guide

Comment fonctionne l'authentification à deux facteurs : Guide pour débutants

6 min de lecture

Les mots de passe ne suffisent plus

Vous avez probablement déjà entendu cela, et c’est vrai. Les mots de passe, à eux seuls, sont un moyen faible de protéger un compte.

Les gens les réutilisent sur plusieurs sites. Ils choisissent des mots de passe faciles à deviner. Les violations de données fuient des millions d’identifiants à la fois. Et les attaques de phishing trompent les gens pour qu’ils remettent volontairement leurs mots de passe.

L’authentification à deux facteurs (2FA) existe parce que même un bon mot de passe peut être compromis. L’idée est simple : exiger une deuxième preuve avant d’accorder l’accès.

Quelque chose que vous savez, quelque chose que vous avez

Les facteurs d’authentification se répartissent en trois catégories :

  • Quelque chose que vous savez - un mot de passe, un code PIN, ou une réponse à une question de sécurité
  • Quelque chose que vous avez - un téléphone, une clé matérielle, une application d’authentification
  • Quelque chose que vous êtes - une empreinte digitale, un scan facial, ou autre biométrie

La connexion standard utilise un seul facteur : votre mot de passe (quelque chose que vous savez). L’authentification à deux facteurs ajoute un deuxième, généralement quelque chose que vous avez. Donc même si quelqu’un vole votre mot de passe, il ne peut pas se connecter sans avoir également votre appareil physique.

C’est tout le concept. Deux preuves distinctes, de deux catégories distinctes.

Types de 2FA

Tous les seconds facteurs ne fonctionnent pas de la même manière. Voici les plus courants.

Codes SMS

Le service envoie un message texte contenant un code numérique à votre téléphone. Vous le saisissez pour compléter la connexion. C’est la forme de 2FA la plus répandue et la plus facile à configurer, car vous avez juste besoin d’un numéro de téléphone.

L’inconvénient est que les SMS ont des failles de sécurité connues. Les messages texte peuvent être interceptés, et les attaquants peuvent détourner des numéros de téléphone via des attaques de SIM swapping. C’est toujours mieux que pas de 2FA du tout, mais il y a des options plus robustes.

Applications d’authentification (TOTP)

Des applications comme Google Authenticator, Authy, ou 1Password génèrent des codes temporaires sur votre appareil. Ces codes changent toutes les 30 secondes et sont calculés en utilisant un secret partagé et l’heure actuelle. Aucun message texte, aucune connexion réseau nécessaire.

Cela s’appelle TOTP, ou Time-Based One-Time Password. C’est plus sécurisé que les SMS car les codes ne transitent jamais sur un réseau. Ils sont générés et utilisés localement. Si vous voulez comprendre la mécanique, il y a une explication détaillée dans Qu’est-ce que TOTP ?.

Clés de sécurité matérielles

Des appareils physiques comme une YubiKey ou une clé Google Titan se branchent sur le port USB de votre ordinateur (ou se connectent via NFC ou Bluetooth). Lorsque vous êtes invité pendant la connexion, vous touchez la clé pour vous authentifier.

Les clés matérielles sont considérées comme la forme de 2FA la plus forte. Elles résistent au phishing car la clé communique directement avec le site web en utilisant des protocoles cryptographiques. Un attaquant devrait voler physiquement votre clé pour l’utiliser.

Le compromis est le coût (généralement 25-50 $ par clé) et la nécessité de transporter l’appareil avec vous.

Notifications push

Certains services envoient une notification push à votre téléphone vous demandant d’approuver ou refuser une tentative de connexion. Vous appuyez sur “Approuver” et vous êtes connecté. Microsoft Authenticator et Duo utilisent cette approche.

C’est pratique, mais la 2FA basée sur les notifications a été visée par des attaques de “fatigue MFA”, où un attaquant déclenche répétitivement des tentatives de connexion jusqu’à ce que l’utilisateur en approuve une juste pour arrêter les notifications. Certaines implémentations exigent maintenant que vous saisissiez un nombre affiché à l’écran pour atténuer cela.

Pourquoi la 2FA est importante

Les chiffres font un cas assez clair. Google a rapporté que l’ajout de n’importe quelle forme de 2FA bloque 100 % des attaques automatisées par bots, 99 % des attaques de phishing en masse, et 66 % des attaques ciblées. Microsoft a trouvé des résultats similaires : les comptes avec 2FA activé sont 99,9 % moins susceptibles d’être compromis.

Ce ne sont pas des revendications marketing de vendeurs de sécurité. Elles sont basées sur des données provenant de milliards de tentatives de connexion sur des comptes réels.

Même si vous utilisez un mot de passe fort et unique pour chaque compte (et la plupart des gens ne le font pas), la 2FA fournit un filet de sécurité. Votre mot de passe peut apparaître dans une violation, être capturé par un keylogger, ou fuir via un site de phishing. Le second facteur empêche l’attaquant d’accéder réellement au compte.

Comment la configurer

La configuration de la 2FA varie légèrement selon le service, mais le processus général est le même :

  1. Allez dans les paramètres de sécurité de votre compte
  2. Cherchez “Authentification à deux facteurs”, “Vérification en deux étapes”, ou “Authentification multi-facteurs”
  3. Choisissez votre méthode (l’application d’authentification est recommandée)
  4. Si vous utilisez une application d’authentification, scannez le QR code que le service vous montre
  5. Saisissez le code de votre application pour confirmer que ça fonctionne
  6. Sauvegardez les codes de secours que le service fournit, quelque part de sûr et séparé de votre mot de passe

L’ensemble prend environ une minute par compte.

Quels comptes prioriser

Vous avez probablement des dizaines de comptes en ligne. Commencez par ceux qui comptent le plus :

  • Email (si quelqu’un accède à votre email, il peut réinitialiser les mots de passe pour tout le reste)
  • Services bancaires et financiers
  • Stockage cloud (Google Drive, iCloud, Dropbox)
  • Comptes de réseaux sociaux
  • Gestionnaire de mots de passe (si le vôtre prend en charge la 2FA, et il devrait)

Préoccupations courantes

“Et si je perds mon téléphone ?” C’est l’inquiétude la plus courante. C’est à ça que servent les codes de secours. Lorsque vous configurez la 2FA, le service vous donne un ensemble de codes de récupération à usage unique. Imprimez-les ou sauvegardez-les dans un endroit sécurisé. Certaines applications d’authentification offrent également une sauvegarde cloud.

“N’est-ce pas pénible ?” Un peu. La connexion prend 10 secondes de plus. La plupart des services mémorisent votre appareil pendant 30 jours, donc vous n’aurez pas besoin du code à chaque fois. L’inconvénient est mineur comparé à gérer un compte compromis.

“Je ne suis pas assez important pour être ciblé.” La plupart des violations de compte ne sont pas ciblées. Elles sont automatisées. Les attaquants achètent des listes d’identifiants leakés et les essaient sur des milliers de sites. La 2FA stoppe ces attaques en masse.

Commencez maintenant

Si vous remettiez cela à plus tard, choisissez un compte maintenant, votre email est un bon point de départ, et activez la 2FA. Le processus est rapide, et vous réduirez significativement votre risque.

Si vous voulez essayer de générer des codes TOTP avant de configurer quoi que ce soit, vous pouvez expérimenter avec 2fa.zip. Il fonctionne dans votre navigateur, ne stocke rien sur un serveur, et vous donne une idée de comment fonctionnent les codes d’authentification.

Sécurisez vos comptes avec l'authentification à deux facteurs

Générez des codes TOTP instantanément, directement dans votre navigateur.

Essayez notre générateur de codes 2FA gratuit

Articles connexes

Comment stocker les codes de secours 2FA en sécurité

Vos codes de secours sont votre filet de sécurité. Voici comment les stocker pour qu'ils soient disponibles quand vous en avez besoin et à l'abri de tous les…

Lire la suite