L'authentification double facteur expliquée à tous

Pierre Crochart
Par Pierre Crochart, Spécialiste smartphone.
Publié le 08 avril 2019 à 11h42
2FA
Crédits : Irina Strelnikova / Shutterstock

À l'heure où les fuites de données se succèdent, la sécurisation de ses différents comptes en ligne est l'affaire de tous. Et parmi les méthodes les plus simples à mettre en place, l'authentification à double facteur demeure parmi les plus efficaces.

Mais qu'est-ce donc que cette authentification à double facteur (ou A2F) au juste ? Même si le terme ne vous dit rien, il y a de fortes chances que vous l'utilisiez déjà dans une moindre mesure. Avez-vous remarqué, lors d'un achat en ligne, que votre banque vous envoyait un code unique par SMS pour confirmer votre achat ? Voilà un exemple concret d'authentification à double facteur.

Qu'est-ce que l'authentification à double facteur ?

Comme son nom l'indique, l'A2F est une méthode qui va ajouter une couche de protection à votre compte. En plus du traditionnel couple nom d'utilisateur et mot de passe, s'additionne la réception d'un code unique que - logiquement - vous êtes le seul à pouvoir détenir.

iOS authentification double facteur
Exemple d'authentification à double facteur. Crédits : Apple

La plupart du temps, les services qui vous proposeront d'activer l'authentification à double facteur passeront par l'obtention d'un code unique envoyé par SMS à votre numéro de téléphone. Mais il existe en réalité une multitude de façons de renforcer l'authentification à ses différents comptes.

Comment savoir si un site propose l'authentification à double facteur ?


La méthode la plus simple est aussi la plus pénible : il s'agit d'aller vérifier manuellement dans les paramètres de chaque site Web si l'option correspondante s'y trouve.

Heureusement, de bonnes âmes ont eu la bonne idée de regrouper tous les sites proposant l'A2F à l'adresse twofactorauth.org.


Quelles sont les méthodes d'authentification à double facteur les plus efficaces ?

On l'a dit, la méthode la plus simple pour profiter de l'A2F est d'utiliser son numéro de téléphone pour valider sa connexion à un compte en ligne. Mais certains sites plus perfectionnés - notamment Facebook et Google - permettent d'opter pour des méthodes moins contraignantes.

Google vous permet par exemple d'utiliser un autre appareil sur lequel vous êtes déjà connecté pour valider la connexion à son service. Par exemple, lorsque vous tentez de vous connecter à votre compte Google depuis un nouvel ordinateur, un invite vous proposera d'utiliser votre smartphone, où s'affiche automatiquement une demande d'authentification à laquelle il vous suffit d'accéder pour vous connecter.

Facebook authentification double facteur
L'authentification à double facteur de Facebook. Crédits : Facebook

Facebook opte pour une méthode similaire pour valider la connexion. Si vous avez activé l'A2F sur votre compte, chaque nouvelle connexion à un appareil inconnu vous enverra une notification sur votre smartphone. Celle-ci vous proposera d'autoriser ou de refuser la connexion au nouvel appareil par une simple pression sur le bouton correspondant.

Mais si ces méthodes sont les plus répandues, l'utilisation d'authenticators est de plus en plus recommandée par les spécialistes en sécurité. Un authenticator, c'est une application qui va faire office de coffre-fort pour vos comptes disposant de l'A2F. Son fonctionnement est simple : les comptes compatibles avec l'utilisation d'un authenticator vous demanderont de scanner un QR Code directement dans votre application pour lier votre compte à votre appli. Celle-ci générera ainsi à la chaîne des codes de connexion uniques et valables en général une dizaine de secondes. Contrairement à un SMS qui peut éventuellement être intercepté par des hackers, un authenticator est plus sûr en cela qu'il est intégré directement à votre smartphone. Ainsi, seule une perte de votre terminal pourrait vous porter préjudice.

Google authenticator
Capture d'écran de l'application Google Authenticator. Crédits : Google

Aujourd'hui, il existe énormément d'application authenticator sur le marché. La plupart des GAFAM disposent de leur propre solution (Google, Microsoft et même Blizzard !), qui est bien évidemment compatible avec n'importe quel compte supportant la technologie. Mais de nombreuses alternatives open-source existent, comme les très bons FreeOTP, Keepass2Android ou Open Authenticator.



Le cas particulier des clés U2F

La protection des comptes en ligne par le biais d'une clé U2F commence à faire son chemin, et se voit particulièrement encouragée par les spécialistes de la sécurité informatique.

Le principe est simple : en lieu et place d'un code envoyé par SMS ou d'une série de chiffres générés par un authenticator, l'authentification à un compte en ligne passe par une clé USB un peu spéciale.


Le concept de la clé de sécurité U2F expliqué en vidéo


Il vous faudra vous munir d'une clé de sécurité certifiée U2F par la FIDO - une alliance d'entreprises concernées par la sécurité des données. Elles prennent la forme d'une clé USB tout à fait banale, mais sont configurées pour permettre une authentification ultra sécurisée à tous vos comptes en ligne proposant cette option.

Fido U2F Yubico
Des clés de sécurité U2F de Yubico. Crédits : Yubico

L'obtention d'une telle clé vous coûtera entre 10 et 60 € selon la marque et le procédé de fabrication. Dans tous les cas : attention à bien choisir une clé certifiée par la FIDO.

Comme pour l'authentification à double facteur, il est possible de retrouver tous les sites qui acceptent les clés de sécurité sur un site dédié : dongleauth.info.

Comment activer l'authentification à double facteur ?

La plupart du temps, les éditeurs des sites Web sur lesquels vous créez un compte vous inciteront à sécuriser votre profil avec l'A2F. Si ce n'est pas le cas, il vous faudra vous rendre manuellement dans les paramètres de votre compte pour vérifier que l'option existe.

Une fois l'option identifiée, il vous suffit de suivre les différentes étapes et - la plupart du temps - à renseigner votre numéro de mobile afin de commencer à recevoir les SMS de validation de connexion.

Attention à bien penser à faire les modifications nécessaires sur les sites Web si jamais vous veniez à changer de numéro de téléphone !

Pierre Crochart
Par Pierre Crochart
Spécialiste smartphone

Monsieur smartphone et jeux vidéo de Clubic. J’aime autant croquer dans la pomme que trifouiller dans les circuits de l’Android. J'ai commencé à tester des téléphones dans le Monde d'avant™. Mes domaines d'expertise :

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (7)
Zourbon

tout cela est très fouillis car les cas de figures sont innombrables.
Et il faut réduire le nombre de produit et non l’augmenter. La présence d’une clè usb est une occasion de la perdre.

Winpoks

Tout comme un authentificateur sur mobile qui peut être rendu inaccessible par la panne, la perte, casse ou effacement de l’application.
Je trouve au contraire les clefs plus fiables et pratiques. Malheureusement, peu de sites permettent encore son utilisation.

Matrix-7000

Clubic est l’un des seul site sur lequel je vais régulièrement qui ne le propose pas encore! G-mail, Dropbox, Amazon, Microsoft, RealVNC, Synology, Infomaniak, Firefox, tous ses services ou systèmes, proposent l’authentification à deux facteurs, soit via Google Authenticator soit via Yubikey.
A quand cette possibilité sur mon site d’info favori?

Palou

et quand il n’y a pas de signal pour les portables, les zones blanches ? …

serged

Ces clefs, elles fonctionnent avec toutes les machines ? (Windows toute version, bien sûr, mais Linux, Mac/OS, Android, Chrome OS et autres)

Winpoks

Pas eu de soucis sous ces os. Sauf sur Mobile, pas testé, mais là il faut je pense soit une clef qui gère le NFC ou peut-être avec un adaptateur.

Sous Linux c’est mieux géré que Windows au niveau de l’OS d’ailleurs. On ne peut pas contourner les clefs avec diverses manœuvres. Ici, il s’agit des cas ou on les utilises pour le login de l’OS. Pour les navigateurs, si les navigateurs le gèrent, alors c’est bon (ce qui est le cas).

bigorno68

pas de smartphone= exclusion numérique, = exclusion sociale. = tu n’existes plus.

Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles