Vous avez entendu parler de la double authentification, mais vous n’êtes pas certains de ce dont il s’agit ou de comment la mettre en place ? Pas de panique, ce petit outil de sécurité est facile à adopter et peut venir sous différentes formes.

Après Google, c’est à la Cnil de râler. Le gendarme des données personnelles a publié un article, le 1er décembre 2021, encourageant les internautes à enfin se mettre à la double authentification pour sécuriser ses comptes web. « L’utilisation de l’authentification multifacteur rend plus difficile le piratage d’un compte », résume tout simplement la commission.

La publication d’un tel billet par la Cnil en cette fin 2021 n’a rien de fortuit. L’année a été riche en fuites de données en tout genre. Au niveau individuel, la double authentification reste un des meilleurs moyens de se protéger. Si vous n’avez jamais entendu parler de cet outil, pas de panique, il n’est pas trop tard pour l’adopter.

La double authentification ajoute une couche de sécurité à vos comptes webs // Source : Cnil

La double authentification ajoute une couche de sécurité à vos comptes webs

Source : Cnil

La double authentification rajoute une couche de sécurité à vos comptes web. En plus de renseigner votre mot de passe, un site qui propose l’authentification à deux facteurs vous demandera une autre preuve que c’est bien vous qui tentez de vous connecter à votre compte. Cela peut-être un code généré par votre téléphone, un scan de votre empreinte digitale ou autre chose. La double authentification se repose en fait sur une logique de sécurisation connue : s’identifier avec l’aide de ce que vous savez (votre mot de passe) et de ce que vous avez (un code, une empreinte, etc.). Mais il existe plein de manières de mettre cet outil en place, et toutes ne se valent pas.

Comment mettre en œuvre la double authentification ?

De nombreux sites proposent aujourd’hui la double authentification. Google, Apple, Facebook, Microsoft, tous offrent cette possibilité aux internautes qui veulent en tirer parti. Google a même récemment forcé la main à de nombreux internautes.

Tous les moyens de mettre en place l’authentification multifacteur ne se valent pas, en revanche.

Le SMS

Assez répandue, la double authentification par SMS est la forme la plus basique d’authentification à deux facteurs. Elle consiste à renseigner, en plus de votre mot de passe, un code (généralement à 6 caractères) que le site vous envoie par message. Cette méthode est pratique, car elle n’exige aucune app ou clé, simplement un téléphone capable de recevoir un message texte.

Malheureusement, elle exige aussi de donner son numéro de téléphone à un site, ce qui peut déjà être délicat. Mais elle est aussi vulnérable à des opérations de SIM swapping, qui consiste a cloner une carte SIM pour recevoir des SMS à votre place. Ces faiblesses ont notamment poussé Google à abandonner cette méthode.

L’invité de connexion

Facile à dompter, la double authentification avec un invité de connexion est très largement utilisée aujourd’hui. Si vous vous êtes déjà connecté à votre compte Google depuis un ordinateur qui n’est pas le vôtre, il y a de grandes chances pour que vous soyez familier du mécanisme. Cette méthode exige juste de valider la connexion à un compte depuis un smartphone (iOS ou Android) connecté à ce même compte.

Dans le cas d’une connexion à un compte Google, il suffit de cliquer sur « Oui » sur le pop-up qui s’affiche. La méthode est plutôt sécurisée, car un pirate a peu de chance d’avoir un téléphone connecté à votre compte. Si vous avez plus d’un appareil connecté à votre compte, par contre, l’alerte apparaitra partout. Si un proche tente de s’identifier à votre place, il pourra potentiellement s’autovalider si une tablette à vous traine sur la table basse.

L'invité de connexion Google est une méthode facile d'accès pour installer la double authentification // Source : Google

L'invité de connexion Google est une méthode facile d'accès pour installer la double authentification

Source : Google

L’app d’authentification

Très connue, cette méthode de double authentification consiste à utiliser une application qui va générer des codes à 6 chiffres qui vous serviront à vous identifier. Il suffit de scanner un QR Code au moment où vous mettez en place la double authentification et votre application se chargera de générer, de manière continue, des codes (qui se périmeront dans le temps).

Plutôt sécurisée, cette méthode présente par contre un inconvénient : vous ne pourrez pas vous identifier sur une machine inconnue si vous n’avez pas votre téléphone sous la main. La plupart des sites proposent sinon des codes de « secours » pour les moments où vous n’avez justement pas votre téléphone sur vous. Mais il faut être très prudent sur où vous les stockez, puisqu’ils offrent un accès à votre compte. Si vous optez pour cette solution, des applications comme Authy ou Google Authenticator font très bien le job.

La clé de sécurité

La clé de sécurité est probablement la méthode la plus sécurisée, mais la plus contraignante pour mettre en place la double authentification. Cela consiste à avoir une clé USB que vous insérez dans votre smartphone ou votre ordinateur quand vous devez vous identifier. La plus connue de ces clés est sans doute la Yubikey.

Niveau sécurité, la solution est béton, puisqu’elle se repose sur un élément physique, avec une puce sécurisée, à insérer dans votre mobile ou votre ordinateur. Mais il faut l’avoir sous la main dès que l’on s’identifie sur une machine inconnue. Tous les services web ne sont pas compatibles avec cette solution, en plus. À réserver aux comptes hébergeant des informations particulièrement sensibles.

La clé USB Yubikey peut servir comme facteur d'authentification // Source : Yubikey

La clé USB Yubikey peut servir comme facteur d'authentification

Source : Yubikey

La reconnaissance biométrique

L’un des derniers moyens « grand public » de mettre en place la double authentification est d’utiliser un facteur biométrique, comme votre empreinte digitale ou la reconnaissance faciale. Combiné à un mot de passe, cette méthode est très sécurisée, car personne ne partage votre empreinte digitale ou vos traits de visage exacts. L’inconvénient de la biométrie est qu’il faut faire confiance aux services qui stockent vos données. De plus, peu de sites web proposent l’authentification biométrique pour le moment.

Conclusion

Comme nous avons pu le voir, il existe de nombreuses manières de s’identifier avec la double authentification. Toutes ont des qualités et des défauts qu’il faut prendre en compte au moment de choisir la solution qui convient le mieux. Tous les sites ne proposeront pas forcément toutes ces méthodes, donc il faudra potentiellement composer avec ces limites aussi.

Mais, quelle que soit la méthode employée, la double authentification sera toujours préférable à l’emploi d’un simple mot de passe. Vous trouverez sur Cyberguerre des tutoriels pour la mettre en place sur la plupart des grands sites web.