Authentification à double facteur 2FA démystifiée

Dans cet article vous trouverez les réponses aux questions les plus fréquemment posées sur l’authentification à double facteur et même davantage.

Qu’est-ce que l’authentification à double facteur que l’on entend parler de plus en plus?
Est-ce utile?
Est-ce vraiment plus sécuritaire?
Pour quel type d’accès cela pourrait-il être utile?
Y a-t-il des risques à mettre en place cette utilisation?

Identification et authentification

Malgré que je vous offre le lien de la définition de Wikipédia à propos de l’authentification à double facteur, je me permets de vous expliquer brièvement et avec le plus de simplicité possible.

Premièrement, il faut comprendre que lorsqu’on s’identifie sur un site Web ou sur un service, c’est souvent avec un courriel, un nom, un pseudo ou encore un code qu’on le fait. Par après, on communique, la majorité du temps, son mot de passe que nous avions fourni antérieurement, afin de démontrer que nous sommes bien celui qu’on prétend être avec l’identifiant. Voilà la mécanique de l’identifiant et de l’authentification à sa plus simple expression.

Les types d’authentification

En sécurité, il existe plusieurs types d’authentification. Afin de faire très simple, il y a principalement trois types de facteurs d’authentification en sécurité ainsi qu’un quatrième qui tend à être de plus en plus utilisé et reconnu comme complément dans des situations particulières. Maintenant, si on ajoutait dans la mécanique une deuxième authentification, nous aurions une « Double Authentification ». On obtiendrait alors une authentification qui nous semble plus forte et sécuritaire. Mais ce n’est pas vraiment la cas, dans l’exemple où l’on ajouterait deux mots de passe.

Je vous présent maintenant les types de « Facteurs d’Authentification » qui ont une très grande importance.

Quelque chose que vous connaissez (comme un mot de passe ou un NIP)
Quelque chose que vous avez (comme un téléphone SMS ou Apps, une carte, un jeton ou une clé)
Quelque chose que vous êtes (comme les empreintes digitales, l’iris ou FaceID)
Quelque part où l’utilisateur se trouve ( comme une connexion à un réseau informatique spécifique ou utilisant un signal GPS pour identifier l’emplacement)

Maintenant que vous connaissez les trois principaux types de facteur d’authentification, on passe à la prochaine étape des explications.

Afin d’obtenir une sécurité vraiment accrue sur l’identifiant, nous allons jumeller deux (2) types d’authentification de différents facteurs, d’où enfin le nom « Authentification à double facteur ». Vous comprendrez facilement que s’il y a deux types d’authentification différents qui sont validés avant que les accès à l’identifiant soient octroyés, c’est d’autant plus sécuritaire. Le fait que ce soit deux (2) types de facteur différents renforcie de beaucoup la robustesse de l’accès. En sécurité, on parlera alors d’une « authentification forte ».

Les authentifications fortes sont très utile pour mieux sécuriser les accès à une ressource de valeur telle qu’un accès bancaire, les accès d’administrateurs à des serveurs, les accès courriels importants ou pour garantir que vous êtes assurément le seul à avoir accès à la réception des paiements Interac ou autres.

Quel facteur devrait-on utiliser ? Voyons la facilité d’intégration aux système pour les programmeurs et l’utilisation de chacun d’eux.

Type d’authentification	Exemples	Intégration système	Utilisation
1. Ce que vous connaissez	Mot de passe, NIP	Simple	Simple
2. Ce que vous avez	Téléphone, jeton	Moyenne	Moyenne
3. Ce que vous êtes	Iris, visage	Complexe	Simple
4. Où l’utilisateur se trouve	Géolocalisation	Moyenne	Simple

Pour le premier type d’authentification, l’intégration et l’utilisation de mots de passe est relativement simple. N’oublions pas de considérer qu’être sécuritaire c’est avoir plusieurs caractères tels que des chiffres, lettres minuscules et majuscules ainsi que des caractères spéciaux. Il faut aussi avoir des mots de passe différents pour chacun de nos comptes. Vaut mieux prévoir utiliser un gestionnaire de mot de passe avec un peu de discipline.

Quand au troisième type d’authentification, l’intégration du mécanisme aux systèmes pour présenter et valider ce que nous sommes est de beaucoup plus complexe. Mais l’utilisation demeure simple comme le FaceID.

Alors que pour le deuxième type d’authentification, l’intégration et l’utilisation de ce que nous détenons sont plus simples. Parmi les méthodes de ce type, il y a la réception de code par SMS que je déconseille d’ailleurs dans cet article, à moins de ne pas avoir d’autres alternatives. Il y a aussi toutes les applications Time-based One-time Password algorithm TOTP telles que Google Authenticator, Microsoft Authenticator, Authy et autres que je suggère davantage. Quoique les puristes de la sécurité ne les considèrent pas comme un vrai deuxième facteur, car c’est une application logicielle. Quoi qu’il en soit, ils améliorent grandement votre sécurité. Finalement il y a aussi les jetons d’authentification physiques U2F tels que Yubikey et autres qui suivent la norme Fido pour une sécurité beaucoup plus accrue. Par contre, chacun de ceux-ci présente aussi quelques risques que j’explique.

Acronymes anglais souvent utilisés

2FA – Two-Factor Authentication
MFA – Multi-Factor Authentication
U2F – Universal 2nd Factor ( Jetons d’authentification physiques tels que des clés Yubikey )

Risques

Voici les principaux risques reliés à l’authentification à double facteur ainsi que la facilité à maintenir le mécanisme dans le temps.

Les risques de perdre ou d’oublier un mot de passe pour ce que vous connaissez existe, mais depuis le temps, on a le réflexe de faire attention et de plus en plus de gens utilise un gestionnaire de mot de passe. Tant qu’aux risques de perdre un attribut de ce que vous êtes, c’est très peu probable. Par contre, les risques de perdre ce que vous avez sont beaucoup plus grand. Voici quelques situations typiques très fréquentes causant problème.

Mon patron récupère le téléphone intélligent d’entreprise (Numéro de téléphone) que j’utilisais et recevais par texto / SMS mes authentifications à double facteur.
Je perds mon téléphone intélligent sur lequel j’avais l’application Google Authenticator, Microsoft Authenticator ou autres dans lequel mes codes d’accès d’authentification TOTP sont inscrits.
Vous vous faites voler votre accès SMS par des pirates via un “SIM Swap Scam“.

Alors, rappelez-vous que peu importe le type de « ce que vous avez », prévoyez toujours être en mesure de pouvoir récupérer et pouvoir refaire la mise en place de ce type d’authentification de votre accès, sinon il sera très difficile de récupérer vos accès si vous les perdez.

De plus, vous devriez cesser l’utilisation des SMS comme authentifiant, car des gens d’intérêts peuvent facilement devenir victimes . Optez davantage pour des applications TOTP telles que Google Authenticator, Microsoft Authenticator, Authy ou autres.

Ces trois derniers offrent des sauvegardes de vos entrées sur un autre appareils afin d’éviter des situations décrites dans l’encadré gris.

PS : Soyez vigilant lors de l’activation afin de ne pas perdre votre accès.

La majorité des sites Web et services offre l’authentification à double facteur. Par contre, si vous êtes craintif pour sa mise en place, je vous comprends très bien, car ce n’est pas évident pour tous. Ne sous estimez pas l’aide d’un spécialiste en Sécurité TI disponible pour vous accompagner en toute confiance dans cette démarche.

Résumé

Vous voilà maintenant plus connaissant sur l’authentification à double facteur, son mécanisme et ce que cela implique. Vous connaissez même les différents facteurs d’authentification qui existent. Oui, l’authentification à double facteur est vraiment beaucoup plus sécuritaire. On devrait tous l’activer sur nos comptes qui offrent le service afin de mieux protéger nos accès. Aujourd’hui, un simple mot de passe n’est plus suffisant. Aussi, vous connaissez maintenant les plus grands risques et dangers à éviter. En conséquence, lors de la mise en place du MFA, soyez très vigilant ou demandez l’accompagnement d’un spécialiste en Sécurité TI de confiance.

JOINDRE LE GROUPE

Consultation gratuite

Devenez vous aussi rapidement avisés, proactifs et Cybersécuritaire !
« Les bénéfices d’une prévention minimale en sécurité dépassent largement son investissement »
– Joel Dubois

Partagez sur Facebook

Partagez sur Tweeter

Save

3 thoughts on “Authentification à double facteur”

André Desnoyers 2021-03-23 at 07:03

Tu parles beaucoup de gestionnaire de mots de passe, as-tu des suggestions de gestionnaire efficace, fiable et peut coûteux pour le commun des mortels?
1. admin 2021-03-23 at 07:28
  
  Bonjour André,
  Merci de nous lire. Tu trouveras sur le groupe de soutien Facebook : « Cybersécurité Québec » plusieurs solutions suggérées, gratuites et quelques alternatives.
  Regarde la “Rubriques” ou “Topics” 2FA/MFA et Password
  
  Merci.
Pingback: Sécuriser un iPhone ou Apple ID simplement » Monsieur TI Sécurité

Comments are closed.

Guillaume Le Moigne

2023-03-26

Nous recommandons avec beaucoup d'enthousiasme les services de Monsieur TI! Joël Dubois est un professionnel très consciencieux, à l'écoute et très aux faits des meilleurs pratiques en matière de cybersécurité. Grâce à sa contribution, notre société a pu se conformer aux meilleures standards en matière de sécurité et aux normes légales du milieu. Nous sommes extrêmement satisfaits de la Solution MTI 360° que nous avons choisi pour la mise en place pour la gestion sécuritaire de nos actifs informationnels.

Ricky Girard

2022-10-26

Explique bien les choses et a à cœur la sécurité informatique de ses clients.

Melissa Marois

2022-10-20

Très satisfait du service de MonsieurTI.ca et très rapide pour le service. Je le recommande vivement. Merci !

Lortie Josée

2022-08-15

Service hors pair !! Remarquablement rapide et efficace !! Merci !

Claudel Désir (Hÿlo / That's Montreal)

2022-05-06

Monsieur TI est d'une expertise de très haut niveau qui me surprend, une communication ''friendly'' qui cible exactement le besoin , avec une touche éducative et experte pour qu'on se débrouille de manière autonome, un soutien technique avancé, avec des références impeccables. Un service solide sur le long terme, sa force en sécurité rassure mon entreprise VITE et très solidement. Suivre ses informations c'est permettre des bonnes bases à mon entreprise. Merci!

séb sch (webmaster67)

2022-03-10

Personne très compétente, avec un excellent sens du contact, j'ai apprécié nos échanges. Pensez à faire appelle à ces services , je vous le recommande.

Marie-France Dean

2022-02-13

Sympathique et professionnel.

nadia gosselin

2021-11-12

J'ai fais nettoyer et réinstaller mon portable. Service professionnel et rapide. Il va beaucoup mieux et maintenant il est sécurisé. Merci pour les bons conseils de sécurité Je vous recommande dans hésiter Monsieur TI Sécurité

France Bruneau

2021-08-23

J'ai fait affaire avec monsieur TI pour du support avec mon gestionnaire de mot de passe et j'ai été très satisfaite. Bon rapport qualité prix.