L'authentification à deux facteurs : la sécurité au-delà des mots de passe

Publié le 12 mai 2023, par Sébastien

• This blog post is also available in English.

———

L'authentification à deux facteurs (« two-factor authentication », ou 2FA en abrégé), également appelée authentification multi-facteurs (MFA), est une méthode d'authentification où l'accès est accordé après avoir présenté 2 types d'informations différents (les facteurs).

Ces facteurs peuvent être :

• Quelque chose que vous connaissez (généralement, un mot de passe, une phrase de passe, ou un code PIN).
• Quelque chose que vous possédez (un smartphone, une clé de sécurité, ou autre objet physique).
• Quelque chose que vous êtes (la biométrie : empreinte digitale, reconnaissance faciale, …).

Le facteur principal utilisé sur la plupart des sites Web et services en ligne est bien sûr le mot de passe.

Cependant, l'authentication à deux facteurs devient de plus en plus répandue au fil du temps.

Le principe est le suivant : si une personne mal intentionnée arrive à deviner ou voler un mot de passe, l'accès au compte sera empêché par le deuxième facteur.

En général, le 2ème facteur est nécessaire seulement lors d'une connexion depuis un nouvel appareil, et ne vous sera pas demandé à chaque fois que vous vous authentifiez (depuis un appareil connu).

Vous trouverez ci-dessous quelques-un des moyens pouvant être utilisés pour implémenter un mécanisme de 2FA.

Par e-mail ou par SMS

Certains services peuvent vous envoyer un code (ou parfois un lien) par e-mail ou par SMS.

C'est l'option la moins sécurisée.
Les e-mails et les SMS ne sont pas chiffrés, et les SMS peuvent être interceptés.

C'est mieux que rien, mais choisissez une autre méthode à chaque fois que c'est possible.

Les applications de type « authenticator »

Les applications d'authentification à installer sur un smartphone sont un cran au dessus des e-mails et des SMS.

Dans la plupart des cas, l'application génère un code à 6 chiffres qui change toutes les 30 secondes, basé sur une clé importée lors du paramétrage de l'authentification à 2 facteurs (habituellement via un QR code), et sert à prouver que vous disposez toujours de l'appareil où cette clé est stockée.

En plus de fournir une meilleure sécurité, ces applications on l'avantage de pouvoir être utilisées hors ligne.

Astuce : il y a de nombreuses alternatives à Google Authenticator

Même si certains sites font référence à ces applications sous le nom de « Google Authenticator » par simplicité, sachez que cette méthode est automatiquement compatible avec toutes les applications qui implémentent le standard TOTP.

C'est le cas notamment de FreeOTP, Authy, Microsoft Authenticator, Yubico Authenticator (plus d'infos dans la section suivante), et bien d'autres encore.

D'ailleurs, je ne recommande pas Google Authenticator, étant donné qu'elle n'est plus Open Source (elle l'a été), et que sa fonctionnalité de sauvegarde dans le cloud ajoutée récemment est actuellement implémentée d'une manière discutable (en ce mois de mai 2023).
En effet, les clés de chiffrement sont envoyées sur les serveurs de Google sans utiliser un chiffrement de bout en bout, ce qui revient à donner accès à Google à tous vos codes…

Ma préférée est FreeOTP, qui est Open Source.

Si vous tenez vraiment à avoir des sauvegardes dans le cloud, vous pouvez utiliser Authy, qui est propriétaire, mais chiffre correctement vos données à l'aide d'un mot passe avant qu'elles ne quittent votre appareil.
Dans ce cas, choisissez un mot de passe fort, et ne l'oubliez pas.

À noter également : certains gestionnaires de mots de passe tels que Bitwarden, 1Password ou Dashlane disposent d'une fonctionnalité pour le TOTP.
Bien qu'elle permette de bénéficier de l'aspect « usage unique » de ces codes, elle ne peut pas vraiment être considérée comme un second facteur :
Si quelqu'un arrive un jour à s'introduire dans votre gestionnaire de mots de passe, il/elle aura accès à la fois à vos mots de passe et à vos codes TOTP.
De plus, vous devriez protéger votre gestionnaire de mots de passe lui-même par une authentification multi-facteurs, et vous ne pouvez évidemment pas stocker cette clé 2FA dans votre gestionnaire de mots passe – ou vous vous retrouverez bloqué – et vous aurez donc besoin d'une autre méthode d'authentification à 2 facteurs de toute façon.

Les clés de sécurité

Les clés de sécurité sont une méthode avancée pour l'authentification à deux facteurs.
Elles supportent généralement les standards U2F et FIDO2.

Avantages :

• Périphérique matériel dédié. Pas besoin de dépendre d'un smartphone, qui a plus de risques d'être compromis.
• L'authentification se fait par USB ou par NFC. Aucun code n'est affiché, et il n'y a rien à saisir.
• Protection contre le phishing et les interceptions (attaques de type « man-in-the-middle »), intégrée aux protocoles U2F et FIDO2.

L'exemple le plus connu est certainement la YubiKey.

Certains modèles de YubiKey peuvent être utilisés à la fois en USB (pour les ordinateurs) et en NFC (pour les smartphones).

En plus des protocoles U2F et FIDO2, certains modèles supportent aussi le standard TOTP, ce qui vous permet de remplacer Google Authenticator (et autres applis similaires) par Yubico Authenticator.
Les clés de chiffrement qui servent à générer les codes à 6 chiffres sont alors stockées dans la YubiKey, et ne peuvent pas en être extraites.

Important : les codes de secours

Quelque soit l'option choisie, vous devez vous assurer que vous ne perdrez pas l'accès à vos comptes si vous perdez l'appareil d'authentification.

La plupart des sites Web vous fourniront des codes de secours (ou « codes de récupération ») lorsque vous activerez l'authentification multi-facteurs.
Vous pouvez les imprimer, ou les noter sur papier, et les stocker en lieu sûr (c.a.d. dans un coffre), ou bien les stocker dans un gestionnaire de mots de passe séparé – PAS votre gestionnaire de mots de passe principal, ou vous vous retrouverez bloqué.

Si jamais vous tombez sur un service qui ne vous donne pas de codes de récupération, vous devriez probablement sauvegarder la clé elle-même, lorsque vous activez la sécurisation par TOTP.
Cette clé est généralement affichée à proximité du QR code.

Où l'utiliser ?

Le service le plus critique qui nécessite l'authentification à 2 facteurs est sans aucun doute votre gestionnaire de mots de passe.

Les comptes bancaires doivent également être protégés par plusieurs facteurs.
D'ailleurs, les banques dans l'Union Européenne sont tenues de mettre en place une authentification forte, par la directive DSP2.
Malheureusement, certaines d'entre elles ne proposent que le SMS comme second facteur.

De manière générale, tous les comptes avec des implications particulières en termes de sécurité ou de confidentialité devraient être protégés par une authentification multi-facteurs.

Cela dit, ce n'est probablement pas la peine de la mettre en place pour un forum de discussion lambda que vous utilisez une fois dans l'année 😆

Voir aussi

Même si l'authentification à deux facteurs est un outil utile pour renforcer la sécurité de vos comptes en ligne, elle ne doit pas vous dispenser d'avoir une bonne « hygiène numérique » en matière de mots de passe.

• Si vous ne l'avez pas déjà fait, n'hésitez pas à consulter mon article sur la gestion des mots de passe.