Les parcours en ligne les plus sûrs demandent plus d’une étape pour commencer. Bienvenue dans l’authentification multifactorielle (AMF), qui exige plus qu’un mot de passe pour vous connecter. Découvrez pourquoi ce petit effort supplémentaire est très utile dans la lutte contre la cybercriminalité. Saviez-vous que pour vos comptes en ligne, Avira Password Manager gère plus que des mots de passe robustes et uniques ? Il est livré avec un authentificateur pour smartphone qui vous permet de générer facilement des codes sécurisés et de dire « NON » aux accès non autorisés, même si vos identifiants ont été volés.
Qu’est-ce que l’authentification multifactorielle (ou multifacteur) ?
Vous avez des mots de passe complexes et uniques pour tous vos comptes en ligne (n’est-ce pas ?). En matière de sécurité en ligne, vous vous frottez peut-être les mains en vous disant : « Sur ce point, j’ai fait tout ce qu’il fallait ». Pas si vite. C’est un début, mais votre sécurité pourrait être renforcée grâce à l’authentification multifactorielle ou « AMF ». Ainsi que le suggère le préfixe « multi », il s’agit de plusieurs étapes supplémentaires par rapport à un simple mot de passe. Si cela vous semble long et fastidieux, vous n’avez pas tout à fait tort. Mais croyez-nous, cela en vaut la peine, car tout ce qui est un ennui supplémentaire pour vous est un terrible obstacle supplémentaire pour les pirates informatiques qui peuvent être à l’affût pour voler vos données, votre identité, et même vider vos comptes bancaires. Merci de vous joindre à nous pour leur rendre la vie plus difficile.
Pour résumer : l’AMF est un processus de connexion à un compte qui demande aux utilisateurs d’entrer plus d’informations qu’un simple mot de passe. Il vous sera généralement demandé de saisir un code unique envoyé à votre adresse email ou sur votre téléphone portable, de répondre à une question de sécurité ou de scanner une empreinte digitale. Certains utilisateurs soucieux de leur sécurité achètent Titan Security Key sur le Google Store, une solution qui permet de résister au phishing.
Voici la raison pour laquelle on parle de « facteurs » multiples (et non, par exemple, d’étapes multiples). Les méthodes d’authentification dans les technologies de l’information sont appelées facteurs et sont au nombre de trois : un facteur de connaissance (quelque chose que vous savez, comme un mot de passe), un facteur de possession (quelque chose que vous avez, comme une carte ou un appareil) et un facteur d’inhérence (quelque chose qui constitue votre identité, qui se réfère à vos caractéristiques biologiques ou physiques).
Existe-t-il une différence entre l’authentification à deux facteurs (2FA) et l’authentification multifactorielle ? La 2FA ne requiert que deux types d’authentification alors que l’AMF en requiert au moins deux, voire plus. Ainsi, toutes les 2FA sont multifactorielles, mais toutes les AMF ne sont pas des méthodes 2FA ! Et voici un point sur lequel elles sont toutes les deux d’accord : toutes les deux sont plus efficaces qu’un seul facteur.
L’idée derrière l’AMF (et la 2FA) est que si votre mot de passe est piraté, le tiers malintentionné ne sera pas en mesure de se connecter à votre compte (à moins qu’il ne vole votre téléphone avec votre mot de passe, par exemple, ce qui serait vraiment pas de chance). Que se passerait-il si un cybercriminel mettait soudainement la main sur vos mots de passe PayPal ou ceux de vos réseaux sociaux ? Quels dommages pourrait-il causer ? Le personnel de Twitter l’a découvert en 2020 lorsque près de 130 comptes Twitter avaient été violés, et que des pirates informatiques avaient postés des messages offensants sur le fil d’actualité du PDG Jack Dorsey. Voyons pourquoi nous avons tous besoin de plus qu’un simple mot de passe.
Pourquoi l’authentification multifactorielle est-elle si importante pour votre sécurité en ligne ?
Nous menons une vie de plus en plus numérique, et une cybersécurité efficace est essentielle pour la protéger. Il suffit de penser à la masse d’informations stockées sur vous en ce moment même, qu’il s’agisse d’informations personnelles identifiables (IPI), de dossiers médicaux confidentiels ou encore de vos comptes bancaires et cartes de crédit. Les entreprises sont responsables de la propriété intellectuelle, ainsi que des données relatives aux clients et aux employés. Sans parler de tout ce que nous créons nous-mêmes en permanence, comme les photos, les vidéos et les profils sur les réseaux sociaux ! Chaque « octet » est un délice pour les cybercriminels et s’expose donc au vol, à la perte et aux dommages. Il n’est pas seulement question de quelques fichiers supprimés ; l’utilisation abusive des données peut avoir de graves conséquences dans le monde réel : armés d’informations clés telles que votre nom, votre adresse et votre date de naissance, les escrocs peuvent usurper votre identité et ouvrir des comptes bancaires à votre nom. En se servant de vos données de connexion, ils peuvent faire des achats en ligne ou commander des centaines de pizzas. L’usurpation d’identité et la prise de contrôle de comptes ont même gravement porté atteinte à la carrière, à la réputation et à la solvabilité des victimes. Ne prenez pas votre identité numérique à la légère !
Une étude sur la gouvernance informatique a révélé que 3 478 incidents de sécurité divulgués publiquement avaient eu lieu rien qu’au mois de mars 2024. Beaucoup d’entre nous ne font tout simplement pas assez pour se protéger en ligne, et les solutions d’AFM offrent une couche de protection supplémentaire. Si un seul identifiant de connexion est compromis, des utilisateurs non autorisés tomberont au deuxième obstacle de l’authentification et ne pourront pas accéder à l’appareil, au réseau ou à la base de données dans leur ligne de mire.
Quels sont les types d’AMF existants et certains sont-ils plus sûrs ?
L’authentification multifactorielle utilise plusieurs méthodes différentes pour vérifier l’identité des utilisateurs. Voici les plus courantes :
Codes par e-mail et SMS : après avoir saisi votre adresse e-mail, votre nom d’utilisateur et votre mot de passe, vous recevrez un e-mail ou un texto contenant un lien vers une page web de vérification ou un code d’accès unique (OTP). Vous devrez saisir ce code pour vous connecter à votre compte.
Verdict : l’approche traditionnelle est populaire car toute personne disposant d’un compte de messagerie ou d’un téléphone portable peut les utiliser sans avoir à télécharger une autre application. Les pirates informatiques peuvent toutefois intercepter les OTP, par exemple par le biais d’une attaque par échange de carte SIM.
Applications d’authentification (jetons logiciels) : certains sites web et services en ligne utilisent des applications tierces qui génèrent des codes à usage unique sur l’appareil mobile de l’utilisateur afin de vérifier son identité. Google Authenticator et Microsoft Authenticator sont populaires, mais vous trouverez une analyse actuelle des applications d’authentification ici.
Verdict : les experts les considèrent généralement comme moins vulnérables que les codes envoyés par e-mail et texto. Dans de très rares cas, des pirates informatiques se sont introduits chez des fournisseurs d’applications d’authentification ! Authy a été piraté via sa société mère Twilio en 2022, par exemple.
L’outil gratuit Avira Password Managerr associe une gestion experte des mots de passe et un stockage sécurisé à un authentificateur pour smartphone. En plus de créer et de stocker des mots de passe forts et uniques (et de les synchroniser entre vos appareils), il génère également des codes d’accès à usage unique. Ainsi, même si vos identifiants sont divulgués lors d’une fuite de données, vous pouvez dormir sur vos deux oreilles en sachant que vos comptes en ligne restent difficiles d’accès !
Appareils externes (jetons matériels) : ces périphériques ressemblent à des clés USB avec un petit écran qu’on utilise en les branchant sur le port USB d’un ordinateur où ils génèrent un OTP pour chaque tentative de connexion. Les jetons matériels doivent être physiquement présents pour qu’un appareil soit authentifié.
Verdict : les experts tendent à considérer qu’ils sont encore plus sûrs que les jetons logiciels, car les cybercriminels ne peuvent pas les contourner virtuellement. Il faudrait qu’ils les volent ou les reproduisent physiquement !
Authentification biométrique : la phrase « Regarde-moi dans les yeux » n’a jamais été aussi romantique. Les données biométriques, telles que la numérisation de l’iris (œil) et des empreintes digitales, ainsi que la reconnaissance faciale et vocale, sont de plus en plus utilisées pour vérifier l’identité d’un utilisateur. Parce qu’elles reposent sur des caractéristiques physiques, l’utilisateur légitime doit être physiquement présent, ce qui en fait un choix particulièrement sûr.
Verdict : le champion en titre des connexions sécurisées. Votre visage est plus unique que votre mot de passe. Cette méthode d’AMF est également pratique car vous ne pouvez pas oublier d’emporter vos globes oculaires, par exemple, et elle est disponible sur de nombreux appareils. Certains craignent que les dispositifs de faible technicité puissent être usurpés (c’est-à-dire piratés à l’aide d’un échantillon volé à l’utilisateur).
Notification push : une autre méthode d’AMF pratique et sécurisée consiste à envoyer une notification push sur l’appareil mobile de l’utilisateur. Lors de la connexion, l’utilisateur reçoit sur son appareil une invitation à approuver ou à refuser la tentative de connexion. Cette méthode repose sur la possession de l’appareil et est donc moins susceptible d’être interceptée.
Verdict : les notifications push offrent un équilibre entre sécurité et commodité, ce qui en fait un choix populaire pour les implémentations de l’AFM.
Cartes intelligentes : principalement utilisées dans les environnements d’entreprise, elles contiennent des puces intégrées qui stockent les données d’authentification. Les utilisateurs doivent insérer la carte dans un lecteur et saisir un code PIN pour obtenir l’accès.
Verdict : les cartes intelligentes offrent une sécurité robuste mais peuvent être moins pratiques au quotidien. Elles sont particulièrement efficaces dans les scénarios d’authentification sans mot de passe, mais l’utilisateur doit avoir la carte sur lui et se souvenir du code PIN.
Quels sont les avantages de l’authentification multifactorielle ?
Le mieux n’est clairement pas l’ennemi du bien lorsqu’il s’agit de protéger vos données et, si une bonne cybersécurité n’éliminera jamais les risques, elle peut contribuer à les réduire. Nous avons résumé les raisons pour lesquelles cela vaut la peine de donner à votre mot de passe solitaire un allié puissant grâce à l’AMF.
Ajoutez des couches de sécurité supplémentaires à vos comptes en ligne : comme vous l’avez compris, il s’agit d’une question de couches de sécurité. L’AMF en offre davantage. Les cybercriminels doivent réussir à accéder à au moins deux informations d’identification, dont probablement un appareil ou une application. Cela demande plus de compétences, de travail (et de chance).
Contrôlez mieux vos données : les entreprises peuvent être assurées que les informations qu’elles stockent ou partagent avec des tiers sont plus sûres, ce qui les aide à se conformer aux normes de sécurité du secteur. Et en tant qu’utilisateur « normal », vous pouvez dormir plus tranquillement en sachant que vos données en ligne (comme les dossiers médicaux ou fiscaux confidentiels) sont mieux protégées et moins accessibles à des personnes non autorisées.
Télétravaillez en toute sécurité : les employés en télétravail sont une cible de choix pour les cybercriminels qui tentent d’accéder à un système ! L’AMF adaptative peut permettre de les en empêcher en examinant une variété de facteurs (y compris la localisation, le type d’appareil et le comportement de l’utilisateur) au moment de la vérification de l’identité. Nous examinons ci-dessous ce nouveau type d’AMF.
Même avec l’AFM, il est toujours important d’adopter de bonnes pratiques relatives aux mots de passe. Créez des mots de passe uniques et forts pour chacun de vos comptes, stockez-les et gérez-les à l’aide d’un gestionnaire de mots de passe de confiance comme l’outil gratuit Avira Password Manager. Il comprend un authentificateur pour smartphone, ce qui permet d’intégrer l’AMF. (La version premium vous avertit même si votre adresse e-mail a été exposée dans le cadre d’une violation de données). La réutilisation des mots de passe est clairement « à proscrire » car elle permet aux cybercriminels d’accéder plus facilement à plusieurs comptes. L’AMF permet d’atténuer ces risques, mais n’oubliez pas : la combinaison idéale pour sécuriser les données est un mot de passe robuste + l’AMF.
Qu’est-ce que l’AMF adaptative ?
Comme son nom l’indique, l’authentification multifactorielle (AMF) modifie le niveau d’authentification requis en évaluant une série de facteurs. L’AMF « traditionnelle » nécessite donc un ensemble fixe d’étapes, tandis que l’AMF adaptative est dynamique et évalue une série de signaux de risque. Ce n’est pas aussi complexe que cela en a l’air. Voyons ce qui se passe en pratique.
Imaginez que vous êtes un employé qui accède généralement à certaines applications professionnelles et à la base de données de l’entreprise pendant les heures normales de travail. L’AMF adaptative examinerait les stratégies de sécurité qui s’appliquent à un utilisateur comme vous et vous accorderait facilement l’accès que vous demandez. Elle « saurait » que vous êtes censé être là et ne vous poserait pas d’obstacles supplémentaires à franchir. Mais… si les choses changeaient soudainement, cela deviendrait suspect. Par exemple, si vous vous connectez soudainement le week-end, la nuit, à partir d’une autre adresse IP, le système d’AFM déterminera un risque potentiel et vous proposera différentes étapes de sécurité, tels qu’une identification biométrique ou des questions supplémentaires.
Les facteurs évalués par l’AMF adaptative peuvent être répartis dans les catégories suivantes : la géolocalisation (est-ce que vous vous connectez à partir d’un lieu ou d’un appareil différent ?), le type d’appareil (un nouvel ordinateur portable ?), l’heure d’accès (comme pour Cendrillon, des restrictions différentes peuvent s’appliquer après minuit) et, bien sûr, le comportement de l’utilisateur (est-ce que vous essayez soudainement d’accéder à des ressources différentes ou avez-vous mal tapé le mot de passe à plusieurs reprises ?).
Les avantages de l’AMF sont doubles : les entreprises bénéficient d’une sécurité accrue car elles peuvent être (plus) sûres que seuls les utilisateurs autorisés accèdent à leurs données et à leurs réseaux. Les utilisateurs sont soulagés car ils perdent moins de temps à naviguer entre les différentes couches de sécurité (tant qu’ils ne font rien d’inhabituel). Plus de protection et de productivité ? Oui, c’est gagnant–gagnant.
Les systèmes d’AMF adaptative sont également intelligents et utilisent l’intelligence artificielle et l’apprentissage automatique pour évoluer. Ils surveillent en permanence les comportements des utilisateurs et les habitudes d’accès et en tirent des enseignements, ce qui permet d’améliorer la précision des évaluations des risques au fil du temps.
Quels sont les défis de l’AMF ?
Maintenant que vous connaissez bien les avantages de l’authentification multifactorielle, y a-t-il des inconvénients ? Malheureusement, oui, et nous, les humains, sommes généralement le maillon le plus faible des « chaînes » de sécurité qui protègent nos vies en ligne. Si vous utilisez le même mot de passe pour votre e-mail et vos connexions aux applications, cela pose un risque pour l’AFM qui envoie un code sur votre adresse e-mail. Si nous ne sommes pas vigilants, nous pouvons être la proie d’attaques de phishing et d’ingénierie sociale qui pourraient nous inciter à révéler nos identifiants de connexion. Les attaque de type « Man-in-the-middle » tentent d’intercepter les informations d’identification de l’utilisateur lorsqu’elles sont introduites dans le faux réseau d’un pirate informatique. Vous êtes inquiet ? Nous n’avons même pas parlé des enregistreurs de frappe, qui peuvent enregistrer les frappes au clavier et les envoyer à un cybercriminel. De plus, l’AMF peut s’avérer peu pratique pour nous si nous devons franchir plusieurs étapes à chaque fois. Et si notre dispositif principal d’AMF (comme un smartphone) tombe en panne, nous nous retrouverons devant un accès bloqué à nos comptes en ligne. Il n’y a pas de systèmes parfaits, il n’y a que des intentions parfaites.
Que nous réserve l’avenir de l’authentification multifactorielle ?
Les cybermenaces continueront toujours d’évoluer, tout comme nos défenses. Nous espérons vous avoir convaincu qu’un seul mot de passe ne suffit pas ! Heureusement, les innovations en matière d’authentification biométrique et adaptative rendent l’AMF plus sûre, plus transparente et plus pratique que jamais. Rien ne sera jamais infaillible à 100 %, mais les systèmes biométriques multimodaux sont de plus en plus répandus et promettent d’améliorer la précision et la protection en combinant plusieurs identifiants biométriques. Ils peuvent même analyser nos habitudes de frappe et les mouvements de la souris pour aider à détecter les fraudes. Le futur de la science-fiction dont nous lisions étant enfants est là…
Les mots de passe restent une première ligne de défense essentielle !
Les progrès de la technologie en matière de cybersécurité ne veulent pas dire que les utilisateurs peuvent se reposer sur leurs lauriers et ignorer les précautions raisonnables. Les petites aides et les multiples couches de sécurité en ligne et sur les appareils sont essentielles pour assurer notre sécurité. Veillez à ce que chaque mot de passe de vos comptes en ligne soit complexe et unique : pas de noms d’animaux ou de mots de passe réutilisés. S’il est facile à retenir, un pirate pourra facilement le deviner ! Consultez notre guide pratique sur la marche à suivre pour générer des mots de passe robustes qui ont plus de chances de résister à une attaque par force brute (par laquelle les pirates utilisent l’approche par tâtonnements pour craquer votre mot de passe).
Avira Password Manager génère des mots de passe robustes et contribue à les stocker en toute sécurité. Il peut également être configuré pour vous connecter automatiquement à vos comptes en ligne et vous avertir des mots de passe faibles ou réutilisés. Et n’oubliez pas : l’authentificateur intégré génère des codes à usage unique lorsque vous vous connectez à vos comptes, ce qui vous permet d’avoir l’AFM à portée de main.
