L’authentification à deux facteurs ou A2F

Sur l’internet, nous créons des comptes, nous donnons des informations et nous pensons les protéger avec des mots de passes. Même si le site ne collecte aucune donnée, ce compte que vous avez ouvert vous représente auprès des autres utilisateurs.

Alors pourquoi c’est important de sécuriser son compte ?

Avant de commencer, une petite définition. Sécuriser un accès se défini par 3 choses :

  1. Le savoir
  2. La possession
  3. L’être (au sens biométrique)

On considère qu’un accès est sécurisé lorsque qu’il nécessite 2 points de contrôle. C’est valable pour tous les accès. Par exemple, pour sécuriser votre logement vous savez où il se trouve (point 1) et vous avez une clé (point 2) ou une porte à empreinte digitale (point 3).

Par contre, sur un site web vous avez généralement un seul mot de passe (1) … Il suffit donc à l’attaquant d’obtenir ce mot de passe et la sécurité de votre compte tombe. Pour peu que vous utilisiez le même mot de passe partout … je pense que vous avez compris.

Il est donc très important de rajouter une seconde couche de sécurité lorsque vous allez sur un site web et c’est là qu’entre en jeu l’authentification à deux facteurs (A2F).

Comment ça fonctionne

Lorsqu’un site est sérieux, il vous proposera d’activer un niveau supplémentaire de sécurité physique, soit par l’envoi d’un SMS soit par la génération d’un code unique à courte durée de vie. Quelque soit la solution, elle nécessite à l’attaquant de connaître votre mot de passe de site ET de posséder votre téléphone pour valider le code.

Pour le SMS c’est facile, vous donnez votre numéro de mobile au site (sic) et il vous envoi un code par SMS lorsque vous souhaitez vous connecter.

L’autre solution, qui vous évite de donner votre numéro, est d’utiliser l’application Aegis (disponible sur Google Android) ou bien Authy sur Apple Ios). Le site vous donne alors un QrCode unique à flasher et hop, l'application va se mettre à générer des codes à 6 chiffres avec une durée de vie très courte (20s). Ensuite le principe reste le même que pour le SMS, lors de votre connexion, le code du moment vous sera demandé pour continuer.

Conclusion

La simplicité de mise en place et d’utilisation fait qu’il n’y a aujourd’hui aucune raison de ne pas activer l’A2F sur les sites sensibles comme les réseaux sociaux ou les interfaces d’administrations. Reste qu’il y a encore trop peu de site qui utilise ce système mais cela progresse vite donc autant s’y mettre de suite ????