Des mots de passe complexes peuvent sécuriser vos comptes en ligne, mais les pirates peuvent toujours accéder à votre compte en utilisant des attaques par force brute et des techniques d’ingénierie sociale.
L’authentification à deux facteurs (2FA) entre dans l’équation en tant que mesure de sécurité supplémentaire. Comme les banques détiennent les données les plus sensibles, elles ont été les premières à mettre en œuvre l’authentification à deux facteurs. Depuis, un nombre croissant de plateformes ont mis en place ce service. Il est donc important que vous utilisiez ce niveau de protection supplémentaire pour assurer la sécurité de vos comptes.
Il existe toutefois quelques arguments selon lesquels l’authentification à deux facteurs n’offre pas vraiment un niveau de sécurité plus élevé.
Mythe : l’authentification à deux facteurs est une garantie contre la fraude
L’authentification à deux facteurs rend l’accès à vos comptes en ligne beaucoup plus difficile pour un pirate ou un voleur. Même si vos informations de connexion ont été compromises, le pirate ne pourra pas accéder à votre compte.
Vous ne pouvez pas accéder à votre compte en utilisant uniquement votre nom d’utilisateur et votre mot de passe. Un mot de passe à usage unique basé sur le temps (TOTP) sera envoyé à l’adresse électronique ou au numéro de téléphone enregistré pour le compte. Le code que vous fournissez est vérifié dès que vous le saisissez dans l’interface. S’il est correct, vous serez reconnu comme l’utilisateur autorisé du compte.
Cependant, des outils spécifiques, y compris des logiciels utilisés pour voler des cookies de session, peuvent être utilisés pour voler des codes OTP. De même, si un pirate informatique a pris le contrôle de votre courrier électronique et que vous l’utilisez pour recevoir des codes 2FA, il pourrait facilement accéder à d’autres services.
Il convient de noter que les contournements réussis de l’authentification à deux facteurs (2FA) sont relativement rares. Ceux qui réussissent sont généralement dus à une erreur humaine ; par exemple, vous pouvez donner à un escroc le code d’accès temporaire alors qu’il prétend en avoir besoin. Si l’ingénierie sociale ne fonctionne pas, les pirates utilisent les failles de sécurité du système comme point d’entrée.
Dans l’ensemble, l’authentification à deux facteurs a fait ses preuves en matière de sécurité des comptes. Elle empêche les pirates de détruire des données, de manipuler des programmes, d’envoyer des spams ou de diffuser des codes malveillants. Elle n’est cependant pas infaillible.
Mythe : toutes les méthodes 2FA sont identiques
Bien que les codes temporaires envoyés par SMS ou par courrier électronique soient les plus courants, l’authentification à deux facteurs peut également être utilisée d’autres manières. Certaines de ces techniques sont plus sûres que d’autres.
Par exemple, le SMS n’est pas une forme de communication cryptée. Installez une application d’authentification tierce et connectez-la à votre compte pour obtenir votre code temporaire via une connexion cryptée. En d’autres termes, vous recevrez le code sur l’application d’authentification plutôt que sur votre adresse électronique ou votre numéro de téléphone, que vous disposiez ou non de données cellulaires ou d’une connexion Internet.
Une autre option consiste à utiliser un dispositif physique avec des codes cryptographiques via USB, Bluetooth ou Near Field Communication (NFC). L’utilisation d’une application d’authentification réputée ou d’un jeton matériel, par opposition à l’utilisation exclusive de codes basés sur des SMS, offre une couche de sécurité supplémentaire. Elle crée un code unique, basé sur le temps, pour chaque tentative d’authentification. Le système vérifie ensuite que vous possédez la clé de sécurité physique lorsque vous la saisissez.
Plusieurs applications vous permettent également d’authentifier votre identité à l’aide de votre visage, de vos yeux ou de vos empreintes digitales. Par exemple, Dashlane, un gestionnaire de mots de passe sécurisé, permet aux utilisateurs iOS de se connecter avec FaceID au lieu du mot de passe principal à chaque fois.
Mythe : l’authentification à deux facteurs est compliquée et prend du temps
Certaines personnes pensent que l’authentification à deux facteurs est un processus fastidieux, mais il ne faut normalement pas plus d’une minute pour effectuer une authentification à deux facteurs. Le code est envoyé en quelques secondes, et comme il est sensible au temps, vous devez le saisir immédiatement.
Comparée à d’autres techniques, l’authentification à deux facteurs par SMS peut parfois être plus lente, mais même dans ce cas, cela ne prend que quelques secondes. Dans le pire des cas, si vous n’introduisez pas le code à temps, vous devrez peut-être le redemander. Le renvoi peut prendre un certain temps, mais cela arrive rarement.
D’autres techniques, comme la sécurité physique et les applications d’authentification, sont beaucoup plus rapides. Il peut même être plus pratique d’utiliser l’authentification à deux facteurs que les mots de passe.
L’authentification à deux facteurs est-elle disponible sur tous les services ?
Presque toutes les grandes plateformes prennent en charge l’authentification à deux facteurs. Même les entreprises l’ont configurée sur leurs portails en ligne pour une sécurité maximale.
Certaines plateformes plus anciennes ou moins sécurisées peuvent ne pas proposer d’authentification à deux facteurs, tandis que d’autres peuvent disposer d’autres protections de sécurité. Google, Apple et Microsoft développent les capacités de connexion sans mot de passe, car elles sont généralement considérées comme plus sûres que les mots de passe.