Les experts en s\u00e9curit\u00e9 de l\u2019information ont longtemps \u00e9t\u00e9 d\u2019accord sur le fait que les applications d\u2019authentification sont la solution d\u2019authentification \u00e0 deux facteurs avec un code \u00e0 usage unique la plus fiable. La plupart des services proposent cette m\u00e9thode comme deuxi\u00e8me couche de protection du compte alors que, dans certains cas, l\u2019authentification \u00e0 deux facteurs par l\u2019envoi d\u2019un mot de passe g\u00e9n\u00e9r\u00e9 par une application est la seule option disponible.<\/p>\n
On aborde rarement les raisons pour lesquelles les codes \u00e0 usage unique sont consid\u00e9r\u00e9s comme si s\u00fbrs, ce qui am\u00e8ne le soul\u00e8vement de certaines questions l\u00e9gitimes\u00a0: est-ce vraiment une bonne option, \u00e0 quel point sont-ils fiables, quels dangers doivent \u00eatre pris en compte et les aspects \u00e0 ne pas oublier lorsque cette m\u00e9thode d\u2019authentification \u00e0 deux facteurs est utilis\u00e9e. Cet article cherche avant tout \u00e0 r\u00e9pondre \u00e0 toutes ces questions.<\/p>\n
\u00a0<\/p>\n
Ces applications fonctionnent g\u00e9n\u00e9ralement de la fa\u00e7on suivante\u00a0: le service sur lequel vous souhaitez vous authentifier et l\u2019application d\u2019authentification partage un nombre\u00a0; une cl\u00e9 secr\u00e8te qui se trouve dans un QR code que vous utilisez pour activer l\u2019authentification pour ce service dans l\u2019application. L\u2019application d\u2019authentification et le service utilisent en m\u00eame temps le m\u00eame algorithme pour g\u00e9n\u00e9rer un mot de passe \u00e0 partir de la cl\u00e9 et de l\u2019heure actuelle.<\/p>\n
Lorsque vous saisissez le code g\u00e9n\u00e9r\u00e9 par l\u2019application, le service le compare avec celui qu\u2019il a lui aussi g\u00e9n\u00e9r\u00e9. Si les codes sont les m\u00eames, tout est en ordre et vous pouvez acc\u00e9der au compte. L\u2019acc\u00e8s n\u2019est pas autoris\u00e9 s\u2019ils ne sont pas identiques. De plus, lorsque vous connectez l\u2019application d\u2019authentification via un QR code, beaucoup d\u2019informations sont partag\u00e9es en plus de la cl\u00e9 secr\u00e8te. Le temps restant avant que le code \u00e0 usage unique n\u2019expire, qui est g\u00e9n\u00e9ralement de 30 secondes, est un de ces renseignements.<\/p>\n
L\u2019information la plus importante, autrement dit la cl\u00e9 secr\u00e8te, n\u2019est envoy\u00e9e qu\u2019une seule fois\u00a0: lorsque le service s\u2019associe \u00e0 l\u2019application d\u2019authentification, puis les deux parties la conservent. Autrement dit, lors de chaque nouvelle connexion au compte, le service ne transmet aucune information \u00e0 votre application d\u2019authentification, donc il n\u2019y a rien \u00e0 intercepter. En r\u00e9alit\u00e9, les application d\u2019authentification n\u2019ont pas besoin d\u2019avoir acc\u00e8s \u00e0 Internet pour r\u00e9aliser leur fonction principale. En th\u00e9orie, un cybercriminel ne peut obtenir que le mot de passe \u00e0 usage unique actuel que le syst\u00e8me g\u00e9n\u00e8re pour que vous vous connectiez. Et ce code n\u2019est valable que pendant une demi-minute.<\/p>\n
Nous avons d\u00e9j\u00e0 expliqu\u00e9 plus en d\u00e9tail le fonctionnement des applications d\u2019authentification dans un autre article<\/a>. Nous vous invitons \u00e0 le lire si vous souhaitez en savoir plus sur les normes d\u2019authentification, sur les informations que contiennent les QR codes pour \u00e9tablir la connexion et sur les services compatibles avec les applications d\u2019authentification les plus courantes.<\/p>\n \u00a0<\/p>\n R\u00e9sumons les principaux avantages des codes d\u2019authentification \u00e0 usage unique via une application\u00a0:<\/p>\n Comme vous pouvez le constater, le service a \u00e9t\u00e9 tr\u00e8s bien pens\u00e9. Les d\u00e9veloppeurs ont fait tout leur possible pour le rendre aussi s\u00fbr que possible. Mais aucune solution n\u2019est parfaitement s\u00e9curis\u00e9e. M\u00eame si vous vous authentifiez \u00e0 l\u2019aide d\u2019un code g\u00e9n\u00e9r\u00e9 par l\u2019application, il y a certains risques et vous devez prendre quelques pr\u00e9cautions. C\u2019est ce dont nous allons parler maintenant.<\/p>\n \u00a0<\/p>\n\n \u00a0<\/strong><\/p>\n J\u2019ai dit un peu plus haut que l\u2019authentification via un code \u00e0 usage unique g\u00e9n\u00e9r\u00e9 par une application est une protection efficace contre la divulgation des mots de passe. Malheureusement, les choses ne sont pas aussi simples. Il y a une nuance fondamentale qui s\u2019explique par le fait que les services ne veulent g\u00e9n\u00e9ralement pas perdre leurs utilisateurs \u00e0 cause d\u2019un petit d\u00e9tail emb\u00eatant\u00a0: la perte de l\u2019authentification. \u00c7a peut arriver \u00e0 tout le monde. D\u2019ailleurs, ces services offrent g\u00e9n\u00e9ralement une autre m\u00e9thode de connexion au compte\u00a0: envoi d\u2019un code \u00e0 usage unique ou d\u2019un lien \u00e0 l\u2019adresse e-mail associ\u00e9e pour confirmer la connexion.<\/p>\n Cela signifie qu\u2019en cas de fuite, si les cybercriminels connaissent le mot de passe et l\u2019adresse e-mail associ\u00e9s, ils peuvent essayer d\u2019utiliser cette autre m\u00e9thode pour se connecter au compte. Si votre adresse e-mail n\u2019est pas bien prot\u00e9g\u00e9e, surtout si vous utilisez le m\u00eame mot de passe pour plusieurs comptes et n\u2019avez pas activ\u00e9 l\u2019authentification \u00e0 deux facteurs, il est fort probable que les cybercriminels puissent contourner la saisie du code \u00e0 usage unique g\u00e9n\u00e9r\u00e9 par l\u2019application.<\/p>\n Ce que vous devriez faire\u00a0:<\/p>\n \u00a0<\/p>\n Quelqu\u2019un pourrait discr\u00e8tement regarder ce que vous faites lorsque vous utilisez une application d\u2019authentification et voir le code \u00e0 usage unique. De plus, cette personne verra plusieurs codes puisque ces applications en affichent g\u00e9n\u00e9ralement plusieurs \u00e0 la suite. L\u2019intrus pourrait se connecter \u00e0 n\u2019importe lequel de ces comptes apr\u00e8s avoir vu le code. \u00c9videmment, les cybercriminels n\u2019auront pas beaucoup de temps pour utiliser l\u2019information qu\u2019ils ont pu voir. C\u2019est toujours mieux que de ne rien tenter. Ces 30 secondes pourraient \u00eatre suffisantes pour un hacker habile\u2026<\/p>\n La situation est encore plus dangereuse si quelqu\u2019un arrive \u00e0 mettre la main sur un smartphone d\u00e9verrouill\u00e9 et \u00e9quip\u00e9 d\u2019une application d\u2019authentification. Dans ce cas, cette personne pourrait en profiter pour se connecter aux comptes sans avoir \u00e0 se d\u00e9p\u00eacher et sans rencontrer de probl\u00e8me.<\/p>\n Voici comment vous pouvez minimiser les risques\u00a0:<\/p>\n \u00a0<\/p>\n La plupart des sites d\u2019hame\u00e7onnage con\u00e7us pour les attaques de masse sont assez primitifs. Leurs cr\u00e9ateurs sont g\u00e9n\u00e9ralement satisfaits s\u2019ils volent les identifiants et les mots de passe, puis les revendent en gros \u00e0 un prix tr\u00e8s bon march\u00e9 sur le Dark Web. \u00c9videmment, l\u2019authentification \u00e0 deux facteurs est la protection parfaite contre cette technique de cybercriminalit\u00e9\u00a0: m\u00eame si quelqu\u2019un obtient vos identifiants de connexion, ils s\u2019av\u00e8rent inutiles sans le code \u00e0 usage unique g\u00e9n\u00e9r\u00e9 par l\u2019application.<\/p>\n Pourtant, sur les sites d\u2019hame\u00e7onnage plus plausibles et plus minutieusement con\u00e7us, surtout ceux pens\u00e9s pour des attaques cibl\u00e9s, les escrocs peuvent aussi imiter le m\u00e9canisme de v\u00e9rification de l\u2019authentification \u00e0 deux facteurs. Dans ce cas, ils interceptent l\u2019identifiant, le mot de passe et le code \u00e0 usage unique. Ensuite, les cybercriminels se connectent rapidement au compte de la victime alors que le site d\u2019hame\u00e7onnage affiche un message d\u2019erreur et invite l\u2019utilisateur \u00e0 r\u00e9essayer.<\/p>\n Malheureusement, malgr\u00e9 cette simplicit\u00e9 apparente, l\u2019hame\u00e7onnage reste une technique extr\u00eamement efficace pour les hackers, et il peut s\u2019av\u00e9rer difficile de vous prot\u00e9ger contre ces versions d\u2019arnaques sophistiqu\u00e9es. Nous pouvons tout de m\u00eame vous donner quelques conseils g\u00e9n\u00e9raux\u00a0:<\/p>\n \u00a0<\/p>\n\n Pour parler gentiment, les gens n\u2019appr\u00e9cient pas vraiment tout le processus d\u2019authentification. Ainsi, les services essaient de ne pas emb\u00eater les utilisateurs inutilement. En r\u00e9alit\u00e9, dans la plupart des cas, vous n\u2019avez qu\u2019\u00e0 vous authentifier avec votre mot de passe et \u00e0 saisir le code de confirmation seulement la premi\u00e8re fois que vous vous connectez \u00e0 votre compte depuis un nouveau dispositif. On vous le demandera peut-\u00eatre \u00e0 nouveau, par exemple si vous avez accidentellement supprim\u00e9 les cookies de votre navigateur.<\/p>\n Une fois que la connexion a \u00e9t\u00e9 effectu\u00e9e avec succ\u00e8s, les services sauvegardent un petit cookie<\/a> sur votre ordinateur, qui contient un nombre long et extr\u00eamement confidentiel. C\u2019est d\u00e9sormais ce que votre navigateur montre au service pour confirmer l\u2019authentification. Si quelqu\u2019un arrive \u00e0 voler ce fichier, il peut s\u2019en servir pour se connecter \u00e0 votre compte. Il n\u2019aura pas besoin d\u2019un mot de passe ni d\u2019un code \u00e0 usage unique.<\/p>\n Ces fichiers, ainsi que diverses informations suppl\u00e9mentaires comme les mots de passe sauvegard\u00e9s dans le navigateur, les cl\u00e9s des portefeuilles de cryptomonnaie ou d\u2019autres outils similaires, peuvent \u00eatre vol\u00e9s \u00e0 l\u2019aide d\u2019un cheval de Troie stealer<\/em><\/a>. Si par malchance votre ordinateur est infect\u00e9 par un stealer<\/em>, vos comptes risquent d\u2019\u00eatre pirat\u00e9s, m\u00eame si vous avez pris toutes les pr\u00e9cautions n\u00e9cessaires.<\/p>\n Pour \u00e9viter que \u00e7a n\u2019arrive\u00a0:<\/p>\n \u00a0<\/p>\n Vous pouvez aussi perdre l\u2019acc\u00e8s \u00e0 vos comptes \u00e0 cause d\u2019une protection trop importante. Ce pourrait \u00eatre le cas si vous avez perdu l\u2019application d\u2019authentification et que vous n\u2019avez autoris\u00e9 l\u2019acc\u00e8s \u00e0 votre compte qu\u2019\u00e0 l\u2019aide d\u2019un code g\u00e9n\u00e9r\u00e9 par l\u2019application. Dans ce cas, vous pourriez d\u00e9finitivement perdre l\u2019acc\u00e8s \u00e0 vos comptes et \u00e0 vos informations. Ou du moins vous allez avoir de longues et douloureuses conversations avec l\u2019assistance pour restaurer l\u2019acc\u00e8s<\/a>.<\/p>\n Vous pourriez perdre l\u2019acc\u00e8s \u00e0 votre application d\u2019authentification dans diverses circonstances\u00a0:<\/p>\n Tous ces \u00e9v\u00e9nements sont impr\u00e9visibles, donc il vaut mieux vous pr\u00e9parer en avance pour \u00e9viter de souffrir ces cons\u00e9quences d\u00e9sagr\u00e9ables\u00a0:<\/p>\n \u00a0<\/p>\n R\u00e9sumons. L\u2019authentification \u00e0 deux facteurs r\u00e9duit s\u00e9rieusement le risque de piratage de vos comptes mais ne garantit pas une protection compl\u00e8te. Il convient donc de prendre quelques pr\u00e9cautions suppl\u00e9mentaires\u00a0:<\/p>\n \u00a0<\/p>\n\n","protected":false},"excerpt":{"rendered":" Nous vous expliquons le fonctionnement de l\u2019authentification \u00e0 deux facteurs avec un code \u00e0 usage unique, les avantages et les risques de cette technique, et les autres mesures \u00e0 adopter pour mieux prot\u00e9ger vos comptes.<\/p>\n","protected":false},"author":2726,"featured_media":20293,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[9,1869],"tags":[1214,4367,282,1639,90,1273,205,4368],"class_list":{"0":"post-20291","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tips","8":"category-technology","9":"tag-2fa","10":"tag-application-dauthentification","11":"tag-authentification-a-deux-facteurs","12":"tag-fuites","13":"tag-hameconnage","14":"tag-kaspersky-password-manager","15":"tag-mots-de-passe","16":"tag-voleurs"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/authenticator-apps-and-security\/20291\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/authenticator-apps-and-security\/25345\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/authenticator-apps-and-security\/20786\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/authenticator-apps-and-security\/27957\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/authenticator-apps-and-security\/25638\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/authenticator-apps-and-security\/26070\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/authenticator-apps-and-security\/28521\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/authenticator-apps-and-security\/34781\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/authenticator-apps-and-security\/47426\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/authenticator-apps-and-security\/20916\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/authenticator-apps-and-security\/29890\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/authenticator-apps-and-security\/25948\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/authenticator-apps-and-security\/31660\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/authenticator-apps-and-security\/31367\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/2fa\/","name":"2FA"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20291","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=20291"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20291\/revisions"}],"predecessor-version":[{"id":20294,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20291\/revisions\/20294"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/20293"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=20291"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=20291"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=20291"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}La 2FA avec un code \u00e0 usage unique est-elle vraiment s\u00fbre ?<\/h2>\n
\n
Les fuites, les adresses e-mail pirat\u00e9es et les autres astuces<\/h2>\n
\n
L\u2019acc\u00e8s physique et les gens qui regardent discr\u00e8tement ce que vous faites<\/h2>\n
\n
Les sites d\u2019hame\u00e7onnage<\/h2>\n
\n
<\/h2>\n
Les programmes malveillants qui volent des informations<\/h2>\n
\n
L\u2019absence de sauvegardes de l\u2019application d\u2019authentification<\/h2>\n
\n
\n
Comment vous prot\u00e9ger<\/h2>\n
\n