L’ère de l’authentification automatisée par balayage biométrique est presque arrivée. Pourtant, même en cette période de Face ID d’Apple, de Hello de Windows 10 et de la spécification FIDO2 prometteuse, les mots de passe sont toujours la principale façon de nous connecter à nos différents comptes. C’est pourquoi l’authentification à deux facteurs (2FA) est une étape secondaire importante pour protéger vos données et services en ligne.
Qu’est-ce que l’authentification à deux facteurs ?
L’authentification à deux facteurs, ou à plusieurs facteurs, est un code de connexion supplémentaire pour un compte — une deuxième ligne de défense pour vos informations sensibles.
L’idée de base est qu’un seul mot de passe pour vos comptes importants ne suffit tout simplement pas. Si votre mot de passe est deviné, ou si des pirates volent une base de données avec vos informations de connexion en texte brut, votre compte est un canard assis. L’authentification à deux facteurs tente de remédier à cette faille en exigeant un code secondaire appelé mot de passe à usage unique (OTP) – généralement de six caractères et généré par une application pour smartphone — avant de pouvoir accéder à votre compte. De cette façon, même si un pirate a votre mot de passe, il devra toujours déchiffrer un code secondaire, ce qui rend l’accès beaucoup plus difficile.
Il existe également un moyen plus simple d’utiliser la 2FA, appelé norme FIDO U2F, pris en charge par Google, Facebook et bien d’autres. Avec ce type d’authentification, vous utilisez une clé de sécurité physique et l’insérez dans votre PC, appuyez sur le bouton de la clé et vous êtes connecté « automatiquement”.
La clé de sécurité Titan de Google.
2FA n’est cependant pas infaillible. Si vous décidez d’obtenir vos codes 2FA par SMS, par exemple, le code pourrait potentiellement être intercepté par des pirates, comme l’ont démontré des chercheurs de Positive Technologies en 2017. Cela dit, l’authentification par SMS est encore bien meilleure que rien. En mai 2019, Google a annoncé une étude d’un an réalisée en partenariat avec l’Université de New York et l’Université de Californie à San Diego. Le trio a constaté que l’authentification par SMS bloquait 96% des attaques de phishing en masse et 76% des attaques ciblées qui tentaient de pénétrer dans votre compte Google.
Ce n’est pas une mauvaise protection, mais la stratégie d’invite sur l’appareil de Google (nous la couvrirons plus tard) était encore meilleure, bloquant 99% des attaques de phishing en masse et 90% des attaques ciblées. L’authentification à deux facteurs basée sur une application est similaire en ce sens que la deuxième étape est générée sur le smartphone lui-même. Ainsi, bien que cette étude ne mentionne pas spécifiquement les applications 2FA, nous nous attendons à ce que les résultats soient les mêmes, sinon meilleurs, qu’une invite sur l’appareil.
Le fait est que l’utilisation d’une solution 2FA logicielle ou matérielle sur un appareil que vous possédez est un excellent moyen de protéger votre compte, et bien mieux que de simplement utiliser des SMS.
Options logicielles
Tout service qui prend en charge l’approche OTP 2FA standard fonctionnera avec toutes les applications ci-dessous, et qui inclut la plupart des sites Web et services traditionnels. Une exception notable est Steam, qui fournit une option 2FA locale dans son application mobile.
Google Authenticator: Meilleur dans l’ensemble
L’un des moyens les plus courants d’utiliser l’authentification à deux facteurs est Google Authenticator. Il s’agit d’une application pour smartphone gratuite de Google disponible pour Android et iOS.
L’utiliser est très simple et peut initier les débutants aux principes de base de la plupart des applications 2FA. Ce que vous faites, c’est activer l’authentification à deux facteurs sur vos services tels que Facebook, Gmail, Dropbox. etc. Une fois activé, le service vous demandera de prendre un instantané d’un code QR à l’aide de l’application — Les utilisateurs d’Android doivent télécharger une application de lecture de code QR pour travailler avec Google Authenticator.
Remarque: Dans certains cas, 2FA est également appelé vérification en deux étapes, ce qui est une distinction que nous n’aborderons pas ici.
Une fois le code QR lu, Authenticator commencera à générer des codes et le service vous demandera généralement d’entrer le code actuel pour vérifier que 2FA fonctionne. Vous pouvez ajouter autant de comptes que vous le souhaitez à Google Authenticator tant qu’ils prennent en charge 2FA.
LastPass Authenticator: Finaliste
L’application d’authentification gratuite de LastPass utilise une fonctionnalité appelée notifications push en un clic qui vous permet de vous connecter à certains sites sur PC avec un clic au lieu de saisir des codes. LastPass a une vidéo sur YouTube démontrant la fonctionnalité.
Les connexions en un clic fonctionnent avec LastPass lui-même, ainsi qu’avec cinq sites tiers, dont Amazon (sans compter AWS), Google, Dropbox, Facebook et Evernote. Pour utiliser les notifications en un clic, l’extension LastPass doit être installée dans votre navigateur et activée. Cela signifie que vous devez avoir un compte LastPass, mais un compte gratuit fera l’affaire. Ces connexions en un clic sont spécifiques au navigateur, donc si vous vous connectez en un clic sur Chrome, vous devrez vous reconnecter si vous utilisez Microsoft Edge, par exemple.
Tout cela peut sembler assez mystérieux, mais voici ce qui se passe dans les coulisses avec des connexions en un clic sur des sites tiers. Lorsqu’un utilisateur se connecte à un site compatible, l’extension de navigateur LastPass envoie une notification push au téléphone de l’utilisateur, qui l’avertit qu’une connexion est demandée. L’utilisateur appuie sur Autoriser sur le téléphone et un message de confirmation est renvoyé à l’extension qui inclut le code 2FA requis. L’extension reçoit ces informations, les fournit au site Web et l’utilisateur est connecté.
LastPass Authenticator s’intègre également à plusieurs sites appartenant à la société mère du gestionnaire de mots de passe, LogMeIn, pour offrir un type similaire de connexion en un clic. Ces sites incluent LastPass, LogMeIn Pro/Central, GoToAssist, LogMeIn Rescue, Xively.
Microsoft Authenticator
Microsoft dispose également d’une application d’authentification gratuite pour Android, iOS et Windows 10 Mobile. Il saisit des codes pour des sites comme Facebook et Dropbox en claquant un code QR comme les autres. Pour les comptes Microsoft personnels, cependant, il prend en charge les notifications en un clic similaires à LastPass.
La fonctionnalité de Microsoft peut vous connecter à votre compte sur n’importe quel appareil. Tout ce que vous avez à faire est d’approuver la connexion et c’est aussi bon que d’entrer le code court. Ce n’est pas un gain de temps énorme, mais c’est un peu plus pratique.
Authy: Meilleure solution multi-périphériques
Si vous avez utilisé 2FA pendant une durée quelconque, vous savez que l’un des inconvénients est que vous devez réactiver vos codes d’authentification chaque fois que vous passez à un nouveau smartphone.
Si vous avez 10 comptes avec 2FA, cela signifie que vous récupérez 10 codes QR. Si vous êtes un accro au smartphone qui aime changer d’appareil tous les un ou deux ans, ce processus peut être compliqué.
Le service gratuit d’Authy vise à résoudre ce problème en stockant tous vos jetons 2FA — les données en coulisses qui font fonctionner vos codes 2FA — dans le cloud sur ses serveurs. Pour utiliser cette fonctionnalité, vous devez d’abord activer les sauvegardes cryptées, puis vos jetons sont stockés sur les serveurs d’Authy.
De cette façon, lorsque vous vous connectez à une application Authy, que ce soit sur votre smartphone, votre tablette ou votre ordinateur portable Windows ou Mac, vous avez accès à vos codes. Il existe même une application Chrome pour les utilisateurs de Chrome OS.
L’accès multi-appareils à vos codes 2FA est génial, mais il présente un inconvénient. Authy dit que vos sauvegardes sont cryptées en fonction d’un mot de passe entré sur votre smartphone avant d’atteindre le cloud. Cela signifie que votre code d’accès est le seul moyen de les déchiffrer, et Authy ne l’a pas dans le fichier. Si vous oubliez votre code d’accès, vous pouvez être bloqué de vos comptes car vous n’aurez pas les codes 2FA. La façon dont vous récupérez l’accès à chaque compte dépend des politiques de récupération de compte de chaque service.
Si vous êtes nouveau sur 2FA, cette application pourrait ne pas être faite pour vous, à moins que vous ne soyez prêt à prendre les mesures appropriées pour vous assurer de ne jamais perdre l’accès à Authy, comme écrire votre code d’accès et le stocker dans un endroit sûr.
Options matérielles
Le moyen le plus sûr de verrouiller vos comptes avec une authentification à deux facteurs consiste à utiliser une clé de sécurité physique. Dans l’étude Google que j’ai mentionnée plus tôt, il a été constaté que les clés de sécurité bloquaient 100% du phishing en masse et des attaques ciblées.
L’inconvénient de l’utilisation d’une clé de sécurité, cependant, est que si jamais vous perdez ou cassez votre clé, vous pourriez être verrouillé de vos comptes — et vous devrez changer votre méthode d’authentification du deuxième facteur pour une nouvelle clé.
Authentificateur Yubico
Cette option est ma préférée. YubiKey de Yubico est une solution 2FA basée sur le matériel. C’est un petit appareil ressemblant à une carte avec une extrémité qui s’insère dans un port USB standard de type A. Il peut vérifier l’authentification en appuyant sur un bouton au lieu de saisir manuellement un code court. Les YubiKeys sont également très durables et imperméables, ce qui rend difficile la ruine de ces appareils.
Cette approche en un clic ne fonctionne que pour les comptes prenant en charge la norme FIDO U2F susmentionnée, tels que Google et GitHub. Pour les services qui ne prennent pas en charge la norme, un YubiKey peut également stocker des jetons 2FA et afficher des codes sur l’application Yubico Authenticator.
La façon dont vous utilisez Yubico Authenticator pour obtenir un code 2FA dépend du fait que vous utilisez l’application authenticator sur un PC ou un smartphone Android. Sur le bureau, il vous suffit d’insérer la clé dans un port USB, et l’authentificateur affiche immédiatement vos codes courts et vous permet d’en ajouter de nouveaux. Retirez votre YubiKey et l’application cesse d’afficher les codes immédiatement. L’authentificateur Yubico sur le bureau fonctionne avec la plupart des modèles YubiKey, à l’exception de la clé FIDO U2F de base.
Sur Android, vous avez besoin d’un YubiKey prenant en charge NFC et l’application Yubico Authenticator, qui à ce stade est le YubiKey 5 NFC (45$), et le YubiKey Neo, désormais abandonné (mais toujours pris en charge). Avec ces touches, tout ce que vous faites est d’ouvrir Authenticator sur votre téléphone, appuyez sur la touche près de la puce NFC de votre téléphone, et vos codes apparaîtront sur l’application. Il existe également une clé de sécurité à 27 $ NFCRemove non-product link, mais elle ne prend en charge que l’authentification FIDO U2F (et les connexions sans mot de passe FIDO2), pas la fonctionnalité de mot de passe unique.
Similaire à Authy, la beauté de YubiKey est qu’il vous permet de transférer facilement vos codes d’authentification d’un appareil à l’autre.
Clé de sécurité Titan
Google a lancé sa propre clé de sécurité matérielle en 2018, la clé de sécurité Titan Remove non-product link. Cette clé est livrée dans un lot de 50 $ avec deux appareils physiques. Le premier est une clé avec un insert USB-A similaire à YubiKey. Le second est un dongle Bluetooth qui peut se connecter à votre téléphone sans fil. La clé de sécurité Titan présente quelques inconvénients. Tout d’abord, il ne prend en charge que les sites qui utilisent la norme FIDO et FIDO2F, ce qui signifie que vous ne pouvez pas vous rabattre sur les codes OTP pour les sites qui prennent en charge la 2FA mais pas l’entrée à une touche FIDO. Google a également récemment dû rappeler ses dongles Bluetooth après la découverte d’une grave faille de sécurité. Yubico, en comparaison, n’a pas encore publié de version Bluetooth de sa clé de sécurité, car il ne croit pas que la technologie est suffisamment sécurisée.
Bonus: Invites Google sur l’appareil
Un exemple des invites Google sur l’appareil.
Si plonger dans le monde de la 2FA est trop pour vous en ce moment, pourquoi ne pas plonger votre pied dans l’expérience avec les invites Google sur l’appareil? Il s’agit d’une mesure de sécurité simple qui aide à protéger votre compte Google.
Chaque fois que vous souhaitez vous connecter à Google sur une nouvelle machine, vous devrez l’autoriser en un clic sur votre appareil Android ou iOS. Pour que cela fonctionne sur Android, vous aurez besoin de la dernière version des services Google Play, que la plupart des gens devraient avoir automatiquement. Toute personne sur les appareils iOS a besoin d’une version actuelle des applications Google ou Gmail.
L’authentification à deux facteurs est une étape importante à franchir pour protéger vos comptes importants dans la mesure du possible. Cela peut parfois sembler pénible d’entrer ce code supplémentaire — ce que vous n’aurez peut—être à faire qu’une fois par appareil ou une fois tous les 30 jours -, mais c’est un prix à payer pour sécuriser vos comptes en ligne.