Un mot de passe, c’est bien ; un mot de passe renforcé par un code temporaire, c’est mieux. L'authentification à double facteur est entrée dans les usages, mais contrairement aux idées reçues, elle n'est pas infaillible. En cette semaine animée par l'Euro Cyber Week, on fait le point.

Pourquoi la double authentification n'est pas aussi sûre que vous le pensez © sitthiphong / Shutterstock
Pourquoi la double authentification n'est pas aussi sûre que vous le pensez © sitthiphong / Shutterstock

La double authentification (A2F) est devenue un standard pour sécuriser nos comptes en ligne. Elle s’appuie sur un principe simple et généralement bien compris : même si un mot de passe est compromis, un deuxième facteur – comme un code temporaire ou une clé physique – doit empêcher toute intrusion.

Sur le papier, cette promesse est rassurante. En pratique, elle n’est pas toujours tenue, et pour cause : si l’A2F protège efficacement contre les attaques opportunistes, elle reste vulnérable face à des techniques plus sophistiquées. Entre vulnérabilités techniques, détournements ingénieux et erreurs humaines, cette mesure, pourtant bien intentionnée, se révèle imparfaite. Mais faut-il pour autant la jeter aux oubliettes ? Non. En revanche, comprendre en quoi elle n’est pas infaillible peut vous aider à mieux en tirer profit.

Des failles sous-estimées, mais bien réelles

SMS et mails : le talon d'Achille de l'A2F

Pour commencer, toutes les méthodes d’authentification multifactorielle ne se valent pas. Les codes envoyés par SMS, encore très populaires, sont une cible facile pour les cybercriminels qui maîtrisent à la perfection le social engineering comme le SIM swapping, technique qui leur permet de détourner un numéro de téléphone et d’intercepter des messages. Les mails ne sont pas beaucoup plus sûrs : une boîte de réception piratée compromet du même coup tous les codes de vérification à usage unique que vous pourriez recevoir à l’avenir.

Les applications comme Google Authenticator ou Authy font mieux, mais restent vulnérables si l’appareil lui-même est mal protégé ou volé. Quant aux clés d'authentification physiques, elles offrent une excellente protection, mais leur coût et leur format freinent encore leur adoption à grande échelle.

En fin de compte, quelle que soit la méthode utilisée, la sécurité de l’A2F intègre toujours un maillon faible. S’il est compromis, c’est toute la chaîne de protection qui peut s’effondrer.

Une mise en œuvre encore trop approximative

Au-delà des outils eux-mêmes, L’A2F souffre aussi d’un problème structurel, et la manière dont elle est implémentée laisse souvent à désirer. Les options par défaut proposées par de nombreux services privilégient encore les méthodes les moins fiables, à savoir l’envoi de codes ou de liens de vérification par SMS ou mail. Pire encore, certains mécanismes de récupération, tels que les questions de sécurité ou les codes de secours, permettent de contourner l’A2F, et la rendent, de fait, inutile.

Autre problème : l’expérience utilisateur dégradée. Trop de demandes d’authentification finissent par agacer, surtout lorsqu’il s’agit de valider des demandes répétées, en particulier pour des actions anodines. Résultat : lassés, certains internautes finissent par désactiver l’A2F, ou optent pour des alternatives simplifiées… et moins sûres. Un choix risqué, mais compréhensible : quand une mesure de protection devient une contrainte, elle perd logiquement de son efficacité.

La multiplication des demandes de codes OTP peut conduire les internautes à désactiver l'A2F ©tsingha25 / Shutterstock
La multiplication des demandes de codes OTP peut conduire les internautes à désactiver l'A2F ©tsingha25 / Shutterstock

Des pirates toujours aussi motivés et créatifs

Phishing : le piège qui fait encore mouche

Si l’A2F complique la tâche des cybercriminels, elle ne les arrête pas pour autant. Conscients qu’elle n’est pas infaillible, souvent très créatifs, persévérants, ils savent parfaitement adapter leurs méthodes pour conserver une longueur d’avance sur les mesures de sécurité mises en place.

Parmi les outils qu’ils maîtrisent bien, le phishing reste l’une de leurs techniques privilégiées. Pourquoi ? Parce qu’elle est simple à exécuter, peu coûteuse et malheureusement efficace : des pages de connexion imitées à la perfection suffisent à tromper l’utilisateur et à dérober ses identifiants comme ses codes OTP.

Les attaques dites de reverse proxy, elles, vont encore plus loin. En s’intercalant entre vous et un site légitime, les hackers interceptent vos données sans que vous ne vous doutiez de rien.

MFA bombing : le harcèlement jusqu’à l’erreur

D’autres méthodes plus insidieuses exploitent l’erreur humaine et le harcèlement. À titre d’exemple, le MFA bombing bombarde l’internaute de notifications d’authentification jusqu’à ce que, épuisé, il valide la requête, soit par manque de vigilance, soit parce qu’à bout de patience.

Le social engineering, quant à lui, joue sur la confiance : un pirate se fait passer pour un agent de support technique, un conseiller bancaire, un commercial d’une plateforme de streaming pour vous soutirer vos codes ou vous pousser à approuver un accès sur votre appareil.

En bref, même sécurisée par des méthodes plus solides que les mails et les SMS, l’A2F n’est solide que si les utilisateurs et utilisatrices le sont aussi.

Le MFA bombing harcèle les internautes et finit par les avoir à l'usure © MMD Creative / Shutterstock

Des solutions pour une A2F plus solide

Faut-il pour autant abandonner l’authentification multifactorielle ? Absolument pas. Bien utilisée, elle reste une barrière efficace contre de nombreuses attaques. Mais pour tenir ses promesses, elle doit évoluer.

D’abord, les facteurs les plus faibles, comme les SMS et les mails, doivent être progressivement remplacés par des solutions plus fiables. Les applications d’authentification et les clés physiques, bien que plus exigeantes à mettre en place, offrent une bien meilleure protection et devraient devenir la norme.

Ensuite, la sensibilisation des utilisateurs et des utilisatrices aux enjeux de cybersécurité joue un rôle à ne surtout pas négliger. Savoir reconnaître une tentative de phishing, se méfier des demandes inhabituelles ou utiliser des méthodes d’authentification adaptées peut faire toute la différence.

Mais la double authentification n’a pas dit son dernier mot. Des technologies émergentes commencent à redéfinir les standards de sécurité, offrant des solutions plus intuitives et plus solides. On pense aux passkeys, poussées par la FIDO, qui éliminent le besoin de mot de passe, ou encore à l’authentification adaptative, capable de détecter des comportements inhabituels. Autant de pistes prometteuses à explorer, tester, généraliser pour renforcer durablement la sécurité des comptes en ligne.

En clair, si la double authentification reste imparfaite, elle peut encore profiter d’une belle marge de progression, à condition d’être repensée avec des outils modernes et une meilleure prise en compte des comportements des internautes. Car, en matière de cybersécurité, il n’existe pas de solution parfaite, mais un équilibre à trouver entre technologies avancées et vigilance humaine. L’A2F est un excellent point de départ, mais elle ne peut être qu’une brique dans une stratégie plus large pour contrer des menaces toujours plus inventives. 

À découvrir
Meilleur gestionnaire de mots de passe, le comparatif en 2024

29 novembre 2024 à 08h50

Comparatifs services