La double authentification est devenue essentielle au fil des années pour sécuriser correctement des comptes contenant de plus en plus de données personnelles et professionnelles. Voici un guide pour activer cette option sur les services les plus populaires.

Pour permettre une meilleure sécurisation de l’accès à un compte utilisateur, de nombreux services sur internet proposent l’authentification à deux facteurs. Le principe est simple, en plus de demander à l’utilisateur quelque chose qu’il connait — un identifiant et un mot de passe — le service va également vérifier que l’utilisateur possède bien quelque chose associé au compte : un Authenticator (c’est généralement un appareil, un numéro de téléphone ou une adresse mail).

On peut même parfois rajouter un troisième facteur, en plus de ce que l’utilisateur connait et ce qu’il possède, qui prend en compte l’identité de l’utilisateur avec un capteur biométrique.

Cette technique de sécurisation des comptes devrait être une norme tant elle permet d’éviter des problèmes de piratage de compte. Si quelqu’un se retrouve avec votre identifiant et votre mot de passe, il ne pourra toujours pas entrer sur votre compte sans votre sésame personnel. Efficace contre la très grande majorité des attaques.

Voici comment activer cette protection sur la plupart des services en ligne.

Google

Dans le cas de Google, la fonctionnalité s’appelle « Validation en deux étapes » et est proposée dans les options de sécurité sur la page de gestion de son compte. Rendez-vous sur cette page pour commencer la procédure.

Google paramètre activation en deux étapes

Le géant va d’abord vous demander de configurer cette validation en deux étapes en vous envoyant un code à 6 chiffres par SMS ou par appel téléphonique grâce à votre numéro de téléphone mobile. Une fois cela fait, il est possible de configurer l’application Google Authenticator : elle génère le même type de code sans avoir besoin du réseau téléphonique.

La procédure est simple et bien expliquée : il faut scanner le QR Code affiché sur le site web avec l’application installée sur son smartphone. Il faut ensuite entrer un code à 6 chiffres généré par l’application pour vérifier l’association avec le compte.

Une fois configuré, à chaque fois que vous essayerez de vous connecter à votre compte Google sur une machine inconnue, le service vous demandera de rentrer un code à 6 chiffres générés par l’application, après l’étape de saisi du mot de passe.

Notez que l’application Google Authenticator utilise l’algorithme TOTP implémenté par de nombreux services sur le web. L’application pourra donc servir pour beaucoup d’autres comptes sur le web chez différents fournisseurs de service. La procédure est d’ailleurs souvent la même : se rendre dans les paramètres de sécurité du compte, trouver l’option, scanner un QR Code et rentrer un code à 6 chiffres.

Enfin, certains logiciels ou applications, comme Microsoft Outlook, peuvent ne pas prendre en charge la connexion à un compte avec l’authentification à deux facteurs. Dans ce cas il faudra générer un mot de passe d’application spécifiquement pour ce logiciel.

Apple

Chez le géant californien, comme à son habitude, la validation en deux étapes fonctionne d’une façon un peu différente de la concurrence. Ici les codes d’activation ne sont qu’à 4 chiffres et seront générés par des appareils de confiance à configurer depuis le site web de gestion du compte.

Apple paramètre activation en deux étapes

Apple oblige il faudra obligatoirement un iPhone, un iPad ou un iPod Touch pour générer des codes de façon autonome. Ceux qui ne possèdent pas l’un de ses appareils devront se contenter de l’authentification par envoi d’un SMS qui ne fonctionne donc que sous couverture réseau. Concernant l’activation de l’option, comme chez Google, le géant va d’abord envoyer un SMS avec un code à 4 chiffres sur votre téléphone mobile puis vous proposera de configurer un appareil compatible.

Enfin le site web d’Apple insiste plus que ses concurrents à propos de la clé de secours. Cette clé est générée pendant l’activation de l’option et permet de retrouver l’accès à son compte en cas de perte de l’appareil de confiance ou du numéro de téléphone mobile associé au compte. Il est donc important de noter cette clé et la conserver ailleurs que sur son téléphone mobile.

Facebook

Facebook propose plusieurs façons d’activer l’authentification à deux facteurs. Premièrement on peut recevoir des SMS sur son téléphone mobile en configurant l’approbation de connexion. Les deux autres possibilités consistent à générer des codes sans avoir besoin d’une connexion au réseau mobile. Facebook conseille d’utiliser son application mobile qui intègre nativement le générateur de code.

Facebook settings generateur de code
Facebook propose une option pour utiliser Google Authenticator

En choisissant l’option « Installer une autre façon d’obtenir des codes de sécurité  », il est toutefois possible d’utiliser Google Authenticator et ainsi réunir au même endroit les différents services web proposant l’authentification à deux facteurs. C’est l’option que choisiront ceux qui ne souhaite pas installer l’application Facebook, connue pour être énergivore sur Android.

Microsoft

Microsoft utilise le même algorithme TOTP et la même procédure que Google. En plus de l’envoi de code par SMS ou par courriel, il est donc possible de générer des codes avec l’application Google Authenticator sur Android et iOS et Microsoft Authenticator sur Windows Phone.

Microsoft paramètre activation en deux étapes

L’éditeur propose toutefois une autre option, plus pratique, sur Android exclusivement. Il s’agit de l’application Compte Microsoft qui permet d’éviter de rentrer des codes à 6 chiffres.

La configuration est simple : il suffit de lancer l’application et de se connecter à un compte Microsoft. À chaque fois que l’utilisateur se connectera à son compte Microsoft, le site web ou le logiciel enverra une requête au téléphone, il suffira alors de cliquer sur « Approuver » ou « Refuser » pour se connecter ou non. L’application pourra même créer des notifications interactives et il ne sera donc même pas nécessaire de la lancer pour se connecter.

Compte Microsoft Microsoft Corporation

Depuis longtemps disponible sur Android, cette fonctionnalité arrivera bientôt sur Windows 10 Mobile avec une mise à jour de l’application Microsoft Authenticator.

LastPass

Lastpass est l’un des gestionnaires de mots de passe les plus populaires. Il permet de sauvegarder vos identifiants et vos mots de passe dans un espace sécurisé, mais aussi d’autres types de données, comme vos coordonnées bancaires ou votre numéro de passeport. Il est donc primordial de bien sécuriser l’accès à son compte Lastpass et le service en est conscient puisqu’il propose de nombreuses options pour cela.

Lastpass paramètre activation deux étapes

Parmi des options comme l’interdiction de se connecter au compte depuis des pays étrangers ou le réseau Tor, on retrouve l’authentification multifacteurs qui nous intéresse dans cet article. Là encore, Lastpass est compatible avec beaucoup de systèmes d’authentification à deux étapes, dont Google Authenticator dont nous parlions plus haut. Depuis peu l’éditeur propose cependant sa propre application disponible sur Android, iOS et Windows Phone.

LastPass Authenticator est une application concurrente de Google Authenticator et gère elle aussi tous les services utilisant l’algorithme TOTP. Elle permet, dans le cas spécifique du compte Lastpass, d’envoyer des notifications à l’utilisateur lors d’une demande de connexion au compte. Il n’a alors qu’à approuver ou non la connexion sans indiquer de code à 6 chiffres.

Blizzard

Les éditeurs de jeux vidéo utilisent d’autres algorithmes que celui de Google et proposent souvent soit d’utiliser une application mobile soit un authenticator, un petit objet qui générera un code à 6 chiffres sur un écran à cristaux liquides. Ce dernier étant payant, on conseillera plutôt d’utiliser l’application qui a le mérite d’être disponible sur Android, iOS, mais aussi Windows Phone. Dans tous les cas la marche à suivre est la même

Battle net activation deux étapes

Pour commencer, il faudra se rendre sur cette page. Pas de SMS cette fois-ci, mais un courriel de confirmation sur l’adresse associée au compte Battle.net. Après avoir cliqué sur le lien inscrit dans le courriel, il faudra indiquer à Blizzard le numéro de série à 14 chiffres inscrit sur l’Authenticator ou fourni par l’application et un code à 6 chiffres généré.

Attention, une petite subtilité s’est glissée dans la procédure depuis une récente mise à jour de l’application. Cette dernière est maintenant capable, comme chez Microsoft, de recevoir des requêtes de connexion de Blizzard et l’utilisateur n’a qu’à approuver ou refuser la connexion au lieu de taper un code généré. Cependant à la configuration du compte, Blizzard demande un code généré en plus du numéro de série, il faudra donc choisir « Saisir le code manuellement » en bas de la page principale de l’application.

Enfin, prenez soin de noter le numéro de série et le code spécial de restauration indiqués dans les paramètres de l’application. Ils seront nécessaires pour restaurer l’authenticator sur un autre appareil et ne pas perdre accès au compte en cas de perte du smartphone. Notez que sur iOS, si vous activez le trousseau iCloud, l’application sauvegardera automatiquement ces deux informations ce qui facilitera la restauration à l’avenir.

Steam

Steam, la plus grande plateforme de vente de jeux vidéo dématérialisés sur PC, a mis en place Steam Guard depuis de nombreuses années pour éviter le vol de compte, pouvant parfois valoir plusieurs milliers de dollars en jeu.

Steam Guardparamètre activation en deux étapes

À l’origine il s’agissait d’un système d’envoi de courriel de vérification à chaque connexion au compte Steam depuis une nouvelle machine, mais l’éditeur propose depuis peu un authentificateur intégré à l’application mobile Steam.

L’activation de cet authentificateur se fait directement depuis l’application, dans la rubrique Steam Guard placée en première position dans le menu latéral. Steam envoie d’abord un SMS pour confirmer que la procédure est bien lancée par vous. Une fois la vérification terminée, l’activation de l’authentificateur est terminée et il ne reste qu’à noter le code de récupération qui permettra de retrouver l’accès à son compte en cas de perte ou de casse du smartphone.

L’application ne propose pas d’autoriser ou refuser simplement les requêtes comme chez Blizzard, mais enverra quand même une notification avec le code d’activation dans le centre de notification du téléphone. Il ne sera donc pas nécessaire de démarrer l’application à chaque connexion au compte.

Les autres

Beaucoup d’autres sites web et services comme Amazon ou Dropbox proposent une validation en deux étapes du compte utilisateur. La procédure est souvent la même que celles des géants déjà mentionnés dans cet article.

twofactorauth org
Certains services populaires manquent encore à l’appel.

Un site, TwoFactorAuth.org, se propose d’ailleurs de lister tous les services proposant la validation en deux étapes, avec pour chacun, les options proposées et d’éventuelles choses à savoir. Derrière le site se cache un projet sur GitHub ce qui facilite les demandes de modifications et permet de garder le site à jour.

Partager sur les réseaux sociaux

Articles liés