Si vous n’utilisez pas l’authentification à deux facteurs, vos comptes sont vulnérables.

Article original en Anglais: https://protonmail.com/blog/what-is-two-factor-authentication-how-to-use-it/

Plus tôt cette année, des chercheurs en sécurité ont découvert que des soldes avait lieu sur la toile noire : 2,2 milliards de noms d’utilisateur et de mots de passe volés lors d’atteintes à la protection des données et compilés dans une base de données en plusieurs volumes appelée Collection #1–5.

Avec tant de fuites de mots de passe, il y a de bonnes chances que le vôtre en faisait partie. (Vous pouvez vérifier sur haveibeenpwned.com.) Si des pirates ont essayé de se connecter à vos comptes avant que vous ayez eu la chance de changer vos mots de passe, une seule chose aurait pu vous sauver : une authentification à deux facteurs.

L’authentification à deux facteurs (2FA) exige que vous saisissiez deux éléments d’information pour vérifier votre identité avant de pouvoir accéder à votre compte, généralement votre mot de passe et un code 2FA à usage unique. Avec 2FA activé, même si une violation de données ou un pirate informatique compromet votre mot de passe, votre compte sera toujours en sécurité.

Si vous ne protégez vos comptes qu’avec des mots de passe — même des mots de passe forts et uniques — vous mettez vos données en ligne en danger. Comme vos données personnelles migrent de plus en plus vers le monde numérique, 2FA est un moyen simple et efficace d’ajouter une sécurité supplémentaire aux comptes en ligne. Plusieurs des plus grandes plateformes offrent la 2FA. Même Fortnite, le jeu vidéo en ligne populaire, a fait la promotion de 2FA auprès de ses utilisateurs avec une émote de danse spéciale pour les membres qui sécurisent leurs comptes avec 2FA.

Malheureusement, il reste encore beaucoup de services en ligne qui n’offrent toujours pas 2FA, y compris beaucoup de VPN et de fournisseurs d’email. Et il y en a d’autres qui le font mais le mettent en œuvre d’une manière qui peut être facilement déjouée par des hackers déterminés. Dans cet article, nous allons examiner de plus près la 2FA.

Comment fonctionne l’authentification à deux facteurs (2FA) ?

L’authentification à deux facteurs ajoute une vérification d’identité supplémentaire à la procédure de connexion standard. Au lieu de simplement taper votre nom d’utilisateur et votre mot de passe pour vous connecter, 2FA vous demande de fournir un autre type de justificatif d’identité avant de pouvoir accéder à votre compte.

Les types les plus courants d’utilisation de la 2FA :

• un code de vérification unique qui est envoyé à un numéro de téléphone ou à une adresse électronique
• la réponse à une question de sécurité, comme le premier concert auquel vous avez assisté ou l’endroit où vous êtes né(e)
• un mot de passe unique basé sur le temps (TOTP) qui est généré par une application d’authentification, comme Authy ou DuoMobile.
• un porte-monnaie physique, comme Yubikey, qui peut être branché sur votre appareil
• des informations biométriques, telles qu’une empreinte digitale ou un balayage de l’iris (peu courant).

La plupart de ces méthodes consistent à vérifier votre identité en vérifiant si vous êtes en possession d’un jeton désigné, à savoir votre téléphone portable ou votre Yubikey. Les autres testent votre identité en fonction de quelque chose que vous connaissez (comme la question de sécurité) ou en utilisant vos traits physiques.

Alors que 2FA devient la norme en matière de cybersécurité, les organisations en ligne facilitent de plus en plus sa mise en place. La plupart des sites vous permettent de configurer votre 2FA en scannant un code QR avec l’une des applications génératrices de code mentionnées ci-dessus. La plupart des plates-formes vous offrent également des codes de récupération ou de sauvegarde au cas où vous perdriez vos moyens de livrer votre deuxième facteur d’authentification — votre téléphone ou votre clé Yubikey — de sorte que vous n’ayez pas à réinitialiser votre compte.

Évitez les types faibles de 2FA

Certains types de 2FA sont plus sûrs que d’autres. L’authentification à deux facteurs qui repose sur les SMS peut être compromise, comme l’ont démontré les récents piratages de Reddit, Jack Dorsey, fondateur de Twitter, et d’autres. Lors d’une attaque d’échange de carte SIM, les pirates informatiques persuadent ou corrompent les employés de la compagnie de téléphone de transférer votre numéro de téléphone vers une autre carte SIM. Il existe également des astuces d’ingénierie sociale qui permettent d’obtenir des codes 2FA envoyés par SMS. Pour cette raison, nous conseillons à tous d’éviter d’utiliser des systèmes 2FA qui s’appuient sur les SMS.

Les tests 2FA basés sur les connaissances comme les questions de sécurité sont également plus vulnérables aux attaques. Le nom de jeune fille de votre mère ou la ville où vous êtes née, par exemple, sont de notoriété publique. Si votre fournisseur de services n’offre que des questions en 2FA, fournissez une fausse réponse unique et conservez-la dans un endroit sûr, comme un gestionnaire de mots de passe, pour ne pas oublier.

Les options matérielles 2FA comme Yubikey sont les plus sûres, mais actuellement peu de services le supportent. Pour l’instant, la meilleure méthode de 2FA est une application d’authentification. Ces applications fonctionnent en générant un hachage basé sur l’heure et une clé secrète, que seuls votre téléphone et les serveurs du site connaissent. Ce hachage est ensuite raccourci à un nombre à six chiffres que vous pouvez taper dans une fenêtre à la suite de la page du nom d’utilisateur et du mot de passe lors de la connexion.

Autres escroqueries 2FA à surveiller

Même après avoir activé 2FA, vous devez prendre des précautions. Récemment, des chercheurs ont trouvé plusieurs cas où des comptes équipés de 2FA ont été compromis par des pages de phishing d’une précision convaincante, dont une réplique frauduleuse qui imitait ProtonMail en utilisant le domaine “protonemail.ch”. Les pirates ont essayé de tromper leurs cibles en entrant leur nom d’utilisateur, leur mot de passe et leur code 2FA dans le faux site. Dès que ces détails ont été partagés, ils sont rapidement répliqués pour pénétrer dans le compte pendant que le code 2FA est encore valide.

La 2FA à jeton est une excellente méthode pour sécuriser votre compte, mais ce n’est pas une solution miracle. Comme ces rapports l’ont montré, des pages d’hameçonnage bien faites, que l’on rencontre fréquemment sur les sites d’escroquerie du Black Friday, peuvent encore compromettre la 2FA. Les utilisateurs doivent être vigilants pour s’assurer qu’ils sont sur un site Web légitime.

Traduit gracieusement par l’association FairSocialNet