Il suffit d’une violation de données pour que toute votre vie en ligne soit bouleversée. Le problème réside surtout dans notre dépendance à l’égard des mots de passe. Ils sont des moyens désespérément fragiles de sécuriser des ressources précieuses.
Ne vous laissez pas bercer par un faux sentiment de sécurité en croyant que la création d’un mot de passe plus long, plus complexe et plus difficile à deviner vous rendra plus sûr en ligne.
Vous pouvez créer un mot de passe qui respecte toutes les règles, un mot de passe si long et si complexe qu’il vous faut cinq minutes pour le taper. Il ne vous protégera en rien si le service pour lequel vous utilisez ce mot de passe le stocke de manière incorrecte. Cela arrive tout le temps.
Surtout, même avec des mots de passe forts, générés de manière aléatoire et non réutilisés, les individus restent le maillon le plus faible de la chaîne de sécurité. L’ingénierie sociale peut convaincre des personnes par ailleurs intelligentes de saisir leurs informations d’identification sur un site de hameçonnage. Ou de les donner par téléphone.
Qu’est-ce que le 2FA ou MFA ?
Si des malfaiteurs parviennent à voler les informations d’identification de votre compte bancaire, qu’est-ce qui les empêche de s’y connecter et de prendre votre argent ? La solution est l’authentification à deux facteurs (2FA). Certains services, soucieux du détail, parlent d’authentification multifactorielle (AMF ou MFA en anglais) ou de vérification en deux étapes. Dans cet article, j’utilise indifféremment les termes 2FA et MFA.
L’activation de l’authentification à deux facteurs pour un service modifie les exigences de sécurité, vous obligeant à fournir au moins deux preuves d’identité lorsque vous accédez à un service sécurisé. Ces deux formes d’authentification peuvent provenir de n’importe quelle combinaison d’au moins deux des éléments suivants :
- « Quelque chose que vous connaissez », comme un mot de passe ou un code PIN
- « Quelque chose que vous êtes », comme une empreinte digitale ou un autre identifiant biométrique
- « Quelque chose que vous avez », comme un smartphone de confiance qui peut générer ou recevoir des codes de confirmation, ou un dispositif de sécurité matériel.
La mise en place d’une sécurité supplémentaire pour la plupart des services en ligne requiert des compétences techniques minimales. Si vous pouvez utiliser l’appareil photo de votre smartphone, taper un numéro à six chiffres et appuyer sur OK dans une boîte de dialogue, vous avez toutes les compétences requises. En général, le plus difficile est de trouver la page contenant les paramètres appropriés.
Voici donc tout ce qu’il faut savoir pour activer la fonction 2FA et renforcer votre sécurité.
Comment le 2FA me protège-t-il ?
Lorsque l’option 2FA est activée, une personne qui vole votre mot de passe et tente de se connecter à partir d’un appareil inconnu n’obtient pas immédiatement l’accès. Elle doit fournir une deuxième forme d’identification, généralement sous la forme d’un code numérique provenant de votre smartphone.
La personne qui a volé les informations d’identification de votre compte n’ayant pas accès à votre smartphone, elle sera stoppée net dans son élan. Sans ce code, elle ne peut pas déverrouiller votre compte et vous recevrez une notification indiquant que quelqu’un a tenté, sans succès, de se connecter à distance.
Pour la plupart, les systèmes d’authentification à deux facteurs que vous voyez aujourd’hui utilisent le premier élément (votre mot de passe) et le dernier élément (votre smartphone). Les smartphones sont devenus omniprésents, ce qui en fait des dispositifs de sécurité pratiques.
Une code par texto, ou depuis une application
Votre smartphone peut contribuer à l’authentification en fournissant un code unique que vous utilisez avec votre mot de passe pour vous connecter. Vous pouvez obtenir ce code de deux manières :
- Par un message texte ou électronique envoyé par le service.
- Ou généré par une application installée sur votre téléphone. (Certains services vous permettent également d’approuver une notification push sur votre smartphone).
Sur les services qui prennent en charge l’utilisation de passkeys, vous pouvez enregistrer ces informations d’identification sécurisées soutenues par 2FA dans un format qui envoie les deux facteurs d’authentification simultanément lorsque vous vous connectez sur cet appareil et que vous prouvez votre identité à l’aide d’éléments biométriques ou d’un code PIN.
Un rapport de 2023 de Microsoft a conclu que le 2FA fonctionne, bloquant 99,22 % des attaques, par rapport aux comptes pour lesquels le 2FA n’était pas activé. Même dans les cas où les mots de passe de la victime visée ont été divulgués lors d’une violation de données, l’obligation d’utiliser un deuxième facteur d’authentification a empêché 98,6 % des attaques de réussir. Si un fournisseur de services prend en charge l’authentification multifactorielle, Microsoft recommande de l’utiliser, même s’il s’agit d’un simple mot de passe à usage unique par SMS. Un rapport de Google, basé sur une étude d’un an, présente des conclusions similaires.
L’authentification à deux facteurs permet d’arrêter net la plupart des attaques occasionnelles. Elle n’est cependant pas parfaite. Un attaquant déterminé qui cible directement un compte spécifique peut être en mesure de trouver des moyens de le contourner, en particulier s’il peut détourner le compte de messagerie utilisé pour la récupération ou rediriger les appels téléphoniques et les messages SMS vers un appareil qu’il contrôle. Mais si quelqu’un est aussi déterminé à s’introduire dans votre compte, vous avez certainement un plus gros problème.
Comment configurer le 2FA avec mon smartphone ou mon adresse électronique ?
Certains services en ligne n’autorisent que les options d’authentification les plus basiques. Si vous avez la possibilité d’utiliser des messages SMS, il vous suffit d’associer un numéro de téléphone portable à votre compte. (Avec certains services, vous pouvez également utiliser une ligne téléphonique virtuelle qui peut recevoir des SMS). Configurez le compte pour qu’il envoie un code à ce numéro chaque fois que vous vous connectez sur un appareil non fiable.
Lorsque vous configurez cette forme de 2FA sur un compte pour la première fois, il vous est demandé de saisir à nouveau votre mot de passe et d’indiquer le numéro de téléphone auquel vous souhaitez recevoir les codes d’authentification. Une fois cette opération terminée, vous recevrez un code sur cet appareil. Saisissez le code pour confirmer que vous l’avez reçu, et la configuration de l’authentification 2FA est terminée, le service marquant cet appareil comme étant de confiance. (C’est également le moment de générer un code de récupération, de l’imprimer et de le conserver en lieu sûr afin de pouvoir le récupérer si votre méthode 2FA principale n’est pas disponible).
Certains services vous permettent de configurer une adresse électronique de confiance pour recevoir les codes d’authentification. La procédure est identique à celle de l’utilisation des messages texte. Saisissez l’adresse électronique de votre choix, attendez qu’un code arrive dans votre application de messagerie et saisissez-le pour confirmer que cette méthode fonctionne.
Comment configurer le 2FA avec une application d’authentification ?
Pour configurer une application d’authentification en tant qu’appareil de confiance, vous devez d’abord prouver que vous pouvez vous connecter au service à l’aide de votre mot de passe, puis prouver que vous êtes bien la personne que vous prétendez être sur l’appareil de confiance, à l’aide de données biométriques ou d’un code PIN.
Ce processus de configuration initiale nécessite une connexion de données. Après cette étape, tout se passe sur votre appareil. Le processus est régi par une norme bien acceptée, l’algorithme TOTP (Time-based One-Time Password), qui utilise l’application d’authentification comme une calculatrice sophistiquée générant des codes à partir de l’heure actuelle de votre appareil et du secret partagé.
Le service en ligne utilise le même secret et son horodatage pour générer des codes qu’il compare à votre entrée. Les deux côtés de la connexion peuvent ajuster les fuseaux horaires sans problème, bien que vos codes échouent si l’heure de votre appareil est erronée.
Quelques applications d’authentification à considérer
Pour commencer, vous devez d’abord installer l’application d’authentification sur l’appareil mobile que vous souhaitez utiliser comme deuxième facteur d’authentification. Voici quelques applications d’authentification à considérer :
- Si vous possédez un appareil iOS, vous pouvez télécharger l’application Google Authenticator sur l’App Store. (Sur les appareils Android, installez l’application Google Authenticator à partir du Google Play Store).
- L’application Microsoft Authenticator, qui utilise la même norme pour créer des jetons d’authentification, est disponible pour les appareils Android sur le Google Play Store et pour les appareils iOS sur l’App Store.
- Twilio Authy est également disponible sur App Store et Google Play Store.
- Plusieurs services de gestion de mots de passe intègrent la prise en charge de 2FA dans leurs applications. Pour plus de détails sur l’utilisation de la fonction « One-Time Password » de 1Password, voir cette page d’assistance. Des instructions pour Dashlane sont disponibles ici. Une option open-source populaire, Bitwarden, offre des fonctionnalités similaires.
Après avoir installé l’application sur votre appareil, l’étape suivante consiste à la configurer pour qu’elle fonctionne avec chaque compte pour lequel vous avez activé la fonction 2FA.
La grande question du secret partagé
Le processus de configuration exige généralement que vous saisissiez un secret partagé (une longue chaîne de texte) à l’aide de l’application mobile. Toutes les applications mobiles que j’ai énumérées ci-dessus permettent d’utiliser l’appareil photo d’un smartphone pour prendre en photo un code QR, qui contient le secret partagé de votre compte. C’est beaucoup plus facile que de saisir manuellement une chaîne alphanumérique complexe.
La capture d’écran ci-dessous, par exemple, est le code QR que j’ai vu lors de la création d’un compte Dropbox.
Dans l’application de votre smartphone, choisissez l’option d’ajout d’un nouveau compte, puis prenez une photo du code-barres pour configurer automatiquement la prise en charge 2FA. Capture d’écran par Ed Bott/ZDNET
Dans l’application de votre authentificateur, choisissez l’option d’ajout d’un nouveau compte, choisissez l’option du code-barres, dirigez le smartphone vers le code-barres sur l’écran de votre ordinateur et attendez que l’application remplisse les champs nécessaires.
Une fois le compte configuré dans l’application d’authentification, celle-ci commence à générer des codes sur la base du secret partagé et de l’heure actuelle. Pour terminer le processus de configuration, saisissez le code actuel à partir de l’application d’authentification.
La prochaine fois que vous tenterez de vous connecter avec un nouvel appareil ou un nouveau navigateur web, vous devrez saisir le code actuel, tel qu’il est affiché par l’application d’authentification.
Une solution pour les anciennes applications
Certains paramètres 2FA incluent une option permettant de générer des mots de passe spéciaux pour les anciennes applications qui ne prennent pas en charge l’authentification moderne. Les paramètres de sécurité de votre compte devraient vous guider dans ce processus. (Mais en réalité, si vous utilisez une application tellement obsolète qu’elle nécessite un mot de passe, vous vivez à l’ère du Pléistocène et vous devriez remplacer cette application par une alternative moderne).
Dans le cadre de la procédure de configuration de 2FA, vous devez également générer un ou plusieurs codes de récupération, que vous pouvez imprimer et conserver en lieu sûr.
En cas de perte ou de détérioration de votre smartphone, vous pourrez utiliser ces codes pour accéder à nouveau à votre compte.
Comment transférer des comptes 2FA sur un nouveau smartphone ?
Si vous utilisez les SMS comme deuxième facteur d’authentification, le transfert de votre numéro sur le nouveau téléphone entraînera également le transfert de votre configuration 2FA.
La plupart des applications modernes d’authentification et de gestion des mots de passe vous permettent de générer des codes sur plusieurs appareils. Configurez l’application sur le nouveau téléphone, installez-la, connectez-vous, puis vérifiez chaque compte pour confirmer que les codes générés sur le nouveau téléphone fonctionnent correctement. Cette étape est essentielle. N’effacez pas votre ancien téléphone tant que vous n’êtes pas certain que l’application d’authentification du nouveau téléphone fonctionne correctement.
Microsoft Authenticator vous permet de sauvegarder les codes dans le nuage et de les restaurer sur un nouvel appareil, mais uniquement si vous utilisez la même plateforme mobile – Android à Android ou iOS à iOS. Pour des instructions étape par étape, voir « Sauvegarder et récupérer les informations d’identification d’un compte dans l’application Authenticator ». Authy offre une fonctionnalité similaire.
Avec Google Authenticator, vous pouvez synchroniser les codes sur plusieurs appareils en vous connectant avec le même compte Google sur chaque appareil, comme indiqué ici : Obtenir des codes de vérification avec Google Authenticator.
Le 2FA n’est-il pas peu pratique ?
L’activation de l’option 2FA pour un service modifie les exigences de sécurité, vous obligeant à fournir au moins deux preuves d’identité lorsque vous accédez à un service sécurisé pour la première fois sur un appareil inconnu. Une fois que vous avez relevé ce défi avec succès, vous avez généralement la possibilité de classer l’appareil comme étant de confiance, ce qui signifie que les demandes de 2FA devraient être relativement rares sur les appareils que vous utilisez régulièrement.
La plupart des services (mais pas tous) qui prennent en charge la fonction 2FA proposent un choix de méthodes d’authentification. Google, Microsoft et Apple, par exemple, peuvent envoyer des notifications à un appareil de confiance ; vous touchez la notification pour approuver la connexion.
Pour les services de grande valeur, vous pouvez choisir l’option « peu pratique » qui consiste à toujours demander un code 2FA ou une invite pour se connecter. Cette précaution réduit le risque qu’une personne ayant accès à un appareil de confiance puisse altérer ce compte.
Quelle est la meilleure méthode d’authentification ?
La meilleure méthode d’authentification est celle avec laquelle vous vous sentez le plus à l’aise, à supposer que vous ayez le choix. Dans la mesure du possible, vous devez mettre en place au moins deux options de vérification afin d’éviter le risque d’être bloqué sur votre compte.
Lorsque j’ai le choix, je préfère utiliser une application d’authentification plutôt que de recevoir des codes par SMS, et vous devriez faire de même, pour deux bonnes raisons. La première raison est une simple question de logistique. Il arrive que vous ayez accès à l’internet (via une connexion filaire ou Wi-Fi) mais que vous ne puissiez pas recevoir de message texte, parce que votre signal cellulaire est faible ou inexistant, ou parce que vous utilisez une carte SIM différente lorsque vous voyagez. La deuxième raison est le risque, faible mais réel, qu’un pirate informatique se fraye un chemin à travers les défenses de votre opérateur mobile pour acquérir une carte SIM avec votre numéro de téléphone, un processus appelé SIM swapping ou simjacking.
Si vous préférez, vous pouvez également combiner plusieurs applications d’authentification sur un appareil de confiance. J’utilise 1Password pour enregistrer à la fois les mots de passe et les codes 2FA pour la plupart des sites et des services, ce qui rend la connexion encore plus transparente. Cependant, j’utilise l’application Microsoft Authenticator pour les comptes de grande valeur, y compris les codes de vérification pour configurer 1Password sur un nouvel appareil.
Comment puis-je savoir quels services prennent en charge 2FA ?
Lorsque j’ai commencé à écrire sur cette technologie, il y a plus de dix ans, la prise en charge de 2FA était relativement rare. Aujourd’hui, elle est devenue monnaie courante et un nombre croissant de services en ligne l’exigent :
- Les comptes Google, y compris les comptes Gmail grand public et les comptes Google Workspace professionnels, offrent un large éventail de solutions de vérification en deux étapes et prennent désormais en charge les passkeys. Rendez-vous sur cette page de compte et connectez-vous pour commencer : Vérification en deux étapes (google.com).
- Tous les comptes Microsoft, y compris les comptes gratuits utilisés avec Outlook.com, Xbox et d’autres services grand public, prennent en charge diverses options d’authentification gérées directement par le titulaire du compte. Comment utiliser la vérification en deux étapes avec votre compte Microsoft ».
- Les administrateurs des abonnements Microsoft 365 business et entreprise gèrent l’authentification des utilisateurs à l’aide de la plateforme de gestion des identités et des accès de Microsoft, Entra ID (anciennement Azure Active Directory). Si votre service informatique a activé cette fonctionnalité, suivez ces instructions : « Set up your Microsoft 365 sign-in for multi-factor authentication ».
- Pour les comptes Apple, l’authentification à deux facteurs exige que vous fournissiez un code de vérification à six chiffres lorsque vous vous connectez pour la première fois à un nouvel appareil. Apple suppose que vous avez un autre appareil Apple de confiance à portée de main. (Vous pouvez utiliser un numéro de téléphone de confiance si vous n’avez pas accès à un autre appareil connecté à votre compte Apple). Les instructions officielles se trouvent dans cet article de l’assistance Apple : « Two-factor authentication for Apple ID ».
Omniprésent sur les médias sociaux
La prise en charge de l’authentification à deux facteurs est omniprésente dans les services de médias sociaux (Facebook, X/Twitter, Instagram, etc.). Tous les services de stockage en ligne dignes d’intérêt prennent en charge l’authentification à deux facteurs, de même que la plupart des bureaux d’enregistrement de domaines et des sociétés d’hébergement web.
Si vous n’êtes pas sûr d’un service spécifique, le meilleur endroit pour vérifier est un superbe référentiel d’informations open-source appelé 2FA Directory, qui est géré par une association suédoise à but non lucratif, le groupe 2factorauth, et maintenu sur GitHub.
Et si un service de grande valeur dont vous dépendez ne prend pas en charge le 2FA, peut-être devriez-vous envisager de passer à un service qui le prend en charge.
Quels services dois-je protéger en priorité ?
Vous disposez probablement d’identifiants de connexion à des dizaines de services en ligne qui prennent en charge la fonction 2FA ; la meilleure stratégie consiste donc à dresser une liste de priorités et à la parcourir. La meilleure stratégie consiste donc à établir une liste de priorités et à la parcourir. Je suggère de suivre ces priorités :
Gestionnaires de mots de passe/d’identités
L’utilisation d’un gestionnaire de mots de passe est peut-être le moyen le plus important de s’assurer que vous disposez d’un mot de passe fort et unique pour chaque service, mais cette stratégie crée également un point d’attaque unique.
L’ajout de l’authentification électronique renforce cette faiblesse potentielle.
Notez que pour certaines applications de gestion de mots de passe, la prise en charge du 2FA est une option payante.
Comptes Microsoft, Google et Apple
Si vous utilisez des services de l’une de ces grandes plateformes, il est essentiel d’ajouter la prise en charge du 2FA.
Heureusement, c’est également facile (voir la section précédente pour des liens vers des instructions détaillées).
Comptes de messagerie
Si un acteur malveillant parvient à s’emparer de votre compte de messagerie, il peut souvent faire des ravages, car les messages électroniques sont un moyen standard d’envoyer des liens de réinitialisation de mot de passe.
Les messages provenant d’un compte de messagerie compromis peuvent également être utilisés pour attaquer vos amis et collègues (en envoyant des pièces jointes chargées de logiciels malveillants, par exemple).
Si vous utilisez Outlook.com, Microsoft 365, Exchange Online, Gmail ou Google Workspace, votre compte de messagerie utilise la méthode de vérification d’identité associée à votre compte Microsoft ou Google. Si vous utilisez un autre service de messagerie, vous devrez configurer 2FA séparément.
Comptes de médias sociaux
Comme pour le courrier électronique, le plus grand risque associé à un compte Facebook ou Instagram piraté est qu’il soit utilisé contre vos amis et associés.
Même si vous êtes un internaute qui publie rarement sur les médias sociaux, vous devez protéger ces comptes.
Banques et institutions financières
La plupart des banques et des sociétés de cartes de crédit ont réalisé d’importants investissements dans des programmes de détection des fraudes en amont, ce qui explique pourquoi les options 2FA sont limitées par rapport à d’autres catégories.
Néanmoins, il vaut la peine d’explorer ces paramètres et de les sécuriser autant que possible.
Achats et commerce en ligne
Tout site sur lequel vous enregistrez un numéro de carte de crédit doit être sécurisé.