Guide d'utilisation de mettre en place une authentification forte

L'authentification forte (ou « 2FA ») est une manière de permettre à un utilisateur ou utilisatrice de s'identifier auprès d'un fournisseur de services en demandant une combinaison de deux méthodes d'identification différentes. Ces méthodes peuvent être quelque chose que la personne sait (comme un mot de passe ou un code), quelque chose que la personne a (comme une clef électronique ou un téléphone portable), ou quelque chose qui est attaché à ou est inséparable de cette personne (comme des empreintes digitales).

Vous utilisez probablement déjà une authentification forte dans d'autres domaines de votre vie. Quand vous utilisez un distributeur pour retirer de l'argent, vous devez avoir à la fois votre carte bancaire (quelque chose que vous possédez) et votre code PIN (quelque chose que vous savez). À l'heure actuelle, néanmoins, beaucoup de seervices en ligne n'utilise qu'un seul facteur pour identifier leurs utilisateurs*trices, par défaut un mot de passe.

Comment l'authentification forte fonctionne-t-elle en ligne? Anchor link

Au cours des dernières années, plusieurs services en ligne - dont Facebook, Google et Twitter - ont offert l'authentification forte comme alternative à l'identification par mot de passe uniquement. Une fois cette fonctionnalité activée, les personnes se verront demander leur mot de passe et une seconde méthode d'identification, typiquement soit un code à usage unique envoyé par SMS ou un code à usage unique généré par une application mobile dédiée qui détient un secret (comme Google Authenticator, Duo Mobile, l'application Facebook, ou Clef). Dans les deux cas, le secon facteur d'identification est le téléphone portable de la personne, quelque chose qu'elle ont (normalement). Certains sites web (dont Google) acceptent également des codes sauvegardés qui ne peuvent être que téléchargés ou imprimés sur du papier en solution de secours additionnelle.

Pourquoi devrais-je mettre en place l'authentification forte? Anchor link

L'authentification forte vous apporte une plus grande sécurité de vos comptes en vous demandant d'authentifier votre identité par plus d'une méthode. Cela signifie que, même si quelqu'un devait mettre la main sur votre mot de passe principal, cette personne ne pourrait pas accéder à votre compte, sauf en possédant votre téléphone portable, ou un autre moyen d'identification secondaire.
 

Y a-t-il des inconvénients à utiliser l'authentification forte? Anchor link

Bien que l'authentification forte apporte des moyens d'authentification plus sécurisés, il y a un risque accru que les utilisateurs*trices ne puissent pas accéder à leur comptes, par exemples en égarant ou perdant leurs téléphones portables, en changeant leur carte SIM, ou en se déplaçant dans un autre pays sans activer le roaming.

De nombreux services d'authentification forte fournissent une courte liste de codes de « secours » ou de « récupération » - des codes qui fonctionnent toujours pour débloquer vos comptes. Si vous vous inquiétez de perde accès à votre téléphone ou à votre autre appeil d'identification, vous devriez imprimer et transporter ces codes avec vous. Ils fonctionneront toujours comme étant « quelque chose que vous avez », tant que vous n'en faites qu'une seule copie et les gardez près de vous. Souvenez-vous d'être extrèmement prudents en gardant ces codes en sécurité et de vous assurer que personne d'autre ne puisse les voir ou y accéder à aucun moment.

Un autre problème avec les systèmes d'authentification forte qui utilisent des messages SMS est que les SMS ne sont pas si sécurisés. Il est possible pour un attaquant sophistiqué (comme une agence de rensignement ou un groupe criminel organisé) ayant accès au réseau téléphonique d'intercepter et d'utiliser les codes envoyés par SMS. Il y a également eu des cas où des attaquants moins sofistiqués (comme des individus isolés) ont réussi à transférer des appels ou des messages à l'intention d'un numéro vers le leur, ou ont accéder aux services de comapagnies de téléphones montrant les messages envoyés à un numéro sans avoir besoin de posséder le téléphone.

Si vous vous inquiétez de ce niveau d'attaques, désactivez l'identification par SMS, et n'utilisez que des applications authentificatrices comme Google Authenticator ou Authy. Malheureusement, cette fonctionnalité n'est pas disponible pour tous les services d'authentification forte.

D'autre part, l'authentification forte peut vous demander de fournir plus d'information à un service que ce que vous souhaiteriez. Supposez que vous utilisez Twitter, et que vous vous enregistrez avec un pseudonyme. Même si vous évitez scrupuleusement de donner à Twitter vos informations personnelles, et même si vous n'accédez au service qu'à travers Tor ou un VPN, si vous activez l'authentification forte par SMS, Twitter enregistrera nécessairement votre numéro de téléphone. Cela signifie que, s'il est contrain par la justice, Twitter sera capagle de faire le lien entre votre compte et vous, via votre numéro de téléphone. Cela peut ne pas être un problème pour vous, en particulier si vous utilisez déjà votre nom d'état civil sur un service particulier, mais si maintenir votre anonymat est important, vous devrez peut-être y réfléchir à deux fois avant d'utiliser l'authentification forte par SMS.

Enfin, les recherches ont montré que certaines personnes utilisent des mots de passe plus faibles après avoir activé l'authentification forte, se sentant sécurisés par le second facteur.

Comment activer l'authentification forte ? Anchor link

Cela varie selon les plateformes, tout comme la terminologie utilisée. Facebook appelle cette procédure « approbations de connexion », Twitter l'appelle « vérification de connexion » et Google « validation en deux étapes ». Pour activer l'authentification forte sur la plupart des plateformes, vous aurez seulement besoin d'un téléphone capable de recevoir les SMS.

Une liste étendue des sites acceptant l'authentification forte est disponible sur https://twofactorauth.org/. Si vous souhaitez une meilleure protection contre le vol de mots de passe, vous devriez consulter cette liste, et activer l'authentification forte pour tous les comptes en ligne importants dont vous dépendez.

Dernière actualisation: 
2015-09-02
Cette page a été traduite de l’anglais. La version anglaise peut contenir des informations plus récentes.
JavaScript license information