L’authentification à deux facteurs

Emails, comptes bancaires, réseaux sociaux, boutiques en ligne, services cloud, etc… notre monde numérique s’élargit de jour en jour et nous y plaçons de plus en plus de données sensibles.

Malheureusement encore trop peu d’utilisateurs sont sensibilisés à la sécurité et avec l’explosion des services en ligne, le risque potentiel croît encore plus vite. Si à l’école, on montre tôt aux élèves comment créer leur adresse email, personne ne leur donne de clés pour choisir un mot de passe sûr, qui leur éviterait des désagréments ultérieurs…

Entre ceux qui n’ont pas conscience des risques réels d’un mot de passe basique et ceux qui capitulent devant la création d’un mot de passe long et complexe impossible à retenir, le mot de passe et son utilisateur restent le maillon le plus faible de la chaîne de sécurité, comme l’a indiqué récemment Dropbox.

L’authentification forte, à double facteur (2FA pour 2-Factor Authentication), mise en avant par de nombreux services est encore trop peu utilisée. Essayons de comprendre comment cela fonctionne et pourquoi il ne faut pas en avoir tellement peur, au contraire.

Un mot de passe, un facteur : comme une lettre à la Poste

Juste un mot de passe : trop facile à voler !

La méthode d’authentification la plus répandue est bien entendu le mot de passe mais son manque de fiabilité n’est pas nouveau et n’a pas de lien spécifique à l’informatique.

Vous vous souvenez d’Ali Baba ? La bande des quarante voleurs fût une des premières victimes d’un vol de mot de passe lors de la phase d’authentification ! Et pour un mot de passe, contrairement à un objet personnel, vous ne saurez pas qu’on vous l’a volé tant que le malandrin ne fera pas de “grosse bêtise”, comme Cassim, le frère d’Ali Baba, surpris par les voleurs.

En informatique, les méthodes pour trouver un mot de passe vont bien au-delà du fait d’écouter aux portes et une chaîne de caractères qui paraissait sûre il y a quelques années l’est de moins en moins.

Donc, juste avec un mot de passe quel qu’il soit, s’il est découvert, vous l’aurez dans le baba comme le frère d’Ali. Il est donc nécessaire de se doter d’une méthode d’authentification plus sécurisée, comme par exemple, en ajoutant une étape ou un “facteur” d’authentification supplémentaire.

L’aide d’un facteur indépendant

Le mot de passe, à lui seul, n’étant pas une solution assez sûre, il convient d’ajouter à cet élément que “vous connaissez” un élément que “vous avez” comme par exemple un téléphone mobile ou un ordinateur. Même si ce dernier peut changer de mains, il n’est pas une condition suffisante et c’est la combinaison du “vous connaissez” et du “vous avez” qui constitue la base de l’authentification à double facteur (méthode “2FA”).

Cette méthode vous l’utilisez depuis longtemps : c’est votre carte bancaire quand vous allez au distributeur. Vous connaissez le code ET vous avez la carte, sans ces deux éléments, l’impavide distributeur ne crachera aucun billet de votre compte personnel.

Deux facteurs : deux étapes, deux méthodes, deux niveaux de sécurité

Pour ce qui est des services en ligne, la méthode “2FA” se présente sous deux formes : l’appareil lui-même qui sert de second facteur (comme chez Apple avec iOS 9 et El Capitan) ou un identifiant unique envoyé à cet appareil (les SMS envoyés par votre banque lors d’un achat en ligne). Un abus de langage courant fait que l’on commence à confondre les deux méthodes sous le nom d’authentification à double facteur.

Dans sa documentation, Apple distingue bien ces deux solutions : la première est nommée “authentification à deux facteurs” et la seconde “vérification en deux étapes”.

La vérification en deux étapes

La vérification en deux étapes (“two-step verification”) est largement utilisée à l’heure actuelle et trop souvent considérée comme une méthode à double facteur.
Cette vérification repose sur votre mot de passe et un code transmis par SMS la plupart du temps.

verification-deux-etapes

Dans l’absolu on retrouve le concept du “vous connaissez” et “vous avez” mais ce “vous avez” s’apparente plus à un “vous recevez” qui pourrait être intercepté par la voie des airs. Le SMS est envoyé à votre numéro, pas à votre téléphone, distinction importante !

Utilisée par Facebook, Google, Dropbox, Apple et de très nombreux autres services, cette méthode peut paraître fastidieuse, mais propose un niveau de sécurité déjà bien supérieur au “simple” mot de passe.

L’authentification à deux facteurs, “la vraie”

Si Apple ne donne pas moult détails sur la manière dont fonctionne son “authentification à deux facteurs”, on suppose (du fait des deux terminologies employées) que celle-ci repose sur la création de clés sur l’appareil qui rendent le second élément impossible à intercepter.

authentification-deux-etapes

Lors de la mise en place de cette méthode 2FA sur les appareils supportés (iOS 9, El Capitan, watchOS 2 ou tvOS), Apple vérifie “votre identité” par un code à six chiffres. À partir de cet instant, toute action liée à votre compte Apple (achat sur l’App Store, connexion à iCloud, etc) ne nécessitera plus que le mot de passe du compte (que vous connaissez) et l’appareil autorisé (que vous avez).

Cette méthode, utilisée également par l’application Google Authenticator, est une méthode d’authentification à deux facteurs à la fois plus sûre et plus pratique (pas de double saisie).

Au pire, les mots de passe au coffre !

Ces méthodes à double facteur, qui peuvent sembler encore trop obscures ou fastidieuses à mettre en oeuvre, sont amenées à se généraliser et pour certains services, vous n’avez même déjà plus le choix (avec le paiement par Internet 3D Secure par exemple).
En attendant, le mot de passe n’est pas mort et il existe de nombreuses techniques pour assurer un peu mieux sa sécurité en ligne.

Rappel des bases

Parmi les poncifs du genre :
– choisissez un mot de passe long
– quelque chose qui n’a pas de rapport unique et direct avec vous (nom du chien, marque de la voiture, date de naissance)
jouez la variété en mélangeant minuscules, majuscules et chiffres

Mieux encore, vous pouvez même jouer à remplacer des caractères par des symboles proches en matière de graphie : un zéro pour remplacer la lettre O, un point d’exclamation (!) fait un très bon “i” retourné, l’arobase, le chiffre 3, etc. Cela ne fait pas tout mais le mot de passe “Slice42” devenu “Sl!ceA2” sera un peu plus difficile à trouver et si vous ajoutez votre préférence sous la forme de “Jad0reSl!ceA2.com”, vous gagnez en sécurité (et toute notre reconnaissance au passage ;)).

Une mémoire numérique

Malgré tout, les méthodes classiques citées ci-dessus, resteront insuffisantes aux yeux des spécialistes de la sécurité. En suivant leurs conseils, vous ne devriez pas utiliser deux fois le même mot de passe ni avoir de mot de passe “intelligible” (nos exemples sont donc à jeter).

1password-securite

Mais à partir de là, c’est la mémoire qui risque de vous faire défaut et vous n’aurez d’autre choix que d’utiliser une “application coffre” telle que 1Password pour stocker tous vos identifiants et mots de passe et au passage, les générer aléatoirement pour plus de sécurité.

Une sécurité à deux vitesses

Tout interdit est fait pour être bravé et, quelle que soit la méthode, une faille finira par être trouvée, relançant le jeu du chat et de la souris.

En attendant, faites la part des choses et considérez la sécurité de vos informations avec attention en utilisant la méthode la plus sûre pour les informations qui présentent le plus de risques. Votre compte Apple, votre compte bancaire ou votre adresse email nécessitent une attention “sécuritaire” plus grande que le compte qui stocke les scores de votre jeu préféré (sauf peut-être s’il s’agit du Playstation Network, connu pour sa légendaire « perméabilité”).

À suivre : la mise en place de l’authentification à deux facteurs pour votre compte Apple.

Si vous désirez en savoir plus sur le thème, voici la liste des sources utilisées pour la rédaction de cet article :
Authentification à deux facteurs pour l’identifiant Apple
La vérification en deux étapes pour l’identifiant Apple
IDGAnswers
Two-Step vs. Two-Factor Authentication et Two-factor Authentication vs. Two-step Verification
Double duty: true two-factor authentication explained
Two-factor authentication: Understanding the options

2 COMMENTAIRES

À vous la parole !

Fermer
*
*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.