Protégez votre vie numérique

Article publié le 18 Juin 2019

Dernière modification 17 Mars 2025

Page 5 sur 9: 2FA, la double authentification

Page 5 sur 9

2FA, la double authentification

Depuis quelques années, pour lutter face aux vols massifs de comptes par des hackers possédant de véritables bases de données d'emails et de mots de passe, les différents sites et services requérant une identification ont mis en place des méthodes de double authentification. Pour ceux qui n'auraient jamais pris le temps de se pencher sur la question, il s'agit de réclamer deux méthodes d'authentification pour renforcer la sécurité, la première étant généralement votre mot de passe et la seconde dépendante d'un objet en votre possession, par exemple votre smartphone sur lequel est envoyé un SMS ou s'exécute une application dédiée, ce qui complique largement la vie d'un pirate qui serait déjà en possession de votre login et mot de passe. Également connue sous l'acronyme 2FA (de l'anglais 2 factor authentification), la double authentification ou authentification à double facteur est à activer partout où c'est possible et en particulier sur les sites et services importants, ceux qui concernent votre argent et vos données personnelles pour éviter le vol d'identité. Microsoft, Google, Facebook, Steam, l'ensemble des sites et services majeurs (et pas que) proposent cette option de sécurité qu'on peut qualifier d'essentielle.

Faut-il éviter les SMS ?

Il existe de multiples méthodes d'authentification double facteur. Les plus populaires sont la réception d'un code par email, par SMS ou via une application dédiée comme Google Authenticator ou Authy sur votre smartphone. Nous recommandons vivement cette dernière solution, car outre qu'elle fonctionne même en l'absence de réseau mobile, c'est la plus sécurisante. En effet, elle génère un code valable quelques secondes uniquement et basée sur une clé qui vous est spécifique. Notre préférence se porte sur Authy qui, par rapport au célèbre Google Authenticator, est verrouillable par code PIN (c' est une sécurité de plus si vous égarez votre smartphone). En revanche, la réception d'un code par SMS n'est pas totalement sécurisée, car le protocole SS7 utilisé par les prestataires mobiles est vieux et plein de failles. Pour quelqu'un disposant d'un matériel pour hacker le SS7 (c'est peu probable, ça vaut des millions) ou ayant un accès direct au réseau (de nombreux techniciens chez SFR, Orange et consorts), intercepter un SMS n'est pas si compliqué qu'on pourrait le penser. Il y a d'ailleurs eu suffisamment de cas de figure (des comptes en banque se sont ainsi fait pirater, plus d'infos pour les anglophones sur ARS Technica) pour que, depuis juillet 2017, Google ait revu sa méthode de 2FA pour se débarrasser du SMS. Le mail est plus sécurisant, mais si vous avez le moindre doute quant au fait que votre BAL puisse être compromise, évitez de vous en servir. L'authentification à double facteur peut prendre d'autres formes, vous vous en servez d'ailleurs depuis des années sans le savoir avec vos cartes bancaires et le fameux code à 3 chiffres qui est au dos. Ainsi, si un commerçant mal intentionné repère votre numéro de carte bleu et le code que vous tapez sur son terminal, il ne pourra pas s'en servir pour payer en ligne sur les sites réclamant le code de sécurité qui impose d'avoir la carte à sa disposition.

Bien stocker ses clés de récupération

La double authentification, c'est bien, mais jouez de prudence en stockant à l'abri les méthodes de récupération. En effet, imaginez que vous changiez de numéro de smartphone sans avoir mis à jour l'authentification à deux facteurs par SMS de votre compte Microsoft, vous ne recevrez jamais le code attendu ! Les éditeurs proposent pour cela de multiplier les facteurs secondaires par prudence, mais ils délivrent aussi des clés de récupération qui permettront de débloquer votre compte en cas de problème. De même, lorsque vous associez un compte avec une application générant des codes, pensez bien à sauvegarder le QR-Code afin de pouvoir récupérer ce compte si jamais vous changez de smartphone. Si par malheur vous perdiez quand même ces codes de secours, il faut alors passer par le SAV qui vous demandera de prouver votre identité de plusieurs manières afin de vous débloquer.