La connexion avec l’authentification à deux facteurs implique une deuxième étape pour vous authentifier. Au lieu d’insérer uniquement votre nom d’utilisateur et votre mot de passe, vous devez également prouver votre identité d’une autre manière. La deuxième étape de l’authentification à deux facteurs peut consister en un code envoyé à votre téléphone par SMS, une question personnelle à laquelle vous seul pouvez répondre, votre empreinte digitale ou une application mobile spécifique, par exemple.
L’authentification à deux facteurs est parfois aussi appelée authentification en deux étapes, vérification à deux facteurs ou simplement 2FA. Le terme MFA ou authentification multi facteurs est utilisé pour désigner les méthodes d’authentification qui impliquent deux étapes ou plus. La 2FA et la MFA améliorent votre sécurité en ligne en rendant plus difficile l’accès à vos comptes et le vol d’informations privées par des pirates.
Comment fonctionne l’authentification utilisateur à deux facteurs ?
Lors de la connexion à un compte, l’identité de l’utilisateur est traditionnellement confirmée par un nom d’utilisateur et un mot de passe. L’utilisation d’un mot de passe fort vous protège déjà bien, mais même un mot de passe ne vous protège pas s’il est volé. Avec des outils et méthodes permettant de pirater ou de voler les identifiants de connexion, un mot de passe et un nom d’utilisateur ne suffisent plus à protéger vos données personnelles.
Le nom d’utilisateur est souvent votre adresse électronique et il est généralement visible par tous. Il n’est donc pas difficile de le deviner ou de le découvrir. Et avouons-le, il est souvent beaucoup plus facile d’utiliser le même mot de passe pour plusieurs comptes ou de choisir un mot de passe simple et facile à retenir. Lorsque le même mot de passe est utilisé pour plusieurs comptes, les cybercriminels peuvent facilement accéder à plusieurs comptes en même temps. Envisagez alors d’utiliser un gestionnaire de mots de passe pour vous aider à générer et à stocker des mots de passe robustes.
Les méthodes d’authentification à deux facteurs peuvent être divisées en trois catégories :
Quelque chose que vous connaissez. Il peut s’agir d’un mot de passe, d’un code PIN ou d’une réponse à une question personnelle, par exemple.
Quelque chose que vous avez. Dans ce cas, vous aurez besoin d’un objet physique pour vous identifier, comme votre téléphone ou votre carte de crédit. Il existe même des clés de sécurité physiques utilisées pour l’authentification multifacteurs.
Quelque chose que vous êtes. Cette méthode d’authentification multifactorielle est très sûre car elle fait appel à un modèle biométrique, tel que le visage, l’empreinte digitale ou la voix de l’utilisateur.
Afin d’éviter que les comptes de leurs utilisateurs ne soient piratés, de nombreux services en ligne et sites web ont adopté l’authentification à deux facteurs. Cependant, dans de nombreux cas, l’authentification à deux facteurs n’est pas activée par défaut. C’est à l’utilisateur de l’activer manuellement dans les paramètres de son compte. La façon dont l’authentification à deux facteurs est activée dans chaque programme et la façon dont l’authentification fonctionne en pratique dépendent du fournisseur. Par exemple, l’authentification 2FA peut être requise uniquement lors de la connexion à un nouvel appareil ou à chaque fois que l’utilisateur tente de se connecter à son compte.
Pourquoi devriez-vous utiliser l’authentification à deux facteurs ?
Pour une protection maximale, nous vous recommandons d’activer l’authentification à deux facteurs sur autant de comptes d’utilisateur que possible. Malheureusement, tous les fournisseurs ne proposent pas encore celle-ci, et vous devrez donc compter sur l’utilisation d’un mot de passe robuste et unique pour vous connecter.
Les méthodes et les outils utilisés par les cybercriminels et les escrocs en ligne sont constamment plus sophistiqués. Vous devez donc vous assurer que personne d’autre que vous ne peut se connecter à vos comptes et accéder à vos précieuses informations. Bien que l’authentification à deux facteurs puisse sembler compliquée, il s’agit d’un moyen simple d’améliorer votre sécurité en ligne. Voici comment l’authentification à deux facteurs peut vous aider à naviguer en toute sécurité :
Empêcher les piratages de votre compte. Si un cyberpirate parvient à s’introduire dans votre compte, il peut voler des informations personnelles, telles que des informations de votre carte de crédit, et les utiliser pour effectuer des achats en ligne.
Empêcher le vol de votre identité. Outre la prise de contrôle du compte, vous risquez d’être victime d’un vol d’identité. Les conséquences peuvent être graves et coûteuses si vous n’agissez pas à temps.
Prévenir la fraude commise en votre nom. Si des criminels en ligne obtiennent l’accès à votre compte sur, par exemple, les réseaux sociaux, ils peuvent l’utiliser pour diffuser de faux messages en votre nom. Par exemple, le fraudeur peut prendre le contrôle de votre compte Instagram et essayer de vendre des bitcoins à vos followers. C’est pourquoi la 2FA ne vous protège pas seulement vous et votre réputation, mais empêche également les autres de se faire arnaquer.
Prendre soin de vos comptes. En activant l’authentification en deux étapes, vous êtes obligé de réfléchir plus attentivement à votre sécurité en ligne. De nombreuses personnes utilisent un ou deux mots de passe identiques sur plusieurs comptes, car il est plus facile et plus pratique de procéder ainsi que de devoir retenir plusieurs mots de passe robustes à chaque fois. L’authentification à deux facteurs est un moyen efficace de sensibiliser à la vie privée en ligne et à la cybersécurité.
Méthodes d’authentification multi facteurs
Sur la base des trois précédentes catégories de méthodes d’authentification, il existe de nombreuses méthodes utilisées dans l’authentification multifactorielle.
Question personnelle. Vous pouvez configurer une question de sécurité à laquelle vous seul pouvez répondre. Veillez simplement à ce que la question et la réponse ne soient pas trop évidentes et faciles à deviner.
Numéro de confirmation unique. Chaque fois que vous vous connectez, vous recevez un code PIN sous forme de message texte pour confirmer votre identité.
Face ID ou reconnaissance faciale. L’appareil doit lire votre visage pour s’assurer que c’est bien vous qui vous connectez.
Empreinte digitale. Comme les empreintes digitales de chacun sont différentes, vous scannez votre doigt pour vous identifier. Les smartphones modernes prennent également en charge cette méthode de connexion et peuvent lire votre empreinte digitale via l’écran tactile de l’appareil mobile.
Reconnaissance vocale. Pour accéder à votre compte, l’appareil doit d’abord reconnaître votre voix. Dans certains cas, la reconnaissance vocale peut être trompée par des échantillons préenregistrés de la voix de l’utilisateur réel.
QR Code. Pour vous connecter, vous devez scanner un code QR avec une application.
Application d’authentification. Par exemple, de nombreuses banques utilisent une application d’authentification distincte pour se connecter. Après avoir inséré vos informations de connexion, le service envoie une demande d’authentification à une application sur votre appareil mobile.
Clé ou jeton de sécurité. Les clés de sécurité physiques, telles que les dispositifs USB, NFE ou Bluetooth, confirment votre identité. Vous les portez sur vous, elles sont donc sécurisées tant que personne ne vous les vole.
Comment les pirates peuvent-ils contourner l’authentification à deux facteurs ?
Bien que l’authentification à deux facteurs améliore la protection des comptes en ligne et rende le piratage de vos comptes plus difficile, il existe toujours des moyens pour les cybercriminels de contourner l’authentification à deux facteurs.
Ingénierie sociale
Dans l’ingénierie sociale, les cybercriminels exploitent l’un des maillons les plus faibles de la cybersécurité des personnes : les victimes elles-mêmes. La manipulation des utilisateurs pour voler leurs informations sensibles et accéder à leurs comptes est connue sous le nom d’ingénierie sociale (social engineering en anglais). Une méthode courante d’ingénierie sociale est le phishing. Il s’agit de messages et d’e‑mails visant à inciter les gens à donner des informations confidentielles ou à infecter l’appareil de la victime avec un logiciel malveillant.
Pour contourner l’authentification à deux facteurs, un criminel en ligne pourrait se faire passer pour une autorité de confiance et inventer une excuse pour que la victime donne son code de sécurité. Dans le cas où l’attaquant a déjà obtenu le nom d’utilisateur et le mot de passe de la victime, il est en mesure de s’introduire dans le compte en utilisant son code 2FA.
Force brute
En cybersécurité, les attaques par force brute font référence à des tentatives répétées de se connecter à un compte. Cela se fait le plus souvent avec un logiciel quelconque qui tente de deviner le mot de passe d’un compte. S’il n’y a pas de limite au nombre de fois où un attaquant peut saisir un mot de passe incorrect, il finira tôt ou tard par déchiffrer le code, dans le cas où le mot de passe n’est pas suffisamment sécurisé. Plus le mot de passe est long et complexe, plus il faut de temps pour le casser par force brute.
Il en va de même pour les codes 2FA. En particulier si le code est court, avec seulement quatre à six chiffres, il peut être craqué par cette méthode. Pour éviter cela, le code pourrait n’être actif que pendant une courte période ou l’authentification limitée par quelques tentatives ratées seulement.
Jetons réutilisés
De nombreuses méthodes d’authentification des utilisateurs génèrent un jeton utilisé pour l’authentification sur site. Cependant, dans certains cas, il peut y avoir une liste de tokens générés à l’avance. Le pirate doit savoir quel jeton utiliser et il peut contourner l’authentification à deux facteurs. Cependant, le pirate doit d’abord obtenir le nom d’utilisateur et le mot de passe de la victime également.
Malware
Les criminels en ligne peuvent utiliser des logiciels malveillants pour contourner l’authentification à deux facteurs et accéder au compte bancaire en ligne de la victime, par exemple. Certains chevaux de Troie bancaires Android avancés sont capables de se faire passer pour des applications bancaires légitimes et d’inciter la victime à authentifier elle-même l’accès du criminel. En plus de la banque en ligne, des logiciels malveillants similaires causent des dommages dans de nombreux services de crypto-monnaie.
Modification des paramètres de confidentialité de la victime
Le code de sécurité ou le jeton utilisé pour le 2FA est souvent envoyé vers le téléphone de l’utilisateur par un message texte. Cependant, les criminels en ligne peuvent exploiter cette méthode d’authentification s’ils parviennent à modifier les paramètres de sécurité de l’utilisateur. Les pirates peuvent modifier le numéro de téléphone vers lequel le code de sécurité est envoyé. Au lieu que le véritable propriétaire du compte reçoive le code de sécurité nécessaire à l’authentification, le code est envoyé aux criminels qui peuvent ensuite l’utiliser pour accéder au compte de la victime.