Les codes d’authentification à usage unique : avantages et inconvénients

Nous vous expliquons le fonctionnement de l’authentification à deux facteurs avec un code à usage unique, les avantages et les risques de cette technique, et les autres mesures à adopter pour mieux protéger vos comptes.

Les experts en sécurité de l’information ont longtemps été d’accord sur le fait que les applications d’authentification sont la solution d’authentification à deux facteurs avec un code à usage unique la plus fiable. La plupart des services proposent cette méthode comme deuxième couche de protection du compte alors que, dans certains cas, l’authentification à deux facteurs par l’envoi d’un mot de passe généré par une application est la seule option disponible.

On aborde rarement les raisons pour lesquelles les codes à usage unique sont considérés comme si sûrs, ce qui amène le soulèvement de certaines questions légitimes : est-ce vraiment une bonne option, à quel point sont-ils fiables, quels dangers doivent être pris en compte et les aspects à ne pas oublier lorsque cette méthode d’authentification à deux facteurs est utilisée. Cet article cherche avant tout à répondre à toutes ces questions.

 

Le fonctionnement des applications d’authentification

Ces applications fonctionnent généralement de la façon suivante : le service sur lequel vous souhaitez vous authentifier et l’application d’authentification partage un nombre ; une clé secrète qui se trouve dans un QR code que vous utilisez pour activer l’authentification pour ce service dans l’application. L’application d’authentification et le service utilisent en même temps le même algorithme pour générer un mot de passe à partir de la clé et de l’heure actuelle.

Lorsque vous saisissez le code généré par l’application, le service le compare avec celui qu’il a lui aussi généré. Si les codes sont les mêmes, tout est en ordre et vous pouvez accéder au compte. L’accès n’est pas autorisé s’ils ne sont pas identiques. De plus, lorsque vous connectez l’application d’authentification via un QR code, beaucoup d’informations sont partagées en plus de la clé secrète. Le temps restant avant que le code à usage unique n’expire, qui est généralement de 30 secondes, est un de ces renseignements.

L’information la plus importante, autrement dit la clé secrète, n’est envoyée qu’une seule fois : lorsque le service s’associe à l’application d’authentification, puis les deux parties la conservent. Autrement dit, lors de chaque nouvelle connexion au compte, le service ne transmet aucune information à votre application d’authentification, donc il n’y a rien à intercepter. En réalité, les application d’authentification n’ont pas besoin d’avoir accès à Internet pour réaliser leur fonction principale. En théorie, un cybercriminel ne peut obtenir que le mot de passe à usage unique actuel que le système génère pour que vous vous connectiez. Et ce code n’est valable que pendant une demi-minute.

Nous avons déjà expliqué plus en détail le fonctionnement des applications d’authentification dans un autre article. Nous vous invitons à le lire si vous souhaitez en savoir plus sur les normes d’authentification, sur les informations que contiennent les QR codes pour établir la connexion et sur les services compatibles avec les applications d’authentification les plus courantes.

 

La 2FA avec un code à usage unique est-elle vraiment sûre ?

Résumons les principaux avantages des codes d’authentification à usage unique via une application :

  • Protection efficace contre les fuites : la saisie du mot de passe ne permet pas de se connecter au compte. Vous avez besoin du code à usage unique.
  • Protection correcte contre l’interception du code à usage unique. Étant donné que le code n’est valable que 30 secondes, les cybercriminels n’ont pas beaucoup de temps pour l’utiliser.
  • Impossible de récupérer la clé secrète à partir du code à usage unique. Même si le code est intercepté, les escrocs ne pourront pas cloner l’authentification.
  • Aucune connexion Internet n’est nécessaire pour générer les codes à usage unique. Le dispositif peut être complètement isolé d’Internet.

Comme vous pouvez le constater, le service a été très bien pensé. Les développeurs ont fait tout leur possible pour le rendre aussi sûr que possible. Mais aucune solution n’est parfaitement sécurisée. Même si vous vous authentifiez à l’aide d’un code généré par l’application, il y a certains risques et vous devez prendre quelques précautions. C’est ce dont nous allons parler maintenant.

 

 

Les fuites, les adresses e-mail piratées et les autres astuces

J’ai dit un peu plus haut que l’authentification via un code à usage unique généré par une application est une protection efficace contre la divulgation des mots de passe. Malheureusement, les choses ne sont pas aussi simples. Il y a une nuance fondamentale qui s’explique par le fait que les services ne veulent généralement pas perdre leurs utilisateurs à cause d’un petit détail embêtant : la perte de l’authentification. Ça peut arriver à tout le monde. D’ailleurs, ces services offrent généralement une autre méthode de connexion au compte : envoi d’un code à usage unique ou d’un lien à l’adresse e-mail associée pour confirmer la connexion.

Cela signifie qu’en cas de fuite, si les cybercriminels connaissent le mot de passe et l’adresse e-mail associés, ils peuvent essayer d’utiliser cette autre méthode pour se connecter au compte. Si votre adresse e-mail n’est pas bien protégée, surtout si vous utilisez le même mot de passe pour plusieurs comptes et n’avez pas activé l’authentification à deux facteurs, il est fort probable que les cybercriminels puissent contourner la saisie du code à usage unique généré par l’application.

Ce que vous devriez faire :

  • Suivez de près les bases de données divulguées et modifiez rapidement les mots de passe des services concernés.
  • N’utilisez pas le même mot de passe pour plusieurs services. Ce point est particulièrement important pour les adresses e-mail associées à d’autres comptes.
  • Désactivez les autres méthodes de connexion si le service le permet. Cette action peut s’avérer importante pour les comptes qui contiennent des informations précieuses, mais n’oubliez pas de faire une sauvegarde de l’application d’authentification (nous allons y revenir un peu plus tard).

 

L’accès physique et les gens qui regardent discrètement ce que vous faites

Quelqu’un pourrait discrètement regarder ce que vous faites lorsque vous utilisez une application d’authentification et voir le code à usage unique. De plus, cette personne verra plusieurs codes puisque ces applications en affichent généralement plusieurs à la suite. L’intrus pourrait se connecter à n’importe lequel de ces comptes après avoir vu le code. Évidemment, les cybercriminels n’auront pas beaucoup de temps pour utiliser l’information qu’ils ont pu voir. C’est toujours mieux que de ne rien tenter. Ces 30 secondes pourraient être suffisantes pour un hacker habile…

La situation est encore plus dangereuse si quelqu’un arrive à mettre la main sur un smartphone déverrouillé et équipé d’une application d’authentification. Dans ce cas, cette personne pourrait en profiter pour se connecter aux comptes sans avoir à se dépêcher et sans rencontrer de problème.

Voici comment vous pouvez minimiser les risques :

  • Utilisez une application d’authentification qui n’affiche pas par défaut tous les codes en même temps sur l’écran. Beaucoup le permettent.
  • Choisissez un mot de passe complexe pour déverrouiller le smartphone sur lequel l’application d’authentification est installée et activez le verrouillage automatique de l’écran après une courte période d’inactivité.
  • Installez une application qui vous permet de choisir un mot de passe de connexion supplémentaire. Ces applications existent aussi.

 

Les sites d’hameçonnage

La plupart des sites d’hameçonnage conçus pour les attaques de masse sont assez primitifs. Leurs créateurs sont généralement satisfaits s’ils volent les identifiants et les mots de passe, puis les revendent en gros à un prix très bon marché sur le Dark Web. Évidemment, l’authentification à deux facteurs est la protection parfaite contre cette technique de cybercriminalité : même si quelqu’un obtient vos identifiants de connexion, ils s’avèrent inutiles sans le code à usage unique généré par l’application.

Pourtant, sur les sites d’hameçonnage plus plausibles et plus minutieusement conçus, surtout ceux pensés pour des attaques ciblés, les escrocs peuvent aussi imiter le mécanisme de vérification de l’authentification à deux facteurs. Dans ce cas, ils interceptent l’identifiant, le mot de passe et le code à usage unique. Ensuite, les cybercriminels se connectent rapidement au compte de la victime alors que le site d’hameçonnage affiche un message d’erreur et invite l’utilisateur à réessayer.

Malheureusement, malgré cette simplicité apparente, l’hameçonnage reste une technique extrêmement efficace pour les hackers, et il peut s’avérer difficile de vous protéger contre ces versions d’arnaques sophistiquées. Nous pouvons tout de même vous donner quelques conseils généraux :

 

Les programmes malveillants qui volent des informations

Pour parler gentiment, les gens n’apprécient pas vraiment tout le processus d’authentification. Ainsi, les services essaient de ne pas embêter les utilisateurs inutilement. En réalité, dans la plupart des cas, vous n’avez qu’à vous authentifier avec votre mot de passe et à saisir le code de confirmation seulement la première fois que vous vous connectez à votre compte depuis un nouveau dispositif. On vous le demandera peut-être à nouveau, par exemple si vous avez accidentellement supprimé les cookies de votre navigateur.

Une fois que la connexion a été effectuée avec succès, les services sauvegardent un petit cookie sur votre ordinateur, qui contient un nombre long et extrêmement confidentiel. C’est désormais ce que votre navigateur montre au service pour confirmer l’authentification. Si quelqu’un arrive à voler ce fichier, il peut s’en servir pour se connecter à votre compte. Il n’aura pas besoin d’un mot de passe ni d’un code à usage unique.

Ces fichiers, ainsi que diverses informations supplémentaires comme les mots de passe sauvegardés dans le navigateur, les clés des portefeuilles de cryptomonnaie ou d’autres outils similaires, peuvent être volés à l’aide d’un cheval de Troie stealer. Si par malchance votre ordinateur est infecté par un stealer, vos comptes risquent d’être piratés, même si vous avez pris toutes les précautions nécessaires.

Pour éviter que ça n’arrive :

  • N’installez pas les programmes de sources douteuses.
  • Assurez-vous d’utiliser une protection fiable sur tous vos dispositifs.

 

L’absence de sauvegardes de l’application d’authentification

Vous pouvez aussi perdre l’accès à vos comptes à cause d’une protection trop importante. Ce pourrait être le cas si vous avez perdu l’application d’authentification et que vous n’avez autorisé l’accès à votre compte qu’à l’aide d’un code généré par l’application. Dans ce cas, vous pourriez définitivement perdre l’accès à vos comptes et à vos informations. Ou du moins vous allez avoir de longues et douloureuses conversations avec l’assistance pour restaurer l’accès.

Vous pourriez perdre l’accès à votre application d’authentification dans diverses circonstances :

  • Le smartphone pourrait ne plus fonctionner et il vous serait impossible de récupérer les données.
  • Vous pourriez le perdre.
  • On pourrait vous le voler.

Tous ces événements sont imprévisibles, donc il vaut mieux vous préparer en avance pour éviter de souffrir ces conséquences désagréables :

  • Assurez-vous de faire une sauvegarde des données de l’application d’authentification. De nombreuses applications permettent de stocker la sauvegarde sur le Cloud, mais vous pouvez aussi le faire avec un fichier local.
  • Il pourrait être judicieux d’installer l’application d’authentification sur deux dispositifs différents ou d’utiliser plusieurs applications différentes. Ainsi, si l’infrastructure Cloud d’un service d’authentification ne fonctionne pas au moment le plus inopportun, vous aurez tout de même accès à votre sauvegarde.

 

Comment vous protéger

Résumons. L’authentification à deux facteurs réduit sérieusement le risque de piratage de vos comptes mais ne garantit pas une protection complète. Il convient donc de prendre quelques précautions supplémentaires :

  • Assurez-vous de choisir un mot de passe pour vous connecter au dispositif sur lequel l’application d’authentification est installée.
  • Utilisez une application d’authentification qui permet de cacher les codes à usage unique des regards indiscrets et d’établir un mot de passe lorsque vous vous connectez à l’application.
  • N’oubliez pas de faire une sauvegarde de l’application d’authentification.
  • Ne choisissez pas des mots de passe simples et n’utilisez pas les mêmes mots de passe pour plusieurs comptes différents. Un gestionnaire de mots de passe peut vous aider à générer et conserver des séquences de caractères uniques et sûres.
  • Méfiez-vous des fuites et modifiez rapidement les mots de passe des services concernés, surtout si l’adresse e-mail est associée à d’autres comptes. D’ailleurs, Kaspersky Password Manager surveille les fuites de mots de passe et vous avertit.
  • Installez une solution de sécurité fiable sur tous vos dispositifs afin de vous protéger contre l’hameçonnage et les programmes malveillants qui volent des informations.
  • Faites attention aux tentatives de connexion à vos comptes et agissez rapidement en cas d’activité suspecte. D’ailleurs, nous avons un tutoriel qui vous explique ce que vous devez faire si votre compte a été piraté.

 

Conseils