Types d’authentification à deux facteurs : pour et contre

Dans notre dernier article, nous avons expliqué ce qu’est l’authentification à deux facteurs et pourquoi vous en avez besoin. En bref, il s’agit d’un mécanisme de validation d’accès qui repose sur deux méthodes d’authentification fondamentalement différentes.

Les utilisateurs ont besoin d’une authentification à deux facteurs pour protéger leurs comptes de manière plus efficace : bien que chaque méthode d’authentification soit vulnérable, l’utilisation combinée de deux d’entre elles (ou plus) rend le piratage de comptes beaucoup plus difficile.

Dans cet article, j’aborde les options d’authentification à plusieurs facteurs disponibles, je vous présente les avantages et les inconvénients de chacune d’entre elles et je vous recommande celles qui permettent de sécuriser au mieux vos comptes.

Codes à usage unique reçus par SMS, email ou appel vocal

Les codes à usage unique sont l’un des mécanismes d’authentification à deux facteurs les plus courants pour la validation de connexion. Ces derniers sont généralement envoyés par SMS au numéro indiqué lors d’une inscription. Il est également possible de les recevoir par email, mais cette pratique est moins courante. Les principaux services offrent également la possibilité de recevoir un appel vocal au numéro de téléphone indiqué lors de l’inscription.

Quel que soit le canal de diffusion utilisé, l’idée est la même : vérifier votre capacité à accéder à un autre compte ou à un numéro de téléphone que vous avez indiqué lors de votre inscription au service. Ainsi, si quelqu’un vole votre mot de passe alors que vous n’avez pas accès à votre téléphone, cette protection fonctionnera parfaitement.

Option d’authentification à deux facteurs la plus courante : code à usage unique envoyé par SMS

Toutefois, ce mécanisme d’authentification à deux facteurs présente des inconvénients. Si vous confirmez votre authentification par email et que le mot de passe de connexion à votre messagerie est le même que celui utilisé pour le compte que vous essayez de protéger, le niveau de sécurité supplémentaire sera très limité. Un pirate informatique qui connaît le mot de passe du compte ne manquera pas d’essayer ce mot de passe pour se connecter également à votre messagerie, obtenant par la même occasion le code de validation à usage unique.

La validation par numéro de téléphone, que ce soit par SMS ou par appel vocal, pose un problème différent : il est facile d’y perdre l’accès. Il peut arriver que l’utilisateur oublie simplement de recharger son compte téléphonique, qu’il perde son téléphone ou qu’il change de numéro.

Il n’est pas rare non plus que des malfaiteurs persuadent les opérateurs téléphoniques de leur remettre une carte SIM avec le numéro de téléphone de la victime, obtenant ainsi accès aux codes de validation. De plus, les messages texte peuvent être interceptés — de tels cas ont déjà été signalés.

En résumé : cette option d’authentification à deux facteurs fonctionne, mais pour protéger vos comptes les plus précieux, en particulier ceux liés aux opérations financières, il est préférable d’utiliser un système plus fiable.

Le mot de passe comme deuxième facteur

Parfois, le mot de passe n’est pas le premier mais le deuxième facteur. C’est souvent le cas des messageries : par défaut, pour se connecter, il suffit de saisir le code à usage unique contenu dans un SMS. Le mot de passe est généralement facultatif. Facultatif mais nécessaire, si vous voulez mon avis. Il vous protégera contre toute une série de problèmes potentiels à la fois.

Plus important encore, il permettra de protéger vos messages en cas de perte accidentelle de l’accès au numéro de téléphone que vous avez utilisé pour vous inscrire sur WhatsApp ou Telegram. Supposons que vous ayez changé de numéro de téléphone principal, que vous ayez rangé votre ancienne carte SIM dans un tiroir et que vous ne l’ayez pas créditée depuis longtemps. Après un certain temps, l’opérateur revendra votre numéro, ce qui permettra au nouveau propriétaire de se connecter à la messagerie sous votre nom, à moins qu’elle ne soit protégée en plus par un mot de passe, bien entendu.

Le mot de passe offrira à votre compte de messagerie au moins une certaine protection contre les pirates informatiques qui seront parvenus, d’une manière ou d’une autre, à obtenir l’accès à votre numéro de téléphone.

Liste prégénérée de codes à usage unique

Une autre option qui s’offre à vous est une liste de codes à usage unique prégénérés. Les banques délivrent parfois de telles listes à leurs clients pour confirmer leurs opérations, tandis que certains services Internet (comme Google) permettent de les utiliser pour récupérer un compte.

Ce mécanisme peut être considéré comme fiable. En effet, ces codes sont transmis à l’utilisateur très rarement, ce qui réduit au minimum les possibilités d’interception. Les codes sont aléatoires, ce qui signifie qu’ils sont uniques, il est donc presque impossible de les deviner.

Cependant, il reste le problème du stockage : si des pirates informatiques parviennent à voler votre liste de codes prégénérés, il leur sera extrêmement facile de détourner votre compte ou de vous voler de l’argent.

Liste des codes à usage unique prégénérés pour la vérification des opérations bancaires

Pour cette raison, les codes de confirmation à usage unique sont à conserver dans un coffre-fort ou dans son équivalent numérique. Par exemple, Kaspersky Password Manager permet de stocker des notes chiffrées. Si vous enregistrez la liste des codes à usage unique dans ces notes, ceux-ci seront protégés en toute sécurité, à condition, bien sûr, de définir un mot de passe principal unique et robuste pour Kaspersky Password Manager.

Cependant, le principal inconvénient de ce mode d’authentification est que si vous avez souvent besoin de vérifications, vous vous retrouverez vite à court de codes prégénérés. Vous devrez donc en générer et en enregistrer toujours davantage. Si vous gérez plusieurs comptes, vous risquez de vous perdre dans toutes ces listes. Par conséquent, les codes générés comme méthode principale d’authentification ont été remplacés par des codes générés sur demande, au fur et à mesure que vous en avez besoin.

Codes à usage unique provenant d’une application d’authentification

La génération « à la volée » de codes à usage unique est assurée par les authentificateurs. Il s’agit parfois d’appareils autonomes avec un petit écran qui affiche le code actif — certaines banques fournissent de tels authentificateurs à leurs clients.

Cependant, de nos jours, les applications d’authentification spéciales exécutées sur les smartphones sont plus populaires que les appareils autonomes. Nous proposons un certain nombre d’articles à leur sujet :

• Les applications d’authentification et leur fonctionnement
• Les meilleures applications d’authentification pour Android, iOS, Windows et macOS
• Authentification par codes à usage unique : le pour et le contre
• Que faire si vous perdez votre téléphone disposant d’une application d’authentification ?

Par conséquent, si vous cherchez des informations sur le fonctionnement de cette méthode d’authentification, sur la manière de choisir une application d’authentification et sur les points à garder en tête une fois que vous en installez une, suivez les liens ci-dessus. En attendant, je me contenterai de préciser brièvement que les applications d’authentification offrent un compromis optimal entre commodité et sécurité, ce qui les rend de plus en plus populaires.

Google Authenticator : le plus connu, mais de loin pas la seule application d’authentification

Données biométriques : empreinte digitale, visage ou voix

Il n’y a pas si longtemps, pour la plupart des gens, l’authentification biométrique était un concept nouveau. Cependant, les choses ont changé assez rapidement : la plupart des smartphones permettent aujourd’hui de s’authentifier soit par empreinte digitale, soit par reconnaissance faciale, ce qui n’est en rien surprenant.

Toutefois, certaines méthodes biométriques peuvent vous sembler inhabituelles : l’authentification par voix, l’iris, les pas et les habitudes dactylographiques. Pour les plus originales, on peut citer les recherches menées sur l’authentification par les odeurs (même si elle ne fonctionne pas très bien) !

L’authentification biométrique présente quelques inconvénients notables. Premièrement : elle s’appuie sur des données permanentes de l’utilisateur. Il est possible de modifier un mot de passe compromis. Vous pouvez même le modifier plusieurs fois pour des raisons de sécurité. Par contre, une empreinte digitale enregistrée ne peut être modifiée qu’un nombre limité de fois : les tentatives se comptent littéralement sur les doigts de deux mains.

Le deuxième problème important réside dans le fait que les données biométriques sont extrêmement sensibles, à la fois parce qu’elles sont inaltérables et parce qu’elles permettent non seulement d’authentifier un utilisateur, mais également d’identifier une personne. La collecte et le transfert de ces données vers des services numériques doivent donc être abordés avec la plus grande prudence.

C’est pourquoi les données biométriques sont normalement utilisées pour une authentification locale : elles sont stockées et traitées sur l’appareil pour éviter qu’elles soient transmises ailleurs. Pour l’authentification biométrique à distance, le service numérique devrait faire confiance au fournisseur de l’appareil, ce que les services ne souhaitent généralement pas faire. Le résultat est le suivant : seul Apple dispose d’un mécanisme d’authentification biométrique à distance complet, car l’entreprise contrôle entièrement son écosystème, du développement des logiciels à la fabrication des appareils.

Connexion par empreinte digitale : une pratique courante de nos jours

Néanmoins, l’authentification biométrique présente un avantage important qui l’emporte sur ses inconvénients. Correctement mise en œuvre, elle simplifie considérablement la vie de l’utilisateur : plus besoin de saisir des caractères, il suffit d’appuyer votre doigt sur le capteur ou de présenter votre visage à l’appareil photo. Cette méthode est également plutôt fiable — encore une fois, à condition d’être correctement mise en œuvre.

Localisation

Un autre type d’authentification de l’utilisateur est la localisation. Il n’est pas nécessaire d’activer cette méthode : elle est activée par défaut. C’est pourquoi elle passe généralement inaperçue, et la personne n’est avertie que si l’opération échoue, c’est-à-dire si la tentative de connexion provient d’un lieu inattendu. Auquel cas, le service peut requérir l’utilisation d’un moyen complémentaire de vérification.

Bien entendu, la localisation n’est pas un facteur d’authentification très fiable. D’abord, elle n’est pas vraiment unique, car plusieurs personnes peuvent se trouver au même endroit à un moment donné. Deuxièmement, elle est assez facile à manipuler, surtout lorsqu’il s’agit de la localisation basée sur l’adresse IP, et non de la géolocalisation GPS à proprement parler. Cependant, la localisation peut être utilisée comme l’un des facteurs d’authentification, et de nombreux services y ont recours.

Clés matérielles FIDO U2F (alias YubiKey)

Les options d’authentification décrites ci-dessus présentent un inconvénient majeur : elles permettent d’authentifier l’utilisateur, mais pas le service. Elles sont donc vulnérables aux attaques de l’homme du milieu.

Les attaquants peuvent créer une fausse page imitant de près le mécanisme de connexion du service actuel. Une fois que l’utilisateur a transmis son nom d’utilisateur et son mot de passe, les malfaiteurs utilisent rapidement ces données pour se connecter au site Internet réel. Ensuite, l’utilisateur sera invité à saisir le code de vérification et, en un rien de temps, le compte de la victime aura été piraté.

Pour faire face à ce type de menaces, les clés FIDO U2F ont été créées, également connues sous le nom de leur modèle le plus populaire, YubiKey. Le principal avantage de cette méthode réside dans le fait que, lors de l’enregistrement, le service et la clé U2F retiennent certaines informations qui sont uniques pour chaque service et chaque utilisateur. Plus tard lors de l’authentification, le service doit envoyer une requête propre à la clé, à laquelle la clé ne répondra que si cette requête est correcte.

Ainsi, les deux parties de cette communication comprennent si celle-ci est légitime ou non. De plus, ce mécanisme d’authentification repose sur la cryptographie à clé ouverte, donc l’ensemble du processus est bien protégé contre la falsification, l’interception et les menaces similaires.

Une paire de clés FIDO U2F : Yubico YubiKey (à gauche) et Google Titan (à droite)

Avantage supplémentaire : même si la technologie est assez sophistiquée et utilise une cryptographie inconditionnelle sous-jacente, tout semble très simple en apparence, du point de vue de l’utilisateur. Il suffit de brancher la clé dans une prise USB (ou de la tenir à proximité de votre smartphone – ces clés prennent souvent en charge la technologie NFC) et d’appuyer avec le doigt sur la clé pour terminer l’authentification.

L’utilisation de clés matérielles U2F est la méthode d’authentification la plus fiable disponible à ce jour et une option recommandée pour les comptes de grande valeur. C’est ce qui se fait chez Google : tous les employés de l’entreprise utilisent de telles clés pour leur compte professionnel depuis plus de cinq ans maintenant.

Clés d’authentification FIDO : le futur sans mots de passe

Il n’est pas facile, mais possible, de rendre l’authentification par clé matérielle obligatoire pour tous les employés de votre organisation. Pourtant, cette méthode n’est pas du tout adaptée aux millions d’utilisateurs réguliers du Web. Les utilisateurs ordinaires sont souvent gênés par la simple idée d’une authentification à deux facteurs, sans parler de l’achat d’un équipement spécial.

C’est pourquoi la même Alliance FIDO, le créateur des clés U2F, a développé une nouvelle norme d’authentification qui utilise des  » clés d’authentification  » au lieu des mots de passe. Pour faire simple, la technologie est à peu près identique à celle des clés U2F, à la différence près que vous n’avez pas besoin d’appareil spécial pour stocker les données d’authentification.

Vous pouvez stocker les clés d’authentification pratiquement n’importe où : dans un smartphone, un ordinateur, un profil utilisateur du navigateur ou, à l’ancienne, dans une clé USB. Vous pouvez choisir de les synchroniser via le cloud ou de ne pas les synchroniser du tout, si vous optez pour le mode code d’accès unique.

Bien évidemment, cette longue liste de possibilités de stockage rend les clés d’authentification un peu moins sécurisées. À quel point ? Cela dépend de la combinaison d’équipements et de services que vous utilisez.

En compensation, les utilisateurs profitent de ce précieux avantage : les clés d’authentification ne complètent pas les mots de passe des comptes, elles les remplacent. De plus, cette authentification reste une authentification à plusieurs facteurs : en plus de posséder un appareil utilisé pour stocker vos clés d’authentification, vous devez valider la connexion à l’aide de données biométriques (si votre dispositif les prend en charge) ou d’un code PIN pour déverrouiller votre appareil. Comme vous pouvez le constater, il n’est pas possible de se passer complètement de mots de passe dans certains cas, mais les clés d’authentification permettent au moins d’en réduire considérablement le nombre.

Le principal problème de cette approche est que, jusqu’à présent, elle fonctionne comme un patchwork. Différentes plateformes et services utilisent des approches très différentes du stockage des données, de l’authentification des utilisateurs et de la sécurité dans son ensemble. Ainsi, au lieu d’une seule méthode, on en utilise plusieurs, dont la fiabilité varie considérablement.

Il serait donc un peu prématuré de passer complètement aux clés d’authentification. Cependant, vous pouvez déjà les essayer : il y a quelque temps, Google a annoncé la prise en charge complète des clés d’authentification par les comptes Google.

Quelles sont les meilleures méthodes d’authentification à deux facteurs et les autres points à retenir ?

Pour conclure, voici les points essentiels :

• En 2023, l’authentification à deux facteurs n’est plus un luxe, mais une nécessité vitale. Utilisez-la dans la mesure du possible.
• Il vaut mieux utiliser n’importe quelle méthode d’authentification à deux facteurs que de ne pas en utiliser du tout.
• Les applications d’authentification conviennent parfaitement à l’authentification bidirectionnelle.
• Une clé matérielle FIDO U2F (Yubico YubiKey, Google Titan ou autre) est une option encore plus intéressante. Surtout pour les comptes de grande valeur.
• Vous pouvez déjà tester les clés d’authentification, mais il semble un peu tôt pour adopter pleinement cette technologie.
• C’est pourquoi il faut toujours utiliser les mots de passe avec prudence : privilégiez les mots de passe complexes, ne les réutilisez pas pour plusieurs services et protégez-les à l’aide d’un gestionnaire de mots de passe.
• Et bien sûr, n’oubliez pas que la plupart des méthodes d’authentification à deux facteurs (autres que U2F et les clés d’authentification) sont vulnérables aux attaques de phishing. Utilisez donc une solution fiable qui élimine automatiquement les menaces, telle que Kaspersky Premium.