Bien évidemment, le risque zéro n’existe pas lorsque l’on parle de la sécurisation d’un compte ; alors pourquoi mettre en place une double identification ? La réponse est évidente : cette méthode ajoute un niveau supplémentaire au processus d’identification : c’est un second obstacle pour ainsi dire, que les personnes non autorisées doivent surmonter. De plus, presque toutes les attaques d’hameçonnage échouent à cause de cette identification à deux facteurs.
Avec l’hameçonnage (le phishing), les hackers tentent d’obtenir des mots de passe, des codes PIN et TAN par le biais de faux emails contenant des liens vers des sites Internet configurés à l’avance. Les emails prétendent provenir de services bancaires authentiques, ou de véritables boutiques en ligne et demandent généralement de modifier un facteur d’identification, supposément pour des raisons de sécurité. En réalité, les mots de passe, PIN et TAN saisis sont espionnés.
Un exemple célèbre est l’attaque par hameçonnage de John Podesta, directeur de campagne d’Hillary Clinton : selon les médias, J. Podesta a reçu de faux emails en mars 2016 comme de nombreux autres politiciens. Ils semblaient venir de Google et indiquaient qu’une adresse IP étrangère, ukrainienne, avait accès au compte Gmail de la victime. Ainsi le mot de passe devait être changé immédiatement. En cliquant sur le lien contenu dans l’email, une redirection vers une fausse page a été effectuée. L’URL de ce site a été raccourcie et obscurcie, la mise en page ressemblant à celle de Google.
De telles combines frauduleuses connaissance toujours un vif succès : 20 des 108 membres de la campagne de Clinton ont cliqué sur le lien. Si les comptes Google ciblés avaient été sécurisés avec une authentification à deux facteurs, les pirates n’auraient rien pu faire avec les mots de passe capturés. En effet, il leur aurait manqué le deuxième facteur pour réussir le piratage : un code de sécurité unique qui est envoyé exclusivement sur le téléphone mobile de la personne.
Mais pourquoi cette méthode n’est-elle pas plus largement utilisée ? La mise en place d’une double authentification sur Google n’est ni particulièrement complexe, longue ou compliquée. Vous n’avez même pas besoin de récupérer le code de sécurité généré automatiquement à chaque fois que vous vous connectez, car vous pouvez classer en permanence un terminal comme étant digne de confiance. La vidéo de Google illustre le fonctionnement de l’installation :