L’authentification à deux facteurs – Bien plus sécurisée qu’un simple mot de passe
L’actualité nous le rappelle quasi-quotidiennement : chacun doit rester vigilant face à la recrudescence des cybermalveillances, sécuriser ses comptes en ligne est plus important que jamais.
La première recommandation que l’on donne en général, c’est bien évidemment de définir un mot de passe sécurisé. Mais quel que soit la complexité de ce mot de passe, le fait qu’il soit l’unique clé nécessaire à l’accès à votre site et à vos données demeure une fragilité. Afin d’assurer la sécurité de données importantes, les méthodes d’authentification à deux facteurs, telles que TOTP (timed one-time password) et U2F, sont un recours essentiel.
Mais qu’est-ce qu’une authentification à deux facteurs et est-elle plus sécurisée qu’un simple mot de passe ?
Authentification à deux facteurs
Les limites du facteur unique d’authentification
Qu’il s’agisse de notre compte mails, des réseaux sociaux ou de l’interface de notre banque, se connecter à un compte en ligne à l’aide d’un mot de passe est devenu une norme. Son utilité est évidente. Sans mot de passe, n’importe qui pourrait utiliser votre adresse email ou votre nom d’utilisateur afin d’accéder à vos données personnelles et, dans le cas du portail d’un bureau d’enregistrement, à l’intégralité de vos domaines. Renseigner votre mot de passe est le seul moyen de vous authentifier, et montrer patte blanche pour accéder à votre espace. C’est donc le seul sésame nécessaire pour prouver votre identité, le mot de passe est donc un système d’authentification à « facteur unique ».
Un mot de passe sécurise votre compte car vous, et seulement vous, en avez connaissance. Mais nos usages quotidien de ces mots de passe, que l’on réutilise, que l’on confie à des proches, que l’on note sur un papier ou un fichier texte… ne sont évidemment pas infaillibles, et on ne confierait pas nos opérations les plus sensibles à un service se contentant pour les valider d’un simple mot de passe, si complexe soit-il.
L’authentification à double facteur apporte une preuve supplémentaire de votre identité et rend beaucoup plus improbable l’usurpation de celle-ci.
L’authentification multi-étapes
On pourrait donc penser qu’il suffit de multiplier les demandes de mot de passe pour véritablement sécuriser l’accès à vos données. Mais il est nécessaire que la nature des informations demandées, les « facteurs d’authentification », soient distincts : si on vous demande un code secret puis le nom de votre premier animal domestique, un « secret » puis un autre (relatif) « secret », ce n’est pas véritablement une authentification à plusieurs facteurs et ce n’est pas, par conséquent, une authentification forte.
L’authentification à deux étapes (ou plus) ne sera considérée comme forte que si elle est multifactorielle.
Authentification à deux facteurs (ou plus)
A titre d’exemple, lorsque vous vous rendez à un guichet automatique pour retirer de l’argent, vous avez non seulement besoin de votre carte bancaire (un item que vous détenez, premier facteur), mais aussi de votre code secret (une information que vous seul(e) connaissez, le deuxième facteur). Ainsi, si quelqu’un parvient à obtenir votre carte mais pas votre code secret, ou vice-versa, impossible d’accéder à votre compte, sa sécurité est garantie.
Ces « facteurs » peuvent donc prendre différentes formes :
- facteur de connaissance (knowledge factor) : une information (mot de passe, question secrète) que seul l’utilisateur est censé savoir
- facteur de propriété (ownership factor) : un objet (carte, téléphone mobile), que seul l’utilisateur est censé détenir
- facteur d’inhérence (inherence factor) : une caractéristique biométrique de l’utilisateur – « ce qu’il est »- telle qu’une empreinte digitale, une reconnaissance vocale, faciale ou rétinienne ou une réalisation particulière que seul l’utilisateur peut reproduire (comme une signature manuscrite par exemple).
Les deux facteurs choisis doivent donc appartenir à des catégories différentes pour que le dispositif soit efficace.
Cette authentification à deux facteurs sera ainsi exigée pour les services bancaires en ligne, les achats par internet, les stockages sur le cloud mais également les outils de travail collaboratifs.
La solution du mot de passe éphémère
L’un des moyens les plus communs d’augmenter la sécurité de vos accès à un service est de vous demander de fournir un second mot de passe, ou code, pour vous permettre de vous identifier. C’est généralement un code envoyé par SMS, ou par mail, qui vous permet de prouver avec un facteur supplémentaire que vous êtes bien le titulaire du compte en question. Cette méthode est couramment utilisée pour les paiements en ligne.
Il existe également une méthode d’authentification à deux facteurs basée sur des codes aléatoires à durée de vie très courte, générés par des applications et des algorithmes. Le code secret n’est révélé que temporairement quand vous activez cette méthode d’authentification.
C’est la première méthode d’authentification à deux facteurs que nous offrons pour vous connecter à votre compte Gandi, méthode connue sous le nom de « time-based one-time password » (TOTP), ou génération de mot de passe unique basé sur le temps .
Authentification universelle à deux facteurs, U2F
La nécessité d’une clé « physique »
L’un des problèmes principaux de ces mots de passe temporaires c’est qu’ils ne sont pas à l’épreuve d’une tentative de hameçonnage ou d’une attaque de type « man-in-the-middle ». Le hameçonnage consiste à vous renvoyer, généralement via un email frauduleux, vers un faux site qui ressemble à celui du service, et vous demande de vous identifier en fournissant vos identifiants et ce fameux mot de passe temporaire. L’attaque « man-in-the-middle » quant à elle consiste à une sorte de « mise sous écoute » de votre connexion internet afin d’intercepter vos identifiants lorsque vous vous connectez au site.
La solution ? Une clé publique de chiffrement identique au type de chiffrement disponible sur le site internet qui permette de vérifier que les identifiants soient utilisés uniquement sur le site prévu, et aucun autre. C’est ce qu’on appelle l’authentification universelle à 2 facteurs, ou U2F pour « Universal Two Factors ».
La clé U2F
L’un des énormes avantages de l’authentification U2F est qu’elle nécessite l’utilisation d’une clé physique, qui doit être insérée dans le port USB de votre ordinateur pour authentifier la connexion vers le service sur lequel vous souhaitez vous connecter. De cette manière, c’est non seulement plus sécurisé, mais également plus simple, pas besoin de taper un code reçu sur votre téléphone, qui n’est jamais à l’abri d’un vol, ou d’une chute fatale dans l’aquarium 🙂.
L’authentification à deux facteurs U2F est l’une des méthodes les plus sûres, et elle fonctionne avec de nombreux services.
Si vous voulez en savoir plus sur son utilisation avec votre compte Gandi, n’hésitez pas à consulter cette documentation :
Ces dispositifs ne dispensent pas de prendre d’autres précautions, de continuer à élaborer des mots de passe complexes et d’utiliser d’autres outils, comme par exemple le changement de l’url de connexion de son site ou sauvegarder régulièrement ses données.
Tagged in Sécurité