Surveillance
Self-Defense

Guide pratique : activer l’authentification à deux facteurs

L’authentification à deux facteurs (article en anglais) ou « A2F » est une façon de permettre à un utilisateur de s’identifier auprès d’un fournisseur de services en exigeant une combinaison de deux méthodes d’authentification. Ces composantes pourraient être quelque chose que l’utilisateur connaît (comme un mot de passe ou un NIP) ou quelque chose que l’utilisateur possède (comme un jeton matériel ou un téléphone mobile), ou encore quelque chose qui est attaché à l’utilisateur ou inséparable (comme une empreinte digitale).

Vous utilisez probablement déjà l’authentification à deux facteurs dans d’autres aspects de votre vie. Quand vous utilisez un GAB pour retirer de l’argent, vous devez avoir votre carte bancaire physique (quelque chose que vous possédez) et votre NIP (quelque chose que vous connaissez). Cependant, à l’heure actuelle, de nombreux services en ligne n’utilisent qu’un facteur par défaut pour identifier leurs utilisateurs : un mot de passe.

 

Comment l’A2F fonctionne-t-elle en ligne ? Anchor link

Depuis quelques années, plusieurs services en ligne incluant Facebook, Google et Twitter ont offert l’A2F comme solution de remplacement à l’authentification par mot de passe seul. Une fois que cette fonction est activée, les utilisateurs sont invités à saisir à la fois leur mot de passe et une seconde méthode d’authentification, habituellement soit un code à usage unique envoyé par texto ou un code à usage unique généré par une appli mobile dédiée qui enregistre un secret (telle que Google Authenticator, Duo Mobile, l’appli Facebook ou Clef). Dans tous les cas, le second facteur est le téléphone mobile de l’utilisateur, quelque chose qu’il possède (normalement). Certains sites Web (dont Google) prennent aussi en charge des codes de secours qui peuvent être téléchargés, imprimés et conservés en lieu sûr comme sauvegarde supplémentaire. Une fois qu’un utilisateur a décidé d’utiliser l’A2F, il devra saisir son mot de passe et un code à usage unique provenant de son téléphone pour accéder à son compte.

 

 

Pourquoi devrais-je activer l’A2F ? Anchor link

L’A2F augmente la sécurité de votre compte en exigeant que vous vous authentifiez de plusieurs façons. Cela signifie que même si quelqu’un obtenait votre mot de passe principal, cette personne ne pourrait pas accéder à votre compte à moins qu’elle n’ait aussi votre téléphone mobile ou un autre mode secondaire d’authentification.

 

L’utilisation de l’A2F comporte-t-elle des inconvénients ? Anchor link

Bien que l’A2F offre un mode d’authentification plus sécurisé, il existe un risque accru que les utilisateurs ne puissent pas accéder à leur compte, par exemple si l’utilisateur égare ou perd son téléphone, change sa carte SIM ou voyage dans un pays sans activer l’itinérance.

De nombreux services d’A2F fournissent une courte liste de codes de « secours » ou de « récupération ». Chaque code ne peut être utilisé qu’une fois pour vous connecter à votre compte, devenant inutilisable par la suite. Si ne plus avoir accès à votre téléphone ou autre appareil d’authentification vous inquiète, vous devriez imprimer ces codes et les garder sur vous. Ils fonctionneront encore comme « quelque chose que vous avez » tant que vous n’imprimerez qu’un exemplaire et le conserverez à portée de main. Rappelez-vous particulièrement d’assurer la sécurité de ces codes et de faire en sorte que personne ne puisse jamais les voir ni y accéder. Si vous utilisez ou perdez vos codes de secours, vous pourrez générer une nouvelle liste la prochaine fois que vous aurez la possibilité de vous connecter à votre compte.

Les systèmes d’A2F qui utilisent des textos posent un autre problème : les textos ne sont pas sécurisés. Il est possible qu’un assaillant expert (tel qu’un service de renseignement ou un groupe de criminels organisés) qui aurait accès au réseau téléphonique puisse intercepter et utiliser les codes envoyer par textos. Il est aussi arrivé qu’un assaillant moins averti (une personne) ait réussi à faire transférer sur son numéro des appels ou des textos destinés à un autre numéro, ou encore à accéder aux services d’une compagnie de téléphone lui permettant de voir les textos envoyés à un numéro de téléphone donné sans besoin d’avoir le téléphone.

Si ce niveau d’attaque vous inquiète, désactivez l’authentification par texto et n’utilisez que des applis d’authentification telles que Google Authenticator ou Authy. Malheureusement, cette fonction n’est pas proposée pour tous les services utilisant l’A2F.

De plus, l’A2F pourrait exiger que vous communiquiez à un service plus de renseignements que vous n’aimeriez le faire. Supposez que vous êtes un utilisateur de Twitter et que vous vous êtes inscrit en utilisant un pseudonyme. Même si vous avez scrupuleusement évité de donner des renseignements permettant de vous identifier à Twitter, et même si vous n’accédez au service que par Tor ou un RPV, si vous activez l’A2F par texto, Twitter enregistrera automatiquement votre numéro de téléphone mobile. Cela signifie que si l’ordre d’une cour l’y obligeait, Twitter pourrait associer votre compte à vous en utilisant votre numéro de téléphone. Cela pourrait ne vous poser aucun problème, particulièrement si vous utilisez déjà votre nom légal pour un service donné, mais s’il est important que vous restiez anonyme, vous devriez réfléchir davantage avant d’utiliser l’A2F par texto.

Enfin, des recherches ont démontré (article en anglais) que certains utilisateurs choisiront des mots de passe plus faibles après avoir activé l’A2F, pensant que le second facteur assurait leur sécurité. Assurez-vous de toujours choisir un mot de passe robuste, même après avoir activé l’A2F. Vous trouverez des conseils dans notre guide Créer des mots de passe robustes.

 

Comment puis-je activer l’A2F ? Anchor link

Cela change d’une plateforme à l’autre, ainsi que la terminologie utilisée. Une longue liste de sites prenant en charge l’A2F est proposée sur https://twofactorauth.org/ (site en anglais). Pour les services les plus habituels, vous pouvez vous référer à notre article « 12 Days of 2FA » (en anglais), qui explique comment activer l’A2F sur Amazon, Bank of America, Dropbox, Facebook, Gmail et Google, LinkedIn, Outlook.com et Microsoft, PayPal, Slack, Twitter et Yahoo Mail.

Si vous souhaitez une meilleure protection contre les mots de passe volés, lisez cette liste et activez l’A2F pour tous les comptes Web importants sur lesquels vous comptez.

Dernière actualisation: 
2017-09-07
Cette page a été traduite de l’anglais. La version anglaise peut contenir des informations plus récentes.
JavaScript license information