Authentification à double facteur

2FA Authentification à Double Facteur

Dans cet article vous trouverez les réponses aux questions les plus fréquemment posées sur l’authentification à double facteur et même davantage.

  • Qu’est-ce que l’authentification à double facteur que l’on entend parler de plus en plus?
  • Est-ce utile?
  • Est-ce vraiment plus sécuritaire?
  • Pour quel type d’accès cela pourrait-il être utile?
  • Y a-t-il des risques à mettre en place cette utilisation?

Identification et authentification

Malgré que je vous offre le lien de la définition de Wikipédia à propos de l’authentification à double facteur, je me permets de vous expliquer brièvement et avec le plus de simplicité possible.

Premièrement, il faut comprendre que lorsqu’on s’identifie sur un site Web ou sur un service, c’est souvent avec un courriel, un nom, un pseudo ou encore un code qu’on le fait. Par après, on communique, la majorité du temps, son mot de passe que nous avions fourni antérieurement, afin de démontrer que nous sommes bien celui qu’on prétend être avec l’identifiant. Voilà la mécanique de l’identifiant et de l’authentification à sa plus simple expression.

Les types d’authentification

En sécurité, il existe plusieurs types d’authentification. Afin de faire très simple, il y a principalement trois types de facteurs d’authentification en sécurité ainsi qu’un quatrième qui tend à être de plus en plus utilisé et reconnu comme complément dans des situations particulières. Maintenant, si on ajoutait dans la mécanique une deuxième authentification, nous aurions une « Double Authentification ». On obtiendrait alors une authentification qui nous semble plus forte et sécuritaire. Mais ce n’est pas vraiment la cas, dans l’exemple où l’on ajouterait deux mots de passe.

Je vous présent maintenant les types de « Facteurs d’Authentification » qui ont une très grande importance.

  1. Quelque chose que vous connaissez (comme un mot de passe ou un NIP)
  2. Quelque chose que vous avez (comme un téléphone SMS ou Apps, une carte, un jeton ou une clé)
  3. Quelque chose que vous êtes (comme les empreintes digitales, l’iris ou FaceID)
  4. Quelque part où l’utilisateur se trouve ( comme une connexion à un réseau informatique spécifique ou utilisant un signal GPS pour identifier l’emplacement)
Inspiré de FastPay

Maintenant que vous connaissez les trois principaux types de facteur d’authentification, on passe à la prochaine étape des explications.

Afin d’obtenir une sécurité vraiment accrue sur l’identifiant, nous allons jumeller deux (2) types d’authentification de différents facteurs, d’où enfin le nom « Authentification à double facteur ». Vous comprendrez facilement que s’il y a deux types d’authentification différents qui sont validés avant que les accès à l’identifiant soient octroyés, c’est d’autant plus sécuritaire. Le fait que ce soit deux (2) types de facteur différents renforcie de beaucoup la robustesse de l’accès. En sécurité, on parlera alors d’une « authentification forte ».

Les authentifications fortes sont très utile pour mieux sécuriser les accès à une ressource de valeur telle qu’un accès bancaire, les accès d’administrateurs à des serveurs, les accès courriels importants ou pour garantir que vous êtes assurément le seul à avoir accès à la réception des paiements Interac ou autres.

Quel facteur devrait-on utiliser ? Voyons la facilité d’intégration aux système pour les programmeurs et l’utilisation de chacun d’eux.

Type d’authentificationExemplesIntégration systèmeUtilisation
1. Ce que vous connaissezMot de passe, NIPSimpleSimple
2. Ce que vous avezTéléphone, jetonMoyenneMoyenne
3. Ce que vous êtesIris, visageComplexeSimple
4. Où l’utilisateur se trouveGéolocalisationMoyenneSimple

Pour le premier type d’authentification, l’intégration et l’utilisation de mots de passe est relativement simple. N’oublions pas de considérer qu’être sécuritaire c’est avoir plusieurs caractères tels que des chiffres, lettres minuscules et majuscules ainsi que des caractères spéciaux. Il faut aussi avoir des mots de passe différents pour chacun de nos comptes. Vaut mieux prévoir utiliser un gestionnaire de mot de passe avec un peu de discipline.

Quand au troisième type d’authentification, l’intégration du mécanisme aux systèmes pour présenter et valider ce que nous sommes est de beaucoup plus complexe. Mais l’utilisation demeure simple comme le FaceID.

Alors que pour le deuxième type d’authentification, l’intégration et l’utilisation de ce que nous détenons sont plus simples. Parmi les méthodes de ce type, il y a la réception de code par SMS que je déconseille d’ailleurs. Il y a aussi toutes les applications Time-based One-time Password algorithm TOTP telles que Google Authenticator, Microsoft Authenticator, Authy et autres que je suggère davantage. Quoique les puristes de la sécurité ne les considèrent pas comme un vrai deuxième facteur, car c’est une application logicielle. Quoi qu’il en soit, ils améliorent grandement votre sécurité. Finalement il y a aussi les jetons d’authentification physiques U2F tels que Yubikey et autres qui suivent la norme Fido pour une sécurité beaucoup plus accrue. Par contre, chacun de ceux-ci présente aussi quelques risques que j’explique.

Acronymes anglais souvent utilisés

  • 2FA – Two-Factor Authentication
  • MFAMulti-Factor Authentication
  • U2FUniversal 2nd Factor ( Jetons d’authentification physiques tels que des clés Yubikey )

Risques

Voici les principaux risques reliés à l’authentification à double facteur ainsi que la facilité à maintenir le mécanisme dans le temps.

Les risques de perdre ou d’oublier un mot de passe pour ce que vous connaissez existe, mais depuis le temps, on a le réflexe de faire attention et de plus en plus de gens utilise un gestionnaire de mot de passe. Tant qu’aux risques de perdre un attribut de ce que vous êtes, c’est très peu probable. Par contre, les risques de perdre ce que vous avez sont beaucoup plus grand. Voici quelques situations typiques très fréquentes causant problème.

  • Mon patron récupère le téléphone intélligent d’entreprise (Numéro de téléphone) que j’utilisais et recevais par texto / SMS mes authentifications à double facteur.
  • Je perds mon téléphone intélligent sur lequel j’avais l’application Google Authenticator, Microsoft Authenticator ou autres dans lequel mes codes d’accès d’authentification TOTP sont inscrits.
  • Vous vous faites voler votre accès SMS par des pirates via un “SIM Swap Scam“.

Alors, rappelez-vous que peu importe le type de « ce que vous avez », prévoyez toujours être en mesure de pouvoir récupérer et pouvoir refaire la mise en place de ce type d’authentification de votre accès, sinon il sera très difficile de récupérer vos accès si vous les perdez.

PS : Soyez vigilant lors de l’activation afin de ne pas perdre votre accès.

De plus vous devriez cesser l’utilisation des SMS comme authentifiant, car des gens d’intérêts peuvent facilement devenir victimes . Optez davantage pour des applications TOTP telles que Google Authenticator, Microsoft Authenticator, Authy et autres.

La majorité des sites Web et services offre l’authentification à double facteur. Par contre, si vous êtes craintif pour sa mise en place, je vous comprends très bien, car ce n’est pas évident pour tous. Ne sous estimez pas l’aide d’un spécialiste en Sécurité TI disponible pour vous accompagner en toute confiance dans cette démarche.

Résumé

Vous voilà maintenant plus connaissant sur l’authentification à double facteur, son mécanisme et ce que cela implique. Vous connaissez même les différents facteurs d’authentification qui existent. Oui, l’authentification à double facteur est vraiment beaucoup plus sécuritaire. On devrait tous l’activer sur nos comptes qui offrent le service afin de mieux protéger nos accès. Aujourd’hui, un simple mot de passe n’est plus suffisant. Aussi, vous connaissez maintenant les plus grands risques et dangers à éviter. En conséquence, lors de la mise en place du MFA, soyez très vigilant ou demandez l’accompagnement d’un spécialiste en Sécurité TI de confiance.

Devenez vous aussi rapidement avisés, proactifs et Cybersécuritaire !
« Les bénéfices d’une prévention minimale en sécurité dépassent largement son investissement »
– Joel Dubois

3 thoughts on “Authentification à double facteur”

  1. André Desnoyers

    Tu parles beaucoup de gestionnaire de mots de passe, as-tu des suggestions de gestionnaire efficace, fiable et peut coûteux pour le commun des mortels?

  2. Pingback: Sécuriser un iPhone ou Apple ID simplement » Monsieur TI Sécurité

Leave a Reply

Your email address will not be published. Required fields are marked *