Qu'est-ce que l'authentification à deux facteurs (2FA) ?

Les attaques des hackers font encore et toujours les gros titres des médias. Les pirates sur le Web arrivent à voler et à espionner des milliers d’adresses emails et mots de passe à partir de grandes plateformes, forums ou de boutiques en ligne, obtenant ainsi un accès non autorisé aux comptes de leurs victimes. Ces attaques dites d’hameçonnage permettent aux criminels d’avoir accès à des données sensibles. L’un des moyens les plus sûrs pour protéger vos comptes contre les activités des pirates sur Internet est le processus d’authentification à deux facteurs : cela signifie que l’accès à un compte n’est possible que via deux vérifications d’identification. Dans notre article, nous expliquons ce que signifie la double authentification, comment dans la pratique cela fonctionne et quels sont les avantages et les inconvénients d’une telle procédure.

L’identification à deux facteurs combine deux composants différents et indépendants pour authentifier un utilisateur autorisé. Nous rencontrons au quotidien un exemple simple : le code Pin (ou la signature) avec la carte de paiement. Ce n’est que si les deux sont correctement combinés que l’authentification à deux facteurs peut réussir. Le même principe peut aussi être utilisé pour sécuriser les comptes emails, les comptes sur les boutiques en ligne ou sur bien d’autres portails Web.

Les composants et les facteurs requis pour l’accès peuvent être nombreux et variés. Les facteurs les plus importants et les plus répandus pour la double authentification sont les suivants :

• Token (un identifiant) ou carte d‘accès
• PIN (Personal Identification Number)
• TAN (numéro de transaction)
• Mot de passe
• Caractéristiques biométriques (par exemple empreintes digitales, voix ou iris)

Tous ces facteurs supposent de posséder ou de connaître quelque chose pour réaliser à bien l’identification. L’exemple du guichet automatique à la banque l’illustre bien. Cette procédure présente l’inconvénient que même les personnes autorisées doivent toujours posséder un identifiant ou carte ce qui peut sinon conduire même à un verrouillage de l’accès (par exemple lorsque le code PIN saisi à plusieurs reprises est erronée ou par perte de la carte).

Pour cette raison, l’authentification à deux facteurs sur le Web utilise de plus en plus des méthodes pour identifier les utilisateurs sans avoir besoin aux identifiants classiques ou qui minimisent au moins le risque de perte : en générale, le système génère un code automatique en plus du mot de passe. Celui-ci est envoyé à l’utilisateur sur son smartphone, soit par SMS, email ou via une application d’authentification spécifique. Ceci permet de s’assurer que seule la personne en possession de ce code de sécurité supplémentaire y a accès. L’avantage : le code n’est valide qu’une seule fois et perd automatiquement sa validité après un certain laps de temps.

L’authentification à deux facteurs sans token ou carte d’accès présente aussi l’avantage de pouvoir définir des méthodes secondaires pour recevoir le code de sécurité : si par exemple, l’accès à l’application n’est pas possible, on peut spécifier qu’un SMS soit envoyé ou que l’utilisateur autorisé puisse recevoir un appel avec l’annonce automatique du code.

Bien évidemment, le risque zéro n’existe pas lorsque l’on parle de la sécurisation d’un compte ; alors pourquoi mettre en place une double identification ? La réponse est évidente : cette méthode ajoute un niveau supplémentaire au processus d’identification : c’est un second obstacle pour ainsi dire, que les personnes non autorisées doivent surmonter. De plus, presque toutes les attaques d’hameçonnage échouent à cause de cette identification à deux facteurs.

Avec l’hameçonnage (le phishing), les hackers tentent d’obtenir des mots de passe, des codes PIN et TAN par le biais de faux emails contenant des liens vers des sites Internet configurés à l’avance. Les emails prétendent provenir de services bancaires authentiques, ou de véritables boutiques en ligne et demandent généralement de modifier un facteur d’identification, supposément pour des raisons de sécurité. En réalité, les mots de passe, PIN et TAN saisis sont espionnés.

Un exemple célèbre est l’attaque par hameçonnage de John Podesta, directeur de campagne d’Hillary Clinton : selon les médias, J. Podesta a reçu de faux emails en mars 2016 comme de nombreux autres politiciens. Ils semblaient venir de Google et indiquaient qu’une adresse IP étrangère, ukrainienne, avait accès au compte Gmail de la victime. Ainsi le mot de passe devait être changé immédiatement. En cliquant sur le lien contenu dans l’email, une redirection vers une fausse page a été effectuée. L’URL de ce site a été raccourcie et obscurcie, la mise en page ressemblant à celle de Google.

De telles combines frauduleuses connaissance toujours un vif succès : 20 des 108 membres de la campagne de Clinton ont cliqué sur le lien. Si les comptes Google ciblés avaient été sécurisés avec une authentification à deux facteurs, les pirates n’auraient rien pu faire avec les mots de passe capturés. En effet, il leur aurait manqué le deuxième facteur pour réussir le piratage : un code de sécurité unique qui est envoyé exclusivement sur le téléphone mobile de la personne.

Mais pourquoi cette méthode n’est-elle pas plus largement utilisée ? La mise en place d’une double authentification sur Google n’est ni particulièrement complexe, longue ou compliquée. Vous n’avez même pas besoin de récupérer le code de sécurité généré automatiquement à chaque fois que vous vous connectez, car vous pouvez classer en permanence un terminal comme étant digne de confiance. La vidéo de Google illustre le fonctionnement de l’installation :

La mise en place de l’authentification à deux facteurs pour d’autres services n’est pas non plus compliquée : Amazon, Microsoft, Apple etc. Presque toutes les grandes entreprises offrent maintenant des options similaires à leurs clients. La faible prévalence de l’identification à deux facteurs soulève toutefois la question de savoir s’il existe des inconvénients.

Le niveau de sécurité augmente grâce à l’authentification à deux facteurs et apporte donc un avantage certains. Cependant, en cas de négligence ou de défaillance du système, les utilisateurs prennent le risque d’être eux-mêmes verrouillés, car l’authentification à double facteurs pose un obstacle supplémentaire non seulement pour les hackers mais aussi pour l’utilisateur autorisé. Étant donné que la double authentification pour la sécurisation des comptes sur le Web est normalement effectuée via une combinaison de savoir (mot de passe, etc.) et de matériel (smartphone où un code de sécurité est envoyé), la perte du smartphone, par exemple, entraîne donc une exclusion, temporaire, de l’utilisateur autorisé. Des problèmes techniques avec les applications d’authentification ne peuvent pas non plus être totalement exclus.

Heureusement, dans de tel cas, la majorité des services proposent un « double fond » ou l’option de spécifier une option de récupération, par exemple un numéro de téléphone alternatif où le code d’authentification peut être envoyé. Un code d’urgence écrit ou imprimé ou une adresse électronique de remplacement sont parfois demandés pour rétablir l’accès au compte. Ainsi, ce désavantage apparent doit être largement relativisé. Lors de la mise en place du système, il faut veiller à n’utiliser les mesures de sécurité qu’à condition qu’elles soient facultatives et non obligatoire de toute façon, et de noter soigneusement les informations pour l’accès d’urgence. Cela permet de réduire considérablement le risque d’auto-exclusion.