L’ère du 2FA : « Qu’est-ce que ça mange en hiver? »

01/03/2018

Le fait d’entrer le bon mot de passe pour ouvrir un compte ne suffit plus, il faut également fournir un élément supplémentaire pour être en mesure d’accéder aux données, voici l'ère du 2FA - Authentification en deux étapes (« 2 factors authentication »). Dans le cas où votre mot de passe devient connu d’une partie tierce, vos données demeurent protégées puisque l’attaquant n’est normalement pas en mesure de compléter la deuxième étape d’authentification. Ce qui est également intéressant dans une telle situation, c’est que certains fournisseurs vous notifieront d’une tentative infructueuse et vous transmettront des données relatives à la source de connexion.

Notre vie numérique doit être protégée avec les mécanismes qui sont mis à notre disposition par les fournisseurs de service. Mais encore faut-il les connaître et savoir comment les configurer pour en tirer profit.

Selon des données récentes, seulement 10% des comptes Google seraient protégés par la double authentification (réf : https://www.theverge.com/2018/1/23/16922500/gmail-users-two-factor-authentication-google). Il s’agit d’une situation que plusieurs spécialistes jugent alarmante.

Il y a trois catégories de facteurs d’authentification :

  • « Quelque chose que je suis » : souvent reliés à des paramètres biométriques comme des empreintes digitales ou un scan de la rétine;
  • « Quelque chose que je sais » : un mot de passe, un secret, un motif géométrique;
  • « Quelque chose que je possède » : un jeton, une carte magnétique, un code généré par une application.

Dans le meilleur des mondes, on utiliserait les trois facteurs un à la suite des autres pour s’authentifier à un système. Par contre, la gestion que cela exige n’est pas accessible à Monsieur et Madame Tout le monde. Et lorsqu’un système demande trop de sécurité, les gens ont tendance à prendre des raccourcis, comme : coller un mot de passe sur un écran ou laisser une carte magnétique en tout temps dans un poste de travail, ce qui annule tous les efforts de durcissement.

Donc, à l’heure actuelle, l’industrie recommande d’utiliser deux facteurs d’authentification (2FA) dans la mesure du possible pour des services en ligne. Il s’avère parfois que les deux facteurs sont dans la même catégorie. Les options généralement disponibles à l’heure actuelle sont :

  • un mot de passe
  • un code transmis par SMS à un numéro préconfiguré* plutôt controversé, mais mieux que rien
  • un code transmis par téléphone (voix) à un numéro préconfiguré
  • un code transmis à une autre adresse électronique préconfigurée (évidemment, il ne faut surtout pas que cette adresse ait le    même mot de passe que l’autre)
  • une clé physique insérée dans l’ordinateur ou l’appareil mobile duquel on souhaite se connecter (ex. : YubiKey)
  • des codes générés par une application comme « Google Authenticator »
  • une feuille préimprimée (ou en PDF) avec une liste de codes de secours* conservée dans un endroit sécurisé

Chaque option possède ses avantages et inconvénients. Il n’en demeure pas moins que de nombreux comptes et mots de passe associés fonctionnels sont actuellement en circulation sur Internet et c’est peut-être le cas des vôtres. Les fournisseurs de services connectés subissent fréquemment des attaques où les données des utilisateurs sont parfois exposées et tombent dans la main de groupes malicieux. Si vos comptes sont protégés avec la 2FA, le risque que ceux-ci soient exploités est considérablement réduit.

Donc 3 points à retenir :

  • Activez la 2FA où c’est possible. Suivez le guide suivant pour vous aider :
    https://www.lockdownyourlogin.org/strong-authentication/
  • Changez nos mots de passe aux 90 jours. Utilisez un gestionnaire de mot de passe (ex. : KeePass) vous facilitera la tâche. 
    (minimum 13 caractères avec majuscules, minuscules, chiffres et caractères spéciaux).
  • N'utilisez jamais un même mot de passe pour plus d’un service

Liste de services pour lesquels la 2FA est disponible (*mais il y en a encore plus) :

Dropbox, Facebook, Google, iCloud, Instagram, LinkedIn, Microsoft (incluant Outlook), Salesforce, Twitter et Yahoo.

(minimum 13 caractères avec majuscules, minuscules, chiffres et caractères spéciaux).

Retour à la liste