Lorsqu’il est question de sécuriser nos comptes, mieux vaut deux fois qu’une. Pour cette raison, des entreprises comme Apple, Google ou encore Microsoft proposent d’activer l’identification à deux facteurs (appelée aussi 2FA) qui permet d’intégrer une protection supplémentaire à votre compte. Comment ça marche? Une fois votre mot de passe saisi (première identification), un code est envoyé à votre téléphone. Vous recevez ce code par SMS, de la part de l’entreprise propriétaire du site web sur lequel vous essayez de vous connecter. Le code a une durée limitée et vous devez le saisir sur votre appareil (deuxième identification) pour confirmer qu’il s’agit bien de vous et non d’une tentative d’accès frauduleuse à votre compte.
Pourquoi utiliser l’authentification à deux facteurs?
Aujourd’hui, les tentatives d’hameçonnage ou de vols de mot de passe sont nombreuses. Même en choisissant bien votre mot de passe et en le changeant régulièrement, vous n’êtes pas à l’abri d’un piratage. Une tierce personne, un virus ou des logiciels malveillants peuvent découvrir et se servir de votre mot de passe à votre insu. Avec l’identification à deux facteurs, la personne ne pourra pas franchir la deuxième étape et accéder à votre compte si elle ne dispose pas des informations de sécurité.
Toutefois, cette double identification est-elle toujours 100% fiable et suffisante?
La double identification est sans aucun doute meilleure qu’une identification unique. Elle ne garantit toutefois pas une protection infaillible et peut facilement être déjouée, comme l’a démontré Amnesty International dans son rapport sur la sécurité l’an passé. La deuxième preuve d’identification étant généralement envoyée par SMS, il est possible de détourner ce message de différentes façons : vol de smartphone, vol de carte SIM ou interception des messages par des hackeurs. Il y a quelques jours, début 2019, un nouvel outil nomme Modlishka et créé par un chercheur polonais a montré à quel point il est facile d’ignorer les opérations de connexion pour les comptes protégés par une authentification à deux facteurs. Le niveau de sécurité n’est donc pas suffisant.
Alors, comment réduire les risques ?
Rester attentifs : les cybercriminels incitent parfois les services comme Gmail à envoyer des codes d’authentification à 2 facteurs qui renvoient vers des sites de phishing. Soyez vigilants! Vérifiez toujours la provenance du sms ou du courriel qui contient votre code d’identification.
Privilégier d’autres formes d’identification à deux facteurs : l’envoi de SMS constitue une réelle faiblesse pour l’identification à double facteurs car, comme nous l’avons mentionné plus haut, la possibilité d’intercepter les messages est forte. Mon Technicien vous recommande donc d’utiliser d’autres méthodes d’authentification 2FA qui ne nécessitent pas l’envoi de SMS comme, par exemple, des applications qui génèrent des codes 2FA, telles que Authy, RSA SoftID ou un gestionnaire de mots de passe tel que LastPass ou encore Dashlane. Vous pouvez aussi utiliser des méthodes plus sophistiquées encore, comme une authentification biométrique (par empreintes digitales par exemple) ou comportementale (reconnaissance de la dynamique de frappe sur le clavier de l’ordinateur par exemple).
L’authentification à double facteur est certes beaucoup plus fiable qu’une identification simple mais elle n’est cependant pas un gage de sécurité maximale. En 2019, les avancées technologiques permettront de mettre en pratique de nouveaux systèmes d’authentification plus modernes et fiables.