L'authentification double facteur expliquée à tous

le 07 avril 2019 à 15h04
0
2FA
Crédits : Irina Strelnikova / Shutterstock

À l'heure où les fuites de données se succèdent, la sécurisation de ses différents comptes en ligne est l'affaire de tous. Et parmi les méthodes les plus simples à mettre en place, l'authentification à double facteur demeure parmi les plus efficaces.

Mais qu'est-ce donc que cette authentification à double facteur (ou A2F) au juste ? Même si le terme ne vous dit rien, il y a de fortes chances que vous l'utilisiez déjà dans une moindre mesure. Avez-vous remarqué, lors d'un achat en ligne, que votre banque vous envoyait un code unique par SMS pour confirmer votre achat ? Voilà un exemple concret d'authentification à double facteur.

Qu'est-ce que l'authentification à double facteur ?


Comme son nom l'indique, l'A2F est une méthode qui va ajouter une couche de protection à votre compte. En plus du traditionnel couple nom d'utilisateur et mot de passe, s'additionne la réception d'un code unique que - logiquement - vous êtes le seul à pouvoir détenir.

iOS authentification double facteur
Exemple d'authentification à double facteur. Crédits : Apple

La plupart du temps, les services qui vous proposeront d'activer l'authentification à double facteur passeront par l'obtention d'un code unique envoyé par SMS à votre numéro de téléphone. Mais il existe en réalité une multitude de façons de renforcer l'authentification à ses différents comptes.

Comment savoir si un site propose l'authentification à double facteur ?


La méthode la plus simple est aussi la plus pénible : il s'agit d'aller vérifier manuellement dans les paramètres de chaque site Web si l'option correspondante s'y trouve.

Heureusement, de bonnes âmes ont eu la bonne idée de regrouper tous les sites proposant l'A2F à l'adresse twofactorauth.org.


Quelles sont les méthodes d'authentification à double facteur les plus efficaces ?


On l'a dit, la méthode la plus simple pour profiter de l'A2F est d'utiliser son numéro de téléphone pour valider sa connexion à un compte en ligne. Mais certains sites plus perfectionnés - notamment Facebook et Google - permettent d'opter pour des méthodes moins contraignantes.

Google vous permet par exemple d'utiliser un autre appareil sur lequel vous êtes déjà connecté pour valider la connexion à son service. Par exemple, lorsque vous tentez de vous connecter à votre compte Google depuis un nouvel ordinateur, un invite vous proposera d'utiliser votre smartphone, où s'affiche automatiquement une demande d'authentification à laquelle il vous suffit d'accéder pour vous connecter.

Facebook authentification double facteur
L'authentification à double facteur de Facebook. Crédits : Facebook

Facebook opte pour une méthode similaire pour valider la connexion. Si vous avez activé l'A2F sur votre compte, chaque nouvelle connexion à un appareil inconnu vous enverra une notification sur votre smartphone. Celle-ci vous proposera d'autoriser ou de refuser la connexion au nouvel appareil par une simple pression sur le bouton correspondant.

Mais si ces méthodes sont les plus répandues, l'utilisation d'authenticators est de plus en plus recommandée par les spécialistes en sécurité. Un authenticator, c'est une application qui va faire office de coffre-fort pour vos comptes disposant de l'A2F. Son fonctionnement est simple : les comptes compatibles avec l'utilisation d'un authenticator vous demanderont de scanner un QR Code directement dans votre application pour lier votre compte à votre appli. Celle-ci générera ainsi à la chaîne des codes de connexion uniques et valables en général une dizaine de secondes. Contrairement à un SMS qui peut éventuellement être intercepté par des hackers, un authenticator est plus sûr en cela qu'il est intégré directement à votre smartphone. Ainsi, seule une perte de votre terminal pourrait vous porter préjudice.

Google authenticator
Capture d'écran de l'application Google Authenticator. Crédits : Google

Aujourd'hui, il existe énormément d'application authenticator sur le marché. La plupart des GAFAM disposent de leur propre solution (Google, Microsoft et même Blizzard !), qui est bien évidemment compatible avec n'importe quel compte supportant la technologie. Mais de nombreuses alternatives open-source existent, comme les très bons FreeOTP, Keepass2Android ou Open Authenticator.



Le cas particulier des clés U2F


La protection des comptes en ligne par le biais d'une clé U2F commence à faire son chemin, et se voit particulièrement encouragée par les spécialistes de la sécurité informatique.

Le principe est simple : en lieu et place d'un code envoyé par SMS ou d'une série de chiffres générés par un authenticator, l'authentification à un compte en ligne passe par une clé USB un peu spéciale.


Le concept de la clé de sécurité U2F expliqué en vidéo


Il vous faudra vous munir d'une clé de sécurité certifiée U2F par la FIDO - une alliance d'entreprises concernées par la sécurité des données. Elles prennent la forme d'une clé USB tout à fait banale, mais sont configurées pour permettre une authentification ultra sécurisée à tous vos comptes en ligne proposant cette option.

Fido U2F Yubico
Des clés de sécurité U2F de Yubico. Crédits : Yubico

L'obtention d'une telle clé vous coûtera entre 10 et 60 € selon la marque et le procédé de fabrication. Dans tous les cas : attention à bien choisir une clé certifiée par la FIDO.

Comme pour l'authentification à double facteur, il est possible de retrouver tous les sites qui acceptent les clés de sécurité sur un site dédié : dongleauth.info.

Comment activer l'authentification à double facteur ?


La plupart du temps, les éditeurs des sites Web sur lesquels vous créez un compte vous inciteront à sécuriser votre profil avec l'A2F. Si ce n'est pas le cas, il vous faudra vous rendre manuellement dans les paramètres de votre compte pour vérifier que l'option existe.

Une fois l'option identifiée, il vous suffit de suivre les différentes étapes et - la plupart du temps - à renseigner votre numéro de mobile afin de commencer à recevoir les SMS de validation de connexion.

Attention à bien penser à faire les modifications nécessaires sur les sites Web si jamais vous veniez à changer de numéro de téléphone !

Modifié le 08/04/2019 à 11h42
Cet article vous a intéressé ?
Abonnez-vous à la newsletter et recevez chaque jour, le meilleur de l’actu high-tech et du numérique.

Dernières actualités

Beesexual, la nouvelle campagne de Pornhub pour aider à sauver les abeilles
Le redémarrage du Large Hadron Collider (LHC) pourrait nous donner des clés sur la matière noire
Twitter : Jack Dorsey a rencontré son plus grand « fan »... Donald Trump
Après le vélo électrique, Xiaomi présente un cyclomoteur électrique de 120 km d'autonomie
Tesla dévoile une voiture sans volant, qui serait commercialisée dès 2021
Les trottinettes Lime piratées en Australie pour dire des phrases salaces
Revue de presse - Le Samsung Galaxy Fold plie... sous le poids des critiques
Comparatif 2019 : Quelle est la meilleure trottinette électrique pour votre usage ?
GTX 1650 : côté multimédia, la puce entrée de gamme de NVIDIA hérite de la génération Volta
Razer ajoute une dalle OLED 4K à son Blade 15 et revoit le design du Blade Pro 17
Oppo lance le Reno 10x zoom : un smartphone haut de gamme avec Snapdragon 855 pour 799€
Contre toute attente, Samsung travaillerait sur deux smartphones pliables supplémentaires
Tesla dévoile Robotaxi, son service de voitures autonomes en autopartage
Projet Wing : Google obtient l’autorisation de faire voler ses drones de livraison aux US
Accusé à tort par la reconnaissance faciale, un étudiant réclame 1 milliard à Apple
scroll top