Authentification à deux facteurs: sachez l’utiliser pour sécuriser vos accès

On connaît tous l’importance de la protection des données personnelles que nous devons utiliser sur les services en ligne sans cesse plus nombreux. Si la sécurité par mots de passe offre une certaine protection, l’authentification à deux facteurs la renforce grandement. 

Par définition, l’authentification est une procédure de contrôle consistant à vérifier et à valider l'identité d'une entité qui fait une demande d'accès à un réseau, à un système informatique ou à un logiciel.

Pour la renforcer, il faut lui attribuer des facteurs, plus ils sont nombreux, plus l’authentification est sûre.

À cette fin, l’authentification fait appel à des choses que l’on sait (un mot de passe) que l’on possède (un appareil mobile) et à ce que l’on est (une empreinte digitale ou une image rétinienne). Gros problème avec les empreintes digitales et les images rétiniennes, si un pirate en obtient une copie numérique, vous êtes compromis à jamais, alors qu’un mot de passe, bien que moins sûr, est facile à remplacer.

Dans la majorité des cas, l’authentification à deux facteurs (A2F) utilise un mot de passe et un appareil mobile dans lequel une application dédiée génère un code de six chiffres qui change toutes les 30 secondes.

Comment sont générés les codes ?   

Après avoir entré vos identifiant et mot de passe, vous avez donc 30 secondes pour inscrire le code généré par l’application d’authentification, lequel sera identique par le service auquel vous vous connectez.

Les applications mobiles les plus connues sont Google Authenticator, Authenticator (de Microsoft) et Authy. Dans mon téléphone, il y en a une quatrième, OneAuth, de Zoho.

Si vous préférez une application A2F qui ne soit pas liée à un grand groupe, FreeOTP est disponible pour les mobiles iOS iPhone et Android.

Et chaque application d’authentification peut gérer plusieurs services en ligne qui y ont recours, par exemple, Facebook, Uber, etc.

Même les éditeurs de jeux vidéo les utilisent, comme Epic Games pour son populaire jeu Fornite.

Sans entrer dans les rouages du chiffrement, les codes qui ne sont pas réellement aléatoires sont générés par des algorithmes temporels, donc basés sur un intervalle de temps.

Pour que cela fonctionne, les horloges de l’appareil mobile et du serveur sont à peu près synchronisées et le code généré le sera par le nombre de périodes de temps écoulées. Gros avantage des algorithmes A2F, vous pouvez débloquer l’accès d’un service même en étant hors ligne, à mille lieues d’une tour ou de votre routeur, parce que la clé est stockée dans votre appareil.

Vous êtes donc assurés pendant 30 secondes que le code unique apparaissant à votre écran correspondra à celui des algorithmes du serveur.

Au départ, un code image QR   

Si un site propose ce type d'authentification A2F, il vous montrera un code QR contenant la clé secrète qu’il suffit de numériser avec l’application d’authentification.

Si vous avez plusieurs téléphones, vous pouvez le numériser plusieurs fois; vous pouvez également enregistrer l'image dans un endroit sûr ou l'imprimer si vous avez besoin d'une sauvegarde.

Par la suite, un code à 6 chiffres est généré par votre application toutes les 30 secondes.

Tout n’est pas parfait...   

Désavantages de l’A2F, si votre téléphone est mort ou volé, l’accès à vos services est impossible, à moins de recourir à ces alternatives :   

• Avoir en main une copie du code QR original;   
• Avoir sauvegardé ou imprimé dès le départ les codes de secours du service;   
• Ou avoir activé l’authentification par SMS sur le service.      

Cela dit, l’A2F n’est pas à l’épreuve des pirates, malgré son efficacité. Selon le site CSO, une bonne dizaine de stratagèmes peuvent être utilisés pour s’emparer de vos données.

Par exemple, avec une cyberattaque par interception (man-in-the-middle) qui consiste à intercepter les communications entre deux parties. Ici, un pirate parvient à vous inciter à visiter son site Web frauduleux et à vous demander vos informations d’authentification A2F. S’il réussit, vous êtes cuit.

Cette vidéo en anglais en fait la démonstration en six minutes.

Et n’oubliez pas d’exporter vos comptes   

On n’y pense pas, mais on finit tous par remplacer ses appareils un jour ou l’autre. Et vos comptes gérés par authentification ne se transféreront pas par magie.

Pour cela, les applications A2F permettent l’exportation des comptes. Par exemple, en tapant les trois points dans le coin supérieur droit, l’appli Google Authenticator offre d’en exporter jusqu’à 10 simultanément.