Depuis ses débuts, Facebook lutte contre les faux profils, les bots informatiques et les accès non autorisés aux comptes utilisateurs. Au cours des dernières années, les attaques sont devenues de plus en plus raffinées et élaborées. Dans l’arnaque la plus connue, des profils entiers sont copiés puis utilisés pour obtenir frauduleusement de la part des amis de la personne soit de l’argent, soit des codes pour des virements ou des prélèvements par des fournisseurs tiers. Ce qui peut paraître évident se transforme malheureusement souvent en piège pour les utilisateurs.
Une autre méthode pour manipuler les comptes utilisateurs, un peu moins voyante mais souvent utilisée, consiste à deviner ou espionner le mot de passe afin d’accéder à ces comptes. Il peut s’agir d’un proche qui connaît le mot de passe et qui en veut au propriétaire du compte. Mais il peut tout aussi bien s’agir d’un cybercriminel. Pour eux, les comptes sur les réseaux sociaux sont particulièrement intéressants si l’utilisateur concerné est par exemple aussi l’administrateur du site Internet d’une entreprise. Une fois l’accès obtenu, le cybercriminel est en mesure de gérer cette page et donc de causer d’importants dégâts. Sous certaines circonstances, cette méthode peut lui permettre d’accéder aux comptes e-mail, aux services bancaires en ligne et à de nombreuses autres plateformes.
Vérification en deux étapes
C’est pour cette raison qu’un nombre croissant d’entreprises proposent la fameuse vérification en deux étapes. Sa principale caractéristique est que, en plus de la requête de mot de passe standard, une seconde méthode est utilisée, aussi indépendante de l’appareil utilisé que possible. L’objectif est que l’utilisateur autorisé soit vraiment le seul à pouvoir accéder à ses données. Il est également informé de toute tentative de connexion et pourra prendre des mesures supplémentaires, par exemple s’il suspecte un acte criminel.
Méthodes
La méthode la plus utilisée par les particuliers pour la vérification en deux étapes est probablement le code par SMS. Si l’on veut par exemple se connecter à son compte Google, on commence par saisir son mot de passe, puis un SMS contenant un code est envoyé sur notre smartphone. Ce code doit ensuite être saisi pour pouvoir utiliser son compte.
Les générateurs de codes sont également populaires ; ils sont principalement utilisés sur les sites Internet des entreprises pour leurs employés, afin de protéger les données sensibles. Lors de chaque connexion, un appareil tiers ou une application génère un nouveau code, qu’il faudra ensuite renseigner.
Une autre méthode, particulièrement utilisée sur les smartphones, consiste à utiliser l’empreinte digitale en tant que protection supplémentaire. De nombreuses applications bancaires et de nombreux prestataires de services de paiement proposent dorénavant cette fonction.
Les méthodes d’authentification automatiques ou semi-automatiques sont de plus en plus courantes, en particulier dans le milieu professionnel. L’utilisateur peut ainsi déverrouiller son ordinateur de bureau ou d’autres appareils par Bluetooth ou à l’aide d’une puce NFC contenue dans les smartphones ou les cartes d’accès.
Inconvénients
Même si la sécurité est renforcée, la vérification en deux étapes présente également certains inconvénients dont il faut avoir conscience avant d’y recourir. D’une part, une requête correspondante est généralement nécessaire à chaque connexion, ce qui demande plus de temps que la simple saisie d’un mot de passe. Si on change souvent de compte ou si l’on utilise plusieurs appareils, cette méthode peut donc devenir rapidement très pénible.
D’autre part, le support choisi pour générer un code doit toujours être gardé à portée de main. Si l’utilisateur a par exemple choisi une authentification par SMS et s’il n’a pas son smartphone sur lui ou s’il n’a pas de réseau, il ne pourra pas accéder à son compte. La situation devient également délicate s’il perd son smartphone ou si celui-ci tombe en panne.
Avantages
Le principal avantage est le renforcement de la sécurité. La vérification en deux étapes ne peut certes pas empêcher toutes les attaques possibles, mais elle complique nettement la tâche des criminels. Surtout dans le cadre professionnel ou lorsqu’il est question d’argent, il faut absolument opter pour cette méthode, peu importe les éventuels inconvénients. Ces petits désagréments ne doivent pas être un obstacle à la sécurité des données personnelles.
De plus amples informations sur la mise en place d’une vérification en deux étapes sont disponibles sur les pages d’aide de chaque plateforme, comme ici pour Google et Facebook par exemple.
Au fait : chaque compte My Avira dispose évidemment d’une vérification en deux étapes que l’on peut activer tout simplement depuis le panneau de contrôle.
Cet article est également disponible en: AnglaisAllemandItalien