L'authentification double facteur expliquée à tous

Pierre Crochart
Expert smartphone & gaming
07 avril 2019 à 15h04
0
2FA
Crédits : Irina Strelnikova / Shutterstock

À l'heure où les fuites de données se succèdent, la sécurisation de ses différents comptes en ligne est l'affaire de tous. Et parmi les méthodes les plus simples à mettre en place, l'authentification à double facteur demeure parmi les plus efficaces.

Mais qu'est-ce donc que cette authentification à double facteur (ou A2F) au juste ? Même si le terme ne vous dit rien, il y a de fortes chances que vous l'utilisiez déjà dans une moindre mesure. Avez-vous remarqué, lors d'un achat en ligne, que votre banque vous envoyait un code unique par SMS pour confirmer votre achat ? Voilà un exemple concret d'authentification à double facteur.

Qu'est-ce que l'authentification à double facteur ?

Comme son nom l'indique, l'A2F est une méthode qui va ajouter une couche de protection à votre compte. En plus du traditionnel couple nom d'utilisateur et mot de passe, s'additionne la réception d'un code unique que - logiquement - vous êtes le seul à pouvoir détenir.

iOS authentification double facteur
Exemple d'authentification à double facteur. Crédits : Apple

La plupart du temps, les services qui vous proposeront d'activer l'authentification à double facteur passeront par l'obtention d'un code unique envoyé par SMS à votre numéro de téléphone. Mais il existe en réalité une multitude de façons de renforcer l'authentification à ses différents comptes.

Comment savoir si un site propose l'authentification à double facteur ?


La méthode la plus simple est aussi la plus pénible : il s'agit d'aller vérifier manuellement dans les paramètres de chaque site Web si l'option correspondante s'y trouve.

Heureusement, de bonnes âmes ont eu la bonne idée de regrouper tous les sites proposant l'A2F à l'adresse twofactorauth.org.


Quelles sont les méthodes d'authentification à double facteur les plus efficaces ?

On l'a dit, la méthode la plus simple pour profiter de l'A2F est d'utiliser son numéro de téléphone pour valider sa connexion à un compte en ligne. Mais certains sites plus perfectionnés - notamment Facebook et Google - permettent d'opter pour des méthodes moins contraignantes.

Google vous permet par exemple d'utiliser un autre appareil sur lequel vous êtes déjà connecté pour valider la connexion à son service. Par exemple, lorsque vous tentez de vous connecter à votre compte Google depuis un nouvel ordinateur, un invite vous proposera d'utiliser votre smartphone, où s'affiche automatiquement une demande d'authentification à laquelle il vous suffit d'accéder pour vous connecter.

Facebook authentification double facteur
L'authentification à double facteur de Facebook. Crédits : Facebook

Facebook opte pour une méthode similaire pour valider la connexion. Si vous avez activé l'A2F sur votre compte, chaque nouvelle connexion à un appareil inconnu vous enverra une notification sur votre smartphone. Celle-ci vous proposera d'autoriser ou de refuser la connexion au nouvel appareil par une simple pression sur le bouton correspondant.

Mais si ces méthodes sont les plus répandues, l'utilisation d'authenticators est de plus en plus recommandée par les spécialistes en sécurité. Un authenticator, c'est une application qui va faire office de coffre-fort pour vos comptes disposant de l'A2F. Son fonctionnement est simple : les comptes compatibles avec l'utilisation d'un authenticator vous demanderont de scanner un QR Code directement dans votre application pour lier votre compte à votre appli. Celle-ci générera ainsi à la chaîne des codes de connexion uniques et valables en général une dizaine de secondes. Contrairement à un SMS qui peut éventuellement être intercepté par des hackers, un authenticator est plus sûr en cela qu'il est intégré directement à votre smartphone. Ainsi, seule une perte de votre terminal pourrait vous porter préjudice.

Google authenticator
Capture d'écran de l'application Google Authenticator. Crédits : Google

Aujourd'hui, il existe énormément d'application authenticator sur le marché. La plupart des GAFAM disposent de leur propre solution (Google, Microsoft et même Blizzard !), qui est bien évidemment compatible avec n'importe quel compte supportant la technologie. Mais de nombreuses alternatives open-source existent, comme les très bons FreeOTP, Keepass2Android ou Open Authenticator.



Le cas particulier des clés U2F

La protection des comptes en ligne par le biais d'une clé U2F commence à faire son chemin, et se voit particulièrement encouragée par les spécialistes de la sécurité informatique.

Le principe est simple : en lieu et place d'un code envoyé par SMS ou d'une série de chiffres générés par un authenticator, l'authentification à un compte en ligne passe par une clé USB un peu spéciale.


Le concept de la clé de sécurité U2F expliqué en vidéo


Il vous faudra vous munir d'une clé de sécurité certifiée U2F par la FIDO - une alliance d'entreprises concernées par la sécurité des données. Elles prennent la forme d'une clé USB tout à fait banale, mais sont configurées pour permettre une authentification ultra sécurisée à tous vos comptes en ligne proposant cette option.

Fido U2F Yubico
Des clés de sécurité U2F de Yubico. Crédits : Yubico

L'obtention d'une telle clé vous coûtera entre 10 et 60 € selon la marque et le procédé de fabrication. Dans tous les cas : attention à bien choisir une clé certifiée par la FIDO.

Comme pour l'authentification à double facteur, il est possible de retrouver tous les sites qui acceptent les clés de sécurité sur un site dédié : dongleauth.info.

Comment activer l'authentification à double facteur ?

La plupart du temps, les éditeurs des sites Web sur lesquels vous créez un compte vous inciteront à sécuriser votre profil avec l'A2F. Si ce n'est pas le cas, il vous faudra vous rendre manuellement dans les paramètres de votre compte pour vérifier que l'option existe.

Une fois l'option identifiée, il vous suffit de suivre les différentes étapes et - la plupart du temps - à renseigner votre numéro de mobile afin de commencer à recevoir les SMS de validation de connexion.

Attention à bien penser à faire les modifications nécessaires sur les sites Web si jamais vous veniez à changer de numéro de téléphone !

Modifié le 08/04/2019 à 11h42
6
0
Partager l'article :
Voir tous les messages sur le forum

Les actualités récentes les plus commentées

Windows 7 : il existe un hack pour obtenir les mise à jour de sécurité malgré la fin du support
Microsoft va encore vous inciter à passer de Windows 7 à 10, en plein écran cette fois
Les prix français du Mac Pro sont annoncés, et ils grimpent jusque 62 500€
En Chine, les premiers hybrides singes-cochons, conçus pour des transplantations, sont nés
Au cas où vous auriez 11 000€ en trop, le Mac Pro et son écran XDR seront disponibles le 10 décembre
Sony : la PS5 sera remplacée plus rapidement que la PS4, une version Pro prévue pour 2023
Depuis la démocratisation des smartphones les gens ont plus d'accident dus à leur téléphone #SansDec
Contrôle technique : le CNPA alerte sur d'importants retards en 2019
L'Union européenne débloque 3 milliards pour la recherche sur les batteries électriques
ProCreate 5 est enfin disponible sur iPad ! On fait le tour des nouveautés principales

Notre charte communautaire

1. Participez aux discussions

Nous encourageons chacun à exprimer ses idées sur les sujets qui l'intéressent, et à faire profiter l'ensemble de la communauté de son expertise sur un sujet particulier.

2. Partagez vos connaissances

Que vous soyez expert ou amateur passionné, partagez vos connaissances aux autres membres de la communauté pour enrichir le niveau d'expertise des articles.

3. Échangez vos idées

Donnez votre opinion en étayant votre propos et soyez ouverts aux idées des autres membres de la communauté, même si elles sont radicalement différentes des vôtres.

4. Faites preuve de tolérance

Qu'il s'agisse de rédacteurs professionnels ou amateurs, de lecteurs experts ou passionnés, vous devez faire preuve de tolérance et vous placer dans une démarche d'entraide.

5. Restez courtois

Particulièrement lorsque vous exprimez votre désaccord, critiquez les idées, pas les personnes. Évitez à tout prix les insultes, les attaques et autres jugements sur la forme des messages.

6. Publiez des messages utiles

Chaque participation a vocation à enrichir la discussion, aussi les partages d'humeurs personnelles ne doivent pas venir gêner le fil des échanges.

7. Soignez votre écriture

Utilisez la ponctuation, prohibez le langage SMS et les majuscules, relisez-vous afin de corriger un peu les fautes de frappe et de français : trop de fautes n’engagent ni à lire le message, ni à répondre à une question.

8. Respectez le cadre légal

Ne publiez pas de contenus irrespectueux, racistes, homophobes, obscènes ou faisant l'apologie de courants radicaux, qu'ils soient politiques ou religieux. N'utilisez pas plusieurs comptes utilisateurs.

9. Ne faites pas de promotion

Ne profitez pas d'une discussion pour faire la publicité d'un produit, d'un service ou même de votre site web personnel.

10. Ne plagiez pas

Exprimez uniquement vos opinions ou partagez des idées en citant vos sources.

Abonnez-vous !

Vous n'avez pas le temps de venir nous lire ? Recevez notre newsletter quotidienne ou suivez-nous sur les réseaux sociaux !
scroll top