Publié le 17 mars 2021 à 09h56

Vous devriez vraiment prendre 30 minutes pour activer la double authentification

Temps de lecture : 4 min

« Double authentification », « authentification à deux facteurs », « 2FA » ou encore « A2F » : appelez-la comme vous le voulez, cette protection est aujourd’hui essentielle. De plus en plus de services proposent de l’activer dans les paramètres de sécurité, mais peu obligent leurs utilisateurs à la mettre en place. Pourtant, elle suffit à vous protéger contre une multitude de petites attaques, et prend très peu de temps à mettre en place.

Concrètement, l’activation de la double authentification dure tout au plus au plus 3 minutes par compte. Au total, vous n’aurez qu’à bloquer entre 30 minutes et 1 heure, selon le nombre de comptes que vous avez à protéger. Après cet investissement, vous n’aurez plus jamais à vous en occuper, et vos comptes seront bien mieux sécurisés.

Pour aller plus loin

Comment activer la double authentification sur le principaux services

Qu’est-ce que la double authentification ?

Lors de la connexion à n’importe quel compte, vous devez renseigner deux informations :

Un nom d’utilisateur : votre adresse email, un pseudo ou encore un numéro attribué au préalable par le service en question.
Un mot de passe, que vous avez défini lors de la création du compte.

Ces deux informations sont vos identifiants, et leur combinaison doit être suffisamment secrète pour que vous soyez la seule personne à la connaître. Voyez-les comme la serrure d’une porte, dont vous seuls avez — en théorie — la clé. La double authentification, elle, va venir placer un loquet supplémentaire sur le haut de la porte. En conséquence, même si une personne obtient une clé pour ouvrir la serrure, il ne pourra pas ouvrir la porte, car le loquet l’en empêchera.

Même avec la clé, l’intrus ne pourra pas rentrer. // Source : CCO/Pxhere

Un compte protégé par la double authentification demandera à l’utilisateur de renseigner un troisième identifiant une fois qu’il aura rentré les deux premiers. Ce troisième identifiant prend le plus souvent la forme d’un code à chiffre, qui sera envoyé par SMS ou email par le service concerné ;généré par une application tierce comme Google Authenticator ; ou encore embarqué dans une clé physique qu’il faudra connecter à l’ordinateur.

Résultat : la double authentification va alourdir la procédure de connexion au compte, puisque vous devrez attendre de recevoir le code, puis le renseigner. Mais gardez en tête que la plupart des services utilisent des cookies pour que vous n’ayez pas à vous identifier à chaque fois que vous voulez consulter votre compte.

Contre quoi la double authentification me protège-t-elle ?

Comme toute mesure de sécurité, la double authentification ajoute une friction à l’usage. Mais celle-ci est légère, et vous offre en contrepartie une protection supplémentaire essentielle. La 2FA va servir de dernier rempart à votre compte lorsque vos identifiants sont compromis. Elle vous évitera de subir un vol d’information, de payer pour des achats frauduleux ou plus simplement de perdre un compte.

Vos identifiants risquent de fuiter. Plusieurs fois par semaine, des entreprises sont victimes de fuites de données. Ces fuites peuvent contenir les mots de passe des utilisateurs, au point que certains malfaiteurs ont pour spécialité de les rassembler sous forme de liste. S’ils savent que le mot de passe de Brigitte pour un site est « meau2pace », ils vont essayer de l’utiliser pour se connecter à ses autres comptes. Si Brigitte réutilise « meau2pace » pour un autre compte, ils réussiront leur manœuvre… sauf si elle a mis la double authentification en place, puisqu’ils n’auront aucun moyen de récupérer le code supplémentaire. Si vous n’êtes pas précautionneux dans la composition de vos mots de passe, la 2FA a encore plus d’intérêt.
La double authentification vous donne un droit à l’erreur en cas de phishing réussi. Les cybercriminels essaient régulièrement de récupérer vos identifiants Facebook, ceux de votre compte bancaire, ou encore ceux de vos comptes sur les plateformes d’e-commerce. Même si vous êtes prudents, vous pourriez vous faire piéger, un jour où votre attention serait au plus bas. Et c’est ici que la double authentification remplirait son rôle de dernier rempart. Vous avez rentré vos identifiants Facebook dans une page de phishing ? Si la 2FA est activée, les malfaiteurs ne pourront toujours pas se connecter à votre compte, car ils ne pourront pas récupérer le code supplémentaire.

Quelles sont les limites de la double authentification ?

Bien que la double authentification soit efficace, elle ne garantit pas l’intégrité de votre compte. Autrement dit, elle renforcera sa sécurité, mais vous ne pouvez pas la considérer comme une garantie absolue.

Certaines vulnérabilités permettent d’accéder aux comptes des victimes sans même s’identifier, en passant outre la double authentification. Par exemple, à l’été 2020, un hacker de 17 ans avait pris la main sur les comptes Twitter de dizaines de célébrités, alors que la plupart étaient protégés par la 2FA. Plus tôt la même année, des malfrats avaient trouvé un moyen de voler les tokens d’authentification de Discord, afin de prendre la main sur les comptes de victime sans voler ses identifiants.
Il existe des techniques pour intercepter le code de la double authentification. Par exemple, pour contrer la 2FA par SMS, certains malfrats s’essaient au SIM swapping. Cette méthode consiste à tromper l’opérateur téléphonique de la victime pour lui dérober son numéro. Concrètement, le malfaiteur fait transférer le numéro depuis la carte SIM de sa cible à une carte SIM en sa possession. Il pourra ainsi recevoir les codes de la procédure de double authentification. S’il possède les deux autres identifiants, il pourra se connecter au compte de sa victime, et par exemple lui dérober de l’argent.
Parfois, la double authentification ne fonctionne pas correctement. Rien de plus désagréable que d’attendre un code de confirmation qui n’arrive pas, et pourtant c’est une situation régulière avec certains services. Si la 2FA fonctionne mal, vous serez bloqués en dehors de votre compte.

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !

Crédit photo de la une : EFF - Flickr

Signaler une erreur dans le texte

Partager l'article

Sur le même thème

Rejoignez la révolution voiture électrique avec la newsletter Watt Else par Numerama !

Pixel 7 Pro // Source : Louise Audry pour Numerama

Google Authenticator corrige son plus grand défaut

La solution de cybersécurité Bitdefender Premium Security Plus profite de 50 % de remise durant le Black Friday

Voici comment Bitdefender vous aide à réaliser des achats en toute sécurité pour le Black Friday

sponso

Pourquoi les ministres vont devoir renoncer à WhatsApp, Signal et Telegram

Signal accuse la France de dire n’importe quoi sur sa messagerie sécurisée

Authy tue son appli de bureau pour la double authentification

Les derniers articles cyberguerre

Le groupe Volkswagen a été espionné par la Chine pendant 5 ans. // Source : Volkswagen / montage Numerama

vroom voiture voiture électrique

La Chine a espionné sans relâche les voitures électriques de Volkswagen pendant 5 ans

23.04.2024 18:01

Un accès au tableau du modérateur

Plusieurs failles de sécurités ont été détectées sur l'application Wizz App, populaire chez les ados. // Source : Wizz / Numerama

Un hacker s’est infiltré dans Wizz, l’app des ados, pour révéler ses failles béantes

23.04.2024 13:53

Les faux sites pour le concert de Jul sont déjà légions sur le web. // Source : Numerama

cyberguerre hygiène numérique phishing

Concerts de Jul à Paris et Marseille : attention aux faux billets vendus en ligne

23.04.2024 12:45

Les logiciels pour bloquer l'écran et créer la panique sont courants. // Source : Numerama avec Midjourney

cyberguerre cybercriminalité

Des hackers extorquent des pédophiles pris au piège d’un simple logiciel malveillant

22.04.2024 18:27

Le potentiel sans limite de manipulation de l'IA est déjà envisagé par les experts en cybersécurité // Source : Numerama avec Midjourney

cyberguerre cybercriminalité

3 astuces de cybersécurité pour repérer un deepfake lors d’une visioconférence

21.04.2024 20:02

Les hackers du Kremlin tiennent des chaînes Telegram ultra-nationalites russes sur lesquelles ils revendiquent des cyberattaques. // Source : Numerama avec Midjourney

cyberguerre géopolitique

Des hackers « chiens fous » de Poutine se lancent dans des cyberattaques contre les infrastructures énergétiques

19.04.2024 18:14

cyberguerre hygiène numérique gestionnaires de mots de passe

Une attaque par phishing tente de piéger les internautes sur LastPass

19.04.2024 16:40

Le renseignement russe a développé de nouveaux logiciels. // Source : Numerama avec midjourney

cyberguerre géopolitique

« Kapeka », un nouveau logiciel malveillant du renseignement russe, a été repéré

17.04.2024 13:07

Un programme venu d'Europe

Les sociétés de logiciel espion travaillent sur des programmes de pubs malveillantes. // Source : Numerama avec midjourney

Cliquer sur une pub en ligne pourrait installer un logiciel espion sur votre smartphone

16.04.2024 11:55

Des données étaient laissées sans protection sur le site de Bouygues Telecom. // Source : Pixabay / typographyimages

tech smartphone apple iphone

Voici le message que vous recevrez si votre iPhone est infecté par un logiciel espion

12.04.2024 10:17