La double authentification ajoute une seconde couche de protection lorsque vous vous connectez à un site. Après avoir saisi un mot de passe, il vous faut prouver que c’est bien vous.

La double authentification, qu’est-ce que c’est ? Depuis plusieurs années, les mots de passe ne suffisent plus. Faciles à détourner (il suffit que quelqu’un connaisse votre mot de passe pour se connecter à votre compte), ces vestiges du web sont amenés à évoluer, en attendant leur disparition annoncée avec les passkeys, qui identifient automatiquement un utilisateur sur une page grâce à un identifiant unique stocké sur leur appareil. En attendant, la double authentification (ou 2FA) s’est imposée comme la meilleure alternative.

La double authentification rajoute une couche de sécurité à vos comptes web. Au moment où vous insérez votre mot de passe, un site qui propose l’authentification à double facteurs procèdera à une seconde vérification pour prouver votre identité. Cela peut-être un code généré par vune application,, un SMS, un scan de votre empreinte digitale sur un lecteur spécial… La double authentification se repose en fait sur une logique de sécurisation connue : s’identifier avec l’aide de ce que vous savez (votre mot de passe) et de ce que vous avez (un code, une empreinte, etc.). Mais il existe plein de manières de mettre cet outil en place, et toutes ne se valent pas.

La double authentification ajoute une couche de sécurité à vos comptes webs // Source : Cnil
La double authentification ajoute une couche de sécurité à vos comptes web // Source : Cnil

Comment mettre en œuvre la double authentification ?

De nombreux sites proposent la double authentification. Google, Apple, Facebook,, Instagram, Snapchat, Microsoft, PlayStation, Slack, Amazon… Tous offrent cette possibilité aux internautes qui veulent en tirer parti. Certains forcent même la main à de nombreux internautes, en la rendant quasiment obligatoire.

En revanche, tous les moyens de mettre en place la 2FA (Two-factor authentication) ne se valent pas :

Le SMS

L’authentification par SMS consiste à communiquer au service que vous utilisez votre numéro de téléphone. À chaque fois que vous entrez votre identifiant et votre mot de passe, un code (généralement à 6 caractères) vous est envoyé par texto. Cette méthode est pratique, car elle n’exige aucune app ou clé, simplement un téléphone capable de recevoir un message texte.

Malheureusement, il s’agit aussi de l’une des méthodes les plus « faciles » à contourner (enfin, facile, il faut tout de même que quelqu’un utilise une antenne pour intercepter le contenu d’un SMS ou clone votre carte SIM… Ce n’est pas à portée de tous). Elle expose aussi au risque de vol de numéro de téléphone. C’est pour cette raison que des entreprises comme Twitter ont décidé de retirer l’option.

L'authentification par SMS sur Twitter, avant sa disparition. // Source : Capture Numerama
L’authentification par SMS sur Twitter, avant sa disparition. // Source : Capture Numerama

La notification de connexion

Autre option répandue : l’invité de connexion. Pour qu’elle fonctionne, il faut déjà être connecté à l’un de ses appareils, comme son smartphone (Google, iCloud ou un compte bancaire par exemple). À chaque fois que l’on essaiera de se connecter à un de ces services depuis un autre appareil (ou que l’on veut effectuer un paiement en ligne par exemple), on recevra une notification sur son smartphone. Sans approbation manuelle, impossible de se connecter.

Dans le cas d’une connexion à un compte Google, il suffit de cliquer sur « Oui » sur le pop-up qui s’affiche. La méthode est plutôt sécurisée, car un pirate a peu de chance d’avoir un téléphone connecté à votre compte. Si vous avez plus d’un appareil connecté à votre compte, par contre, l’alerte apparaitra partout. Si un proche tente de s’identifier à votre place, il pourra potentiellement s’autovalider si une tablette à vous traine sur la table basse.

L'invité de connexion Google est une méthode facile d'accès pour installer la double authentification // Source : Google
L’invité de connexion Google est une méthode facile d’accès pour installer la double authentification // Source : Google

L’application d’authentification

Une application d’authentification est sûrement la meilleure solution aujourd’hui. Simple à utiliser, ces logiciels offrent un niveau de sécurité élevé. L’idée est la suivante : on télécharge sur son smartphone un logiciel comme Google Authenticator ou Microsoft Authenticator. Ensuite, depuis le site que l’on utilise (Twitter ou Facebook par exemple), on choisit l’option application de connexion dans les réglages de sécurité. Un QR Code apparaît à l’écran, il suffit de le scanner avec l’application.

À chaque fois que l’on se connectera à ces sites, un code de vérification sera demandé. Il faut alors ouvrir son application et renseigner le code à 6 chiffres qui apparaît. Ces codes expirent toutes les minutes, mais se renouvellent automatiquement.

L'interface de Google Authenticator. // Source : Numerama
L’interface de Google Authenticator. // Source : Numerama

Plutôt sécurisée, cette méthode présente par contre un inconvénient : vous ne pourrez pas vous identifier sur une machine inconnue si vous n’avez pas votre téléphone sous la main. La plupart des sites proposent sinon des codes de « secours » pour les moments où vous n’avez justement pas votre téléphone sur vous (un SMS par exemple, ce qui abaisse la sécurité). Depuis peu, il existe aussi des systèmes 2FA intégrés aux systèmes d’exploitation. Un iPhone peut par exemple stocker et générer ses propres codes, pour que l’utilisateur n’ait rien à faire.

La clé de sécurité

La clé de sécurité est probablement la méthode la plus sécurisée, mais la plus contraignante pour mettre en place la double authentification. Elle consiste à avoir une clé USB que vous insérez dans votre smartphone ou votre ordinateur quand vous devez vous identifier. La plus connue de ces clés est sans doute la Yubikey.

Niveau sécurité, la solution est béton, puisqu’elle se repose sur un élément physique, avec une puce sécurisée, à insérer dans votre mobile ou votre ordinateur. Mais il faut l’avoir sous la main dès que l’on s’identifie sur une machine inconnue. Tous les services web ne sont pas compatibles avec cette solution, en plus. À réserver aux comptes hébergeant des informations particulièrement sensibles.

La clé USB Yubikey peut servir comme facteur d'authentification // Source : Yubikey
La clé USB Yubikey peut servir comme facteur d’authentification // Source : Yubikey

Conclusion

Comme nous avons pu le voir, il existe de nombreuses manières de s’identifier avec la double authentification. Toutes ont des qualités et des défauts qu’il faut prendre en compte au moment de choisir la solution qui convient le mieux. Tous les sites ne proposeront pas forcément toutes ces méthodes, donc il faudra potentiellement composer avec ces limites aussi.

Mais, quelle que soit la méthode employée, la double authentification sera toujours préférable à l’emploi d’un simple mot de passe. Vous trouverez sur Cyberguerre des tutoriels pour la mettre en place sur la plupart des grands sites web.

Le guide des meilleurs gestionnaires de mots de passe est à retrouver sur Numerama, dans le hub sur la cyberhygiène.

une comparateur meilleur gestionnaire mdp numerama

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !