décembre 2019, on a appris que deux bibliothèques de programmes Python contenaient des logiciels malveillants qui interceptaient les clés SSH et GPG. SSH et GPG sont des méthodes de chiffrement dont le succès repose sur l’intégrité des clés publiques et privées utilisées. Toutefois, si les deux clés sont connues par le biais d’un tel vol, les attaquants ont la tâche facile. Les jetons matériels utilisent également des clés publiques et privées, mais les clés privées sont enregistrées sur l’appareil et sont chiffrées ; elles ne peuvent donc pas être compromises, comme décrit ci-dessus.
Gestionnaires de mots de passe
Une autre méthode que vous pouvez mettre en œuvre dès aujourd’hui consiste à utiliser un gestionnaire de mots de passe. Veillez à utiliser un logiciel libre qui ne communique pas avec un serveur. Si vos mots de passe sont enregistrés sur un autre ordinateur à travers le monde, ils ne sont pas aussi sûrs que s’ils étaient enregistrés localement sur votre machine. Ici, vous pouvez également utiliser la double authentification en configurant des mots de passe à usage unique comme facteur supplémentaire à votre mot de passe normal. Tous vos mots de passe sont stockés et sécurisés à l’aide d’un mot de passe principal que vous êtes le seul à connaître.
Crédits photos :
Lock by FLY:D
Code by Markus Spiske
Hardware key by Sara Kurfeß