Depuis que le monde est de plus en plus connecté, les tentatives de hacking ont augmenté, non seulement à l’encontre des sociétés et des entreprises, mais également au détriment de simples utilisateurs. Pour quelle raison ? Nos comptes sur les réseaux sociaux peuvent en dire bien plus que ce que nous imaginons à un hacker ou à un voleur, en leur livrant des renseignements spécifiques sur l’heure où nous sortons de notre domicile, sur les trajets de routine effectués chaque jour ou sur les moments où nous nous éloignons du domicile.
Mais ce n’est pas tout : il n’est pas rare que nous conservions sur des services Cloud des photos et des contenus numériques extrêmement sensibles, pouvant se transformer en moyens de pression susceptibles d’être utilisés par la cybercriminalité en vue d’un chantage financier. Sans parler des comptes bancaires, du risque que des sommes importantes soient transférées à notre insu ou d’achats en ligne effectués avec une carte de crédit dont le titulaire ne s’attend absolument pas à être débité. En somme, il est urgent de mettre en place une meilleure forme de protection à l’encontre des dangers du réseau, et cette protection peut nous parvenir de la vérification à deux facteurs.
Voyons de quoi il s’agit
L’authentification à deux facteurs (2FA), également connue sous l’appellation de vérification en deux étapes ou d’authentification multifactorielle, est largement utilisée dans le but d’ajouter aux comptes en ligne un niveau supplémentaire de sécurité. La forme plus communément répandue est celle consistant à demander, pour pouvoir accéder à un profil, la saisie d’un code temporaire reçu par SMS sur le portable. Dans ce cas de figure, aucune personne dépourvue de la possibilité d’intercepter le message ne pourra concrètement usurper l’identité de l’intéressé. Il existe trois niveaux d’authentification : alphanumérique, dispositif, biométrique.
Les méthodes d’accès
Dans le premier cas, l’accès au profil est consenti au moyen dudit code reçu sur le portable et saisi lors de la phase de l’inscription. Dans le deuxième, une action sur le smartphone personnel est requise, comme, par exemple, accepter une notification. Dans le dernier cas, l’accès est consenti au moyen d’une vérification individuelle, soit la lecture de l’empreinte digitale, ou la reconnaissance faciale ou encore la reconnaissance vocale. Dans tous les cas, on parle de vérification à deux facteurs justement pour cette raison : alors que la première étape consiste à insérer le mot de passe habituel, la deuxième prévoit une étape supplémentaire qui apporte un niveau additionnel de sécurité.
En réalité, il existe une voie alternative aux trois options listées ci-dessus : il s’agit de l’application ou de la clé génératrice de codes. La clé génératrice de codes, qui était, à l’origine, mise à la disposition des clients par les établissements bancaires, affiche une séquence alphanumérique qu’il faut saisir dans le champ de la requête avant d’effectuer une opération donnée. La méthode a été intégrée à d’autres services, au point que désormais même les principaux réseaux sociaux et plateformes d’envoi d’e-mail permettent l’utilisation d’une clé avec un écran affichant une chaîne de caractères temporaire.
Cette clé est partiellement remplacée par une application, comme Google Authenticator, Authy et DuoMobile, qui a la même fonction, mais exclusivement en mode numérique. L’utilisation d’une application d’authentification requiert une installation supplémentaire, mais offre en revanche une meilleure protection que les SMS. Les dernières mises à jour dépassent même le stade de saisie d’un code, puisqu’il suffit de créer un mot de passe personnel pour permettre l’accès au service. Contrairement à ce qui est prévu pour le mot de passe classique, ce mot de passe doit être saisi depuis le portable enregistré, et non par tout utilisateur pouvant être situé dans le monde entier. Même les plus paresseux pourront donc trouver dans la méthode 2FA un instrument utile pour rendre la vie des hackers plus difficile, voire même impossible.
Est-elle vraiment plus sûre ?
Prenons un exemple concret. Si vous avez un système de sécurité domestique, vous diminuez les probabilités de subir un vol. Si vous avez un chien gros et fort, vous diminuez les probabilités de subir un vol. Si vous associez le système de sécurité à un gros chien, votre domicile devient d’une part encore plus difficile d’accès et, d’autre part, une cible moins attractive. La plupart des voleurs chercheront une victime plus facile, moins protégée. De la même manière, l’authentification à deux facteurs empêche de nombreux hackers de violer votre compte ; plusieurs d’entre eux essaieront de le pirater et, n’y parvenant pas dans l’immédiat, iront tenter ailleurs.
En plus de connaître votre mot de passe, un cybercriminel devrait avoir accès à votre téléphone, aux token adressés via SMS ou aux notifications en direct, pour pouvoir s’authentifier. Ce n’est pas impossible, car l’usurpateur pourrait également voler votre portable, et c’est pour cette raison qu’il faut toujours avoir un niveau d’attention élevé, tant dans le monde numérique que dans le monde réel.
Cet article est également disponible en: AnglaisAllemandItalien