Les rédacteurs de Lojiciels.com examinent les produits de manière indépendante. Pour nous aider à soutenir notre mission, nous pouvons gagner des commissions d’affiliation à partir des liens contenus dans cette page.
Un mot de passe solide est toujours essentiel pour assurer la sécurité de vos comptes, mais il n’est pas toujours suffisant. Même si vous disposez d’un mot de passe hautement sécurisé, il peut être compromis lors d’une violation de données. C’est alors que l’authentification à deux facteurs (2FA) peut sauver la situation. Lorsque l’authentification à deux facteurs est activée, votre nom d’utilisateur et votre mot de passe ne suffisent pas pour qu’un pirate informatique puisse accéder à votre compte. Toute personne essayant de se connecter à votre compte devrait fournir un moyen supplémentaire de vérifier votre identité, comme un code PIN à usage unique délivré via une application, un message texte ou un e-mail, un dispositif physique qui génère un code d’accès ou un dispositif biométrique.
Facebook, Google, Twitter, les banques et les gestionnaires de mots de passe font partie des nombreux services qui encouragent les utilisateurs à protéger leurs comptes grâce à une authentification à deux facteurs – mais l’adoption n’est pas élevée, même parmi les plus avertis. Seuls 10 % des utilisateurs de Google, par exemple, font usage de cette fonctionnalité gratuite.
Les experts en cybersécurité s’accordent à dire que permettre une authentification à deux facteurs est un élément crucial de l’hygiène en ligne qui rend les comptes plus difficiles à pirater. « L’authentification à deux facteurs met une couche de défense supplémentaire entre un attaquant et vos données personnelles, garantissant que vous n’êtes pas considéré comme une cible facile », explique Brian Anderson, expert en sécurité chez Kaspersky Lab North America.
Cependant, toutes les méthodes à deux facteurs ne sont pas aussi sûres les unes que les autres.
Contenu
Une bonne authentification à deux facteurs : textes de code et courriels
Autrefois le rempart de la cybersécurité, l’authentification des SMS a été de plus en plus exposée comme étant vulnérable aux arnaqueurs. « Si vous utilisez les SMS ou le courrier électronique comme deuxième méthode d’authentification, il est possible pour les attaquants d’intercepter le code d’authentification et de se connecter au compte ciblé », explique M. Anderson. Les vulnérabilités du réseau peuvent permettre aux pirates d’intercepter des appels et des messages texte contenant des codes 2FA, comme cela s’est produit lors d’une violation de Reddit qui a exposé les adresses électroniques des utilisateurs et une base de données de mots de passe datant de 2007.
Les attaques de phishing sont également plus probables par SMS ou par e-mail, où les escrocs trompent les utilisateurs en leur demandant de leur remettre leurs identifiants par le biais d’un lien, d’un e-mail ou d’un texte conçu pour ressembler à un service légitime. Comme l’a signalé Amnesty International, une attaque facile à utiliser, répandue en Afrique du Nord et au Moyen-Orient, se déroule ainsi : Pendant que l’utilisateur se connecte au faux site, les attaquants saisissent son identifiant et l’utilisent pour le vrai site, déclenchant ainsi l’envoi d’un véritable code 2FA par SMS ou e-mail – que l’utilisateur saisit dans le site frauduleux.
Les chercheurs ont découvert un nouvel outil qui permettrait aux arnaqueurs de créer des sites de phishing plus convaincants en alimentant le contenu du site authentique dans la version spoofée. « Le phishing 2FA n’est pas nouveau – il est simplement plus facile que jamais grâce à une boîte à outils open source qui vous aide à le faire », déclare Paul Duckin, Technologue senior chez Sophos. « L’auteur affirme que c’est uniquement à des fins de test et de recherche, mais il n’a aucun moyen d’empêcher les escrocs d’utiliser son code également ».
Une meilleure authentification à deux facteurs : les applications d’authentification
Plutôt que de recevoir un message qui peut être intercepté, la génération de codes sur un appareil qui est avec vous garde en grande partie ces codes hors de portée des pirates. C’est là qu’interviennent les applications d’authentification. Google, Microsoft et le gestionnaire de mots de passe LastPass ont développé leurs propres applications d’authentification qui fonctionnent avec toute plate-forme ou service prenant en charge la norme 2FA.
Ces applications peuvent être synchronisées avec différentes plateformes dans les paramètres de vos comptes lorsque vous activez la 2FA. À ce stade, il vous sera demandé de scanner un code QR qui ajoute automatiquement le compte à votre application génératrice de code. Les deux Google Authenticator (Android/iOS) et Microsoft Authenticator (Android/iOS) sont faciles à mettre en place – mais si vous utilisez Outlook, Microsoft Authenticator est un peu plus adapté. Vous pouvez profiter de la possibilité de vous connecter à Outlook sans mot de passe, vous vous authentifiez en appuyant simplement sur une confirmation dans l’application.
Si vous voulez quelques fonctionnalités supplémentaires, Authy (iOS/Android) sauvegardera vos comptes synchronisés de sorte que si et quand vous mettez votre téléphone à niveau, vous n’aurez qu’à télécharger à nouveau Authy pour que tout soit configuré avec votre 2FA (alors que Google et Microsoft exigent que vous re-synchronisiez tous les comptes sur lesquels vous voulez que la 2FA soit activée).
Quel que soit votre choix, les applications fonctionnent de la même manière : elles génèrent des codes à six chiffres qui se rafraîchissent toutes les 30 secondes environ, réduisant ainsi la probabilité que ces codes soient effacés et réutilisés. De plus, les applications d’authentification génèrent des codes, que vous soyez en ligne ou non, ce qui est pratique si vous n’êtes pas en réception ou en itinérance.
Le seul inconvénient est que vous perdez ou oubliez votre appareil. Une fois que la fonction 2FA est activée, de nombreux comptes peuvent nécessiter par défaut un code 2FA pour se connecter à chaque fois ; les comptes d’entreprise peuvent en avoir besoin pour des raisons de sécurité – et oublier son téléphone signifie être bloqué hors de ces comptes.
La meilleure authentification à deux facteurs : les clés d’authentification
Si les applications d’authentification sont meilleures que les codes envoyés par SMS ou par e-mail, elles ne sont pas totalement invulnérables. Les attaques de phishing, par exemple, peuvent potentiellement voler les codes 2FA si les utilisateurs sont attirés vers des sites d’usurpation pour entrer un code et si l’attaquant est capable de capturer et d’utiliser le code avant qu’il ne soit actualisé. Bien que ce soit un scénario peu probable pour le citoyen moyen, les activistes, les politiciens ou les autres personnes dont les communications sont visées peuvent avoir besoin d’une sécurité plus stricte.
Dans ce cas, il est temps de passer à une clé d’authentification, un dispositif physique qui se branche sur le port USB d’un ordinateur ou communique via NFC avec un téléphone pour authentifier les connexions.
L’un des plus populaires est celui de Yubico YubiKey 5 NFC est de 45 dollars sur Yubico (vérifiez le prix sur Amazon), une clé de la taille du pouce qui, une fois enregistrée, fonctionne instantanément comme un second facteur pour des dizaines de services. Elle peut également être utilisée sur les smartphones compatibles NFC (qui comprennent tous les téléphones Android et iPhone 7 et plus) pour authentifier les connexions sur les smartphones. Il existe également des versions qu’il suffit de brancher : Une version USB-C, la YubiKey 5C (50 $ sur Yubico, voir le prix sur Amazon), et une clé USB-C et Lightning, la YubiKey 5Ci (70 $ sur Yubico, voir le prix sur Amazon).
« Les nouvelles normes 2FA basées sur des dispositifs matériels spéciaux comme les YubiKeys offrent une résilience supplémentaire en utilisant des techniques cryptographiques pour empêcher quelqu’un d’autre de réutiliser un code que vous avez tapé », explique M. Duckin. « Si un escroc essaie de pirater votre code, il est presque certain que cela ne fonctionnera pas s’il essaie ensuite de l’utiliser depuis son ordinateur ».
Par exemple, les YubiKeys doivent être écoutés avant chaque authentification, afin de vérifier que l’utilisateur n’est pas un hacker à distance.
Une alternative est OnlyKey (46,00 $ sur OnlyKey.io, voir le prix sur Amazon), qui est livré avec un gestionnaire de mots de passe qui stocke jusqu’à 24 comptes dans son stockage hors ligne, et un nombre illimité de comptes s’il est utilisé avec un gestionnaire de mots de passe logiciel. Branchez-le sur un ordinateur lors d’une connexion et il remplit automatiquement le login correspondant. Cela protège en outre les mots de passe contre les logiciels malveillants enregistreurs de frappe qui pourraient être installés secrètement sur des sites.
Quelle que soit la méthode choisie, activez l’authentification à deux facteurs
Les experts s’accordent à dire qu’il est important d’activer la fonction 2FA sur vos comptes en ligne, que ce soit par SMS, par e-mail, par une application ou par une clé physique. Certains services n’offrent qu’une authentification de second facteur par SMS, mais « ne laissez pas [the potential for phishing] vous a découragé. La 2FA est là pour fournir un obstacle supplémentaire que les escrocs doivent franchir, sans supprimer les obstacles que vous avez déjà mis en place », explique M. Duckin. Vous pouvez trouver une liste de sites qui soutiennent la 2FA sur Two Factor Auth.
Quelle que soit la méthode que vous utilisez, n’oubliez pas que la 2FA n’est pas une solution de sécurité qui peut remplacer un mot de passe faible ou retenir un hacker particulièrement intéressé. Le logiciel de sécurité de Kaspersky Lab a bloqué plus de 137 millions d’euros tentatives de visites de pages de phishing au troisième trimestre de l’année dernière, soit une augmentation de 30 millions par rapport au trimestre précédent. « Comme de plus en plus de gens utilisent la 2FA, nous pourrions voir des cybercriminels tenter des techniques d’ingénierie sociale plus sophistiquées ou d’autres méthodes pour essayer de contourner ce mécanisme de sécurité », explique M. Anderson.
La bonne nouvelle, cependant, c’est que les escrocs doivent d’abord vous attirer vers un faux site web, explique M. Duckin. Ne vous précipitez pas pour vous connecter, et soyez particulièrement vigilant face aux courriels, messages ou pop-ups qui mènent à des pages web externes. Lorsque vous entrez votre login ou votre code en ligne, vérifiez toujours la barre d’adresse du navigateur : l’adresse est-elle celle à laquelle vous vous attendiez ?
Enfin, vous avez une autre bonne raison d’utiliser cet autre élément de sécurité indispensable, un gestionnaire de mots de passe : Non seulement il génère et enregistre vos identifiants difficiles à pirater, mais en cas de phishing, votre gestionnaire de mots de passe vous avertit que le site web sur lequel vous vous trouvez n’est pas celui que vous utilisez habituellement, car il ne contient pas d’identifiant pour l’URL du site d’escroquerie.
Mise à jour le 13/12/2019
[Image credit: Yubico, Twilio]Natasha Stokes est rédactrice spécialisée en technologie depuis plus de 7 ans. Elle couvre les questions de technologie de consommation, de confidentialité numérique et de cybersécurité. En tant que rédactrice en chef de TOP10VPN, elle a couvert la censure et la surveillance en ligne qui ont un impact sur la vie des gens dans le monde entier. Son travail a également été diffusé sur BBC Worldwide, CNN, Time et Travel+Leisure.
.
