Vous devriez vraiment prendre 30 minutes pour activer la double authentification
« Double authentification », « authentification à deux facteurs », « 2FA » ou encore « A2F » : appelez-la comme vous le voulez, cette protection est aujourd'hui essentielle.
Concrètement, l'activation de la double authentification dure tout au plus au plus 3 minutes par compte. Au total, vous n'aurez qu'à bloquer entre 30 minutes et 1 heure, selon le nombre de comptes que vous avez à protéger. Après cet investissement, vous n'aurez plus jamais à vous en occuper, et vos comptes seront bien mieux sécurisés.
Qu'est-ce que la double authentification ?
Lors de la connexion à n'importe quel compte, vous devez renseigner deux informations :
Un nom d'utilisateur : votre adresse email, un pseudo ou encore un numéro attribué au préalable par le service en question.
Un mot de passe, que vous avez défini lors de la création du compte.
Ces deux informations sont vos identifiants, et leur combinaison doit être suffisamment secrète pour que vous soyez la seule personne à la connaître. Voyez-les comme la serrure d'une porte, dont vous seuls avez -- en théorie -- la clé. La double authentification, elle, va venir placer un loquet supplémentaire sur le haut de la porte. En conséquence, même si une personne obtient une clé pour ouvrir la serrure, il ne pourra pas ouvrir la porte, car le loquet l'en empêchera.
Un compte protégé par la double authentification demandera à l'utilisateur de renseigner un troisième identifiant une fois qu'il aura rentré les deux premiers. Ce troisième identifiant prend le plus souvent la forme d'un code à chiffre, qui sera envoyé par SMS ou email par le service concerné ;généré par une application tierce comme Google Authenticator ; ou encore embarqué dans une clé physique qu'il faudra connecter à l'ordinateur.
Résultat : la double authentification va alourdir la procédure de connexion au compte, puisque vous devrez attendre de recevoir le code, puis le renseigner. Mais gardez en tête que la plupart des services utilisent des cookies pour que vous n'ayez pas à vous identifier à chaque fois que vous voulez consulter votre compte.
Contre quoi la double authentification me protège-t-elle ?
Comme toute mesure de sécurité, la double authentification ajoute une friction à l'usage. Mais celle-ci est légère, et vous offre en contrepartie une protection supplémentaire essentielle. La 2FA va servir de dernier rempart à votre compte lorsque vos identifiants sont compromis. Elle vous évitera de subir un vol d'information, de payer pour des achats frauduleux ou plus simplement de perdre un compte.
Vos identifiants risquent de fuiter. Plusieurs fois par semaine, des entreprises sont victimes de fuites de données. Ces fuites peuvent contenir les mots de passe des utilisateurs, au point que certains malfaiteurs ont pour spécialité de les rassembler sous forme de liste. S'ils savent que le mot de passe de Brigitte pour un site est « meau2pace », ils vont essayer de l'utiliser pour se connecter à ses autres comptes. Si Brigitte réutilise « meau2pace » pour un autre compte, ils réussiront leur manœuvre... sauf si elle a mis la double authentification en place, puisqu'ils n'auront aucun moyen de récupérer le code supplémentaire. Si vous n'êtes pas précautionneux dans la composition de vos mots de passe, la 2FA a encore plus d'intérêt.
La double authentification vous donne un droit à l'erreur en cas de phishing réussi. Les cybercriminels essaient régulièrement de récupérer vos identifiants Facebook, ceux de votre compte bancaire, ou encore ceux de vos comptes sur les plateformes d'e-commerce. Même si vous êtes prudents, vous pourriez vous faire piéger, un jour où votre attention serait au plus bas. Et c'est ici que la double authentification remplirait son rôle de dernier rempart. Vous avez rentré vos identifiants Facebook dans une page de phishing ? Si la 2FA est activée, les malfaiteurs ne pourront toujours pas se connecter à votre compte, car ils ne pourront pas récupérer le code supplémentaire.
Quelles sont les limites de la double authentification ?
Bien que la double authentification soit efficace, elle ne garantit pas l'intégrité de votre compte. Autrement dit, elle renforcera sa sécurité, mais vous ne pouvez pas la considérer comme une garantie absolue.
Certaines vulnérabilités permettent d'accéder aux comptes des victimes sans même s'identifier, en passant outre la double authentification. Par exemple, à l'été 2020, un hacker de 17 ans avait pris la main sur les comptes Twitter de dizaines de célébrités, alors que la plupart étaient protégés par la 2FA. Plus tôt la même année, des malfrats avaient trouvé un moyen de voler les tokens d'authentification de Discord, afin de prendre la main sur les comptes de victime sans voler ses identifiants.
Il existe des techniques pour intercepter le code de la double authentification. Par exemple, pour contrer la 2FA par SMS, certains malfrats s'essaient au SIM swapping. Cette méthode consiste à tromper l'opérateur téléphonique de la victime pour lui dérober son numéro. Concrètement, le malfaiteur fait transférer le numéro depuis la carte SIM de sa cible à une carte SIM en sa possession. Il pourra ainsi recevoir les codes de la procédure de double authentification. S'il possède les deux autres identifiants, il pourra se connecter au compte de sa victime, et par exemple lui dérober de l'argent.
Parfois, la double authentification ne fonctionne pas correctement. Rien de plus désagréable que d'attendre un code de confirmation qui n'arrive pas, et pourtant c'est une situation régulière avec certains services. Si la 2FA fonctionne mal, vous serez bloqués en dehors de votre compte.