Authentification à double facteur : comment ça marche ?

Vous ne le remarquez peut-être pas, mais vous utilisez régulièrement l’authentification à double facteur. Quand vous utilisez votre carte de crédit et que l’on vous demande d’entrer votre code secret, ou quand vous faites un chèque et que vous devez présenter une pièce d’identité ? Ce sont deux formes d’authentification à double facteur. Le premier exemple requiert que vous possédiez une carte et un code secret. Le deuxième que ayez un chéquier et prouviez que votre visage corresponde à la photo sur votre carte d’identité.
L’authentification à double facteur requiert deux manières de prouver votre identité, et peut être utilisée pour protéger vos nombreux profils virtuels. Cela n’offre pas une sécurité parfaite et demande une étape supplémentaire pour vous connecter à votre compte, mais ça protège un peu plus vos data en ligne.

Comment fonctionne l’authentification à double facteur sur internet ?

L’authentification à double facteur (ou two-factor authentification) (ou encore 2FA) est aussi connue sous le nom de validation en deux étapes ou authentification multi-facteurs. Cette technique est très utilisée pour ajouter un degré de sécurité à votre compte en ligne. La forme la plus commune d’authentification à double facteur est, lorsque vous vous connectez à votre compte, le fait d’entrer votre mot de passe et de recevoir un code via SMS que vous devez renseigner. Cette deuxième étape dans l’authentification à double facteur signifie qu’un hacker ou autre personne malveillante aurait besoin de voler votre mot de passe ainsi que votre téléphone pour avoir accès à votre compte.

Il existe trois types d’authentification, où il vous sera demandé un élément que vous :
  • Connaissez : un mot de passe, code PIN, code postal ou répondre à une question (le nom de jeune fille de votre mère, le nom de votre animal de compagnie etc.)
  • Possédez : un téléphone ou une carte de crédit
  • Êtes : une trace biométrique comme une empreinte digitale, votre visage, votre voix ou votre rétine

 
Authentification à Double Facteur

Comment fonctionne le deuxième facteur ?

Après avoir rentré votre mot de passe – le premier facteur d’identification – le second facteur arrive généralement par SMS. C’est-à-dire que vous allez recevoir un message avec un code numérique dont vous aurez besoin pour vous connecter à votre compte. Contrairement à un code PIN, un code d’authentification à double facteur n’est utilisé qu’une seule fois. Donc à chaque fois que vous voudrez vous connecter, vous recevrez un nouveau code.
Vous pouvez également utiliser une app dédiée pour recevoir vos codes de sécurité. Cela vous évitera que l’on doive vous les texter. Google Authentificator, Authy ou DuoMobile sont par exemples de bonnes applications.

Devrais-je utiliser le SMS ou l’application ?

De nombreux sites et services, comme Amazon, Dropbox ou Google, vous donnent l’option d’utiliser le SMS ou une application d’authentification. Twitter est l’exemple type du site qui vous force à utiliser le SMS. Mais si vous avez le choix, utilisez l’app dédiée.
En effet, recevoir un code de sécurité par SMS est moins sûr qu’utiliser une application d’authentification. Un hacker pourrait intercepter le message ou vous voler votre numéro de téléphone en obligeant votre mobile à le transférer sur un autre appareil.
Tandis que l’app dédiée a l’avantage de ne pas avoir besoin de votre smartphone. Les codes sont envoyés en fonction de l’heure actuelle et de ce « secret partagé« . De plus ces codes expirent rapidement, généralement après 30 ou 60 secondes. Donc, vu que l’application d’authentification ne requiert pas de mobile pour transmettre les codes, ces derniers resteront avec l’application même si un hacker arrive à transférer votre numéro à un autre téléphone. Bonus : l’app dédiée n’a pas besoin de réseau pour fonctionner !
Utiliser une application d’authentification demande un peu plus d’efforts mais vous offre une meilleure sécurité que les SMS. Pour l’utiliser, vous devrez l’installer sur votre smartphone et configurer un « secret caché » entre l’app et vos comptes. Cela s’effectue généralement en scannant un QR code avec la caméra de votre mobile. Néanmoins, une fois configurée, l’application vous permet de sauter l’étape où vous devez rentrer un code : il suffit juste de cliquer sur l’une des notifications de l’app pour vous connecter à l’un de vos comptes.

Et si je n’ai pas mon portable sur moi ?

De nombreux services en ligne comme Dropbox, Facebook, Google ou Instagram vous permettent de créer un code de secours, que vous pouvez imprimer ou en faire une capture d’écran. Ainsi, si vous perdez votre téléphone ou que vous n’avez plus de réseau, vous pouvez utiliser ce code de secours comme un facteur d’identification pour vous connecter. Rappelez-vous simplement de garder votre code imprimé dans un endroit sûr !

L’authentification à double facteur rendra-t-elle mes comptes plus sûrs ?

Aucune méthode de sécurité ne peut se vanter d’être efficace à 100%. Mais en combinant deux des trois méthodes d’authentification vues au-dessus, l’authentification à double facteur rend l’accès à votre compte plus difficile. Et non seulement vous rendez l’accès à votre compte plus difficile à pirater, mais vous en faites aussi une cible moins désirable !
Voyez cela comme le système de sécurité d’une maison. Si vous en installez un, cela réduira le risque de cambriolage. Si vous avez un gros chien bruyant aussi, ça réduira aussi le risque de cambriolage. Et si vous combinez un système de sécurité et un gros chien, alors votre maison devient encore plus difficile à cambrioler, et une cible bien moins attractive. La plupart des voleurs préféreront une « proie » plus simple : une sans alarme et sans risque de morsure de chien !
De la même manière, l’authentification à double facteur vous empêche de vous faire hacker par une grande partie des pirates; la plupart chercheront un compte plus simple à pirater. Et s’ils devaient vous viser, ils auraient besoin de plus qu’un mot de passe. Ils auraient en effet besoin de votre téléphone. Ou encore avoir accès aux « tokens » placés sur votre téléphone par le mécanisme d’authentification, grâce à une attaque Phishing, un virus ou en activant la récupération du compte où se trouve la réinitialisation de votre mot de passe et où l’authentification à double facteur est alors désactivée. C’est du travail en plus !

Est-ce embêtant d’utiliser l’authentification à double facteur ?

Ce n’est pas embêtant à proprement parlé, mais c’est vrai que l’authentification à double facteur requiert une étape supplémentaire pour vous connecter à votre compte. Vous aurez besoin de renseigner un mot de passe, d’attendre un code par SMS, et ensuite d’entrer ce code. Ou bien si vous utilisez une application d’authentification, d’attendre que qu’elle vous envoie une notification sur laquelle vous devrez cliquer pour dire que c’est bien vous.
Mais on peut aussi se dire qu’il est plus simple d’utiliser l’authentification à double facteur que de rentrer un mot de passe « fort » qui doit combiner des chiffres, des lettres, des caractères spécieux, des minuscules et majuscules. Mais par contre, n’allez pas croire qu’utiliser l’authentification à double facteur soit une excuse pour choisir des mots de passe « faibles » et faciles à écrire. N’allez pas fragiliser votre premier degré de sécurité juste parce que vous en avez ajouté un second.

Comment utiliser l’authentification à double facteur ?

Beaucoup de sites internet utilisent l’authentification à double facteur mais ne l’appellent pas comme ça. Nous en avons sélectionné quelques-uns bien connus qui utilisent l’authentification à double facteur.

Amazon

Connectez-vous à votre compte, allez dans Account & Lists en haut à droite, puis dans Your Account > Login & Security Settings et cliquez sur Edit pour sélectionner Advanced Security Settings. Cliquez ensuite sur le bouton jaune Get Started et enregistrez-vous pour recevoir les codes par SMS ou via votre application d’authentification. Vous aurez également besoin de renseigner un numéro de téléphone de secours pour diminuer vos chances de ne plus pouvoir vous connecter. Pour plus de détails, cliquez ici !


Apple

Depuis votre appareil iOS, allez dans Paramètres > iCloud , connectez-vous et cliquez sur votre Identifiant Apple. Depuis votre Identifiant Apple, cliquer sur Mot de passe et Sécurité puis sur Activer l’authentification à double facteur. Sur Mac vous devrez vous rendre dans Préférences Système > iCloud > Détails du compte > Sécurité et cliquer sur Activer l’authentification à double facteur. Pour plus de détails, cliquez ici !


Dropbox

Cliquez sur votre nom en haut à droite de votre compte Dropbox et allez dans Paramètres > Sécurité où vous verrez une liste de status en haut de la page pour Identification à double facteur. A coté de Statuts désactivés cliquez sur le lien et sur Commencer. Vous pourrez alors choisir de recevoir un code de vérification sur votre mobile par SMS ou via une application d’authentification comme Google Authenticator. Pour plus de détails, cliquez ici !


Facebook

Cliquez sur le triangle en haut à droite, allez dans Paramètres > Sécurité et cliquez sur Modifier à droite de Approbation de connexion. Cliquez ensuite sur Activer à coté de là où est écrit Authentification à double facteur est actuellement désactivée. Pour plus de détails, cliquez ici !


Google

Rendez vous sur la page Google Validation en deux étapes, cliquez sur le bouton bleu Commencer et connectez-vous à votre compte. Vous pouvez choisir de recevoir le code par SMS ou par appel. Il est aussi possible de configurer et imprimer vos codes de secours, ajouter un numéro de téléphone de secours et configurer l’application d’authentification Google. Ou bien utiliser l’invitation de Google qui enverra une notification à votre mobile. Vous n’aurez qu’à cliquer simplement dessus ou lieu de devoir entrer un code.


Instagram

Depuis l’application, allez sur votre page de profil et cliquez sur l‘icone roulette en haut à droite pour ouvrir la liste des Options. Cliquez sur Authentification à double facteur puis cliquez encore pour activer Code de Sécurité Requis. Instagram vous enverra un code à 6 chiffres que vous devrez entrer pour activer la fonctionnalité. Si votre compte n’a pas de numéro de téléphone associé, il vous sera demandé de le renseigner. Instagram vous enverra 5 codes de secours dont vous ferez une capture écran. Cliquez ici pour plus d’informations !


Linkedin

Allez dans la page Paramètres de sécurité et cliquez sur Ajouter un numéro de téléphone (si ce n’est pas déjà fait). Cliquez ensuite sur Activer à coté de là où est marqué Authentification à double facteur est désactivée. Entrez votre mot de passe puis votre code d’activation que Linkedin vous aura envoyé par SMS.


Snapchat

Ouvrez l’application, balayez (swipe) vers le bas pour accéder à votre compte. Cliquez sur l’icone roulette pour ouvrir les Paramètres et cliquez sur Vérification de Login. Vous pouvez vous enregistrer pour recevoir un code par SMS ou via une application d’authentification et créer des codes de récupération.


Twitter

Depuis l’application, cliquez sur l’icone de votre profil puis sur l’icone roulette et enfin sur Paramètres. Allez ensuite dans Compte > Sécurité et basculez sur Vérification de Login. Vous obtiendrez alors les codes par SMS. Vous pouvez ensuite demander un code de secours, dont vous pourrez faire une capture écran utile. Pour plus de détails, cliquez ici !


Microsoft

Allez dans la page de Paramètres de Sécurité, connectez-vous à votre compte Microsoft et cliquez sur Activer l’authentification à double facteur. Vous pouvez alors choisir de recevoir vos codes soit par email, SMS ou via l’application Microsoft Authentificator. Vous aurez également besoin de créer un mot de passe pour l’application pour continuer à utiliser les appareils et services de Microsoft qui ne possèdent pas l’authentification à double facteur (comme la Xbox 360 et la messagerie Outlook sur iPhone et Android.


PayPal

Connectez-vous à votre compte et cliquez sur l’icone roulette en haut à droite pour aller dans les Paramètres. Cliquez sur Sécurité puis sur Mettre à jour et enfin Clé de Sécurité. Renseignez votre numéro de mobile et entre votre code de vérification que PayPal vous a envoyé.


Slack

Enregistrez-vous dans votre équipe et allez dans sur la page Compte. Cliquez sur le bouton Expand à droite de Two-Factor Authentication et cliquez sur Two-Factor Authentication. Vous pouvez vous enregistrer en recevant un code par SMS ou sur votre app  d’authentification. Vous pourrez ensuite imprimer vos codes de secours.


Yahoo

Depuis votre compte Yahoo allez dans Sécurité du Compte et basculez sur Authentification à deux étapes. Si vous avez activé une clé de compte Yahoo, vous aurez besoin de la désactiver. Une clé de compte ressemble à une authentification à double facteur mais il n’y a en vérité qu’un seul facteur. En effet, la plateforme vous laisse passer le premier facteur d’identification qui est d’entrer votre mot de passe pour seulement renseigner le code envoyé sur votre portable. L’authentification à deux étapes de Yahoo est une option plus sûre. Vous pouvez également créer un mot de passe spécifique pour n’importe quelle application qui ne supporte pas l’authentification à double facteur et utiliser votre compte Yahoo.
 
Si vous utilisez un autre service ou un autre site web, allez jeter un œil sur Two-Factor Auth. Ce site intuitif liste les sites, services et app en catégories pour vérifier où l’authentification à double facteur est disponible, et où elle ne l’est pas. Les catégories incluent les banques, cloud computing, communication, email, santé, social etc.
Expert-Com Authentification à double facteur

Partagez l'article

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email