Protégez vos comptes à l’aide d’une application d’authentification à double facteur
Avoir un mot de passe fort ne suffit pas pour protéger des comptes importants. Que ce soit pour protéger notre compte bancaire, compte des courriels ou compte de réseaux sociaux (Facebook, Instagram, etc.), on a tout intérêt à utiliser une application mobile de double authentification. Des applications comme Authy, 2FAS, Google Authenticator ou Microsoft Authenticator vont nous générer des codes de connexion qui s'avère plus sécuritaire.
On entend parler beaucoup depuis plusieurs années de l’importance d’avoir des mots de passe forts sur nos comptes. Nous-mêmes, on le répète toujours!
Il reste que notre mot de passe peut être compromis via une fuite de donnée ou volé par un logiciel malveillant.
C'est pour se protéger face à ces éventualités, qui peuvent être hors de notre contrôle, qu'on a intérêt à utiliser une application de double authentification aussi appelée application à double facteur ou encore 2FA.
- Qu’est-ce que l’authentification à double facteur?
- Qu'est-ce qu'une application d'authentification et comment ça fonctionne?
- Quelle est la meilleure application d'authentification?
- Comment configurer ou utiliser une application d'authentification?
- Quels sont les avantages d'utiliser une application 2FA?
- Quels sont les inconvénients des applications 2FA?
- Quoi faire si je perds l'accès à mon application 2FA?
Qu’est-ce que l’authentification à double facteur?
Dans les bonnes pratiques de la cybersécurité, on devrait utiliser un bon gestionnaire de mots de passe pour générer des mots de passe forts et diversifiés. Si on utilise le même mot de passe sur plusieurs comptes, il suffit qu’un domino tombe pour que les autres suivent.
Mais ensuite, pour ajouter une couche de sécurité supplémentaire, on devrait ajouter l'authentification à double facteur sur les comptes qui nous en offrent la possibilité.
L’authentification à double facteur est essentiellement un procédé où, lorsque l’on veut se connecter à notre compte, on nous demande d'entrer un second code après avoir entré notre mot de passe. Ce code est souvent de 4 à 6 chiffres.
Plusieurs services en ligne utilisent ce procédé pour renforcer la sécurité, sauf qu'il y a un hic...
C'est que par défaut, la plupart vont nous envoyer ce code par message texte (SMS / texto) ou par courriel.
Or, c'est loin d'être optimal côté sécurité.
Si notre compte courriel a été piraté, bien le code s'en va directement aux pirates...
Même chose pour les textos si on est victime d'une fraude à la carte SIM (SIM Swap). Cette fraude vise non seulement à voler notre identité, mais aussi à intercepter nos fameux codes de double authentification.
C'est pour ces raisons précises qu'il existe des applications que l'on peut lier à nos comptes et qui vont nous générer nos fameux codes à double facteur.
Qu'est-ce qu'une application d'authentification et comment ça fonctionne?
Une application d'authentification est donc une méthode qui ajoute une couche de sécurité supplémentaire à nos comptes en ligne au-delà de notre mot de passe.
Elle permet de vérifier que c'est bien nous qui tentons de nous connecter en utilisant quelque chose que nous avons physiquement; notre appareil mobile.
Ces applications fonctionnent en générant des codes à usage unique basés sur le temps (TOTP ou OTP).
Typiquement, il s'agit d'un code à six chiffres qui se rafraîchit toutes les 30 secondes.
Et c'est précisément ça qui les rend vraiment sécuritaires. La nature limitée dans le temps de ces codes les rend difficiles à voler et à utiliser avant qu'ils n'expirent.
D'autant plus qu'il faut avoir un accès physique à l'appareil qui génère ces codes! C'est-à-dire notre téléphone intelligent.
Enfin, ces applications ne sont pas liées à un compte qui pourrait lui-même être piraté. Elles sont directement liées à notre téléphone intelligent.
Quelle est la meilleure application d'authentification?
On retrouve plusieurs applications d’authentification à double facteur qui sont gratuites, autant sur iOS qu’Android, telles que:
Où trouver une application d'authentification?
Il est bien important de télécharger ces applications auprès du site des développeurs, ainsi que sur le Play Store ou l'App Store tout en vérifiant encore une fois les développeurs.
On ne veut pas télécharger une fausse copie d'une de ces applications et donner nos accès à des personnes malveillantes.
Plus haut, nous vous avons mis les liens vers les pages web des développeurs de ces applications à partir desquelles vous pouvez télécharger la bonne application.
Comment configurer ou utiliser une application d'authentification?
Toutes ces applications de double authentification fonctionnent sensiblement de la même façon et ont le même type de configuration.
Essentiellement, on se rend dans les paramètres de sécurité du compte qu'on veut protéger via la double authentification. Par exemple, notre compte Google, Facebook, Amazon, Apple, Microsoft, etc.
Puis, on va dans l'onglet: Validation en deux étapes ou Authentification à double facteur.
Généralement, on va ensuite avoir un autre onglet avec un libellé du genre: Authenticator ou Application d’authentification. On clique là-dessus.
À ce moment, un code QR va être affiché à l'écran.
À l'aide de notre application de double authentification, on va sélectionner l'option pour ajouter un compte, puis on va numériser ce fameux code QR.+
Il est aussi possible de copier / coller une clé de sécurité dans une éventualité où on configure le tout à même notre téléphone et qu'on ne peut évidemment pas numériser un code qui est affiché sur l'écran de notre dit téléphone.
Pour valider la synchronisation entre notre compte et notre application, on va devoir entrer le code qui est généré par notre application.
Donc par exemple, disons que l'on configure le tout sur un compte Facebook. On numérise le code QR via notre application, celle-ci me génère un code de vérification qu'on va ensuite entrer sur Facebook pour lier notre compte à l'application.
Une fois la synchronisation faite, le tour est joué!
Ainsi, chaque fois qu'on va vouloir se connecter à un compte auquel on a jumelé notre application de double authentification, on va entrer notre mot de passe, puis le code qui nous est affiché dans notre téléphone.
Certes, c’est une étape de plus pour se connecter à nos comptes, mais c’est une barrière redoutable contre les intrus!
Quels sont les avantages d'utiliser une application 2FA?
Résumons grosso modo les avantages à utiliser une application à double facteur.
C'est une excellente barrière de sécurité
D'abord, c'est une option de sécurité importante pour empêcher des pirates, qui auraient mis la main sur nos mots de passe, d'accéder à nos comptes. Même avec nos mots de passe en main, ils ne pourront accéder à nos comptes, puisqu'ils vont se buter à cette seconde barrière.
C'est plus sécuritaire que les codes envoyés par textos
Ensuite, ces applications sont plus sécuritaires que de recevoir nos fameux codes via courriels ou texto.
D'abord, parce que ces moyens de transmissions ne sont pas protégés par un système de chiffrement.
Ensuite, parce qu'ils peuvent être interceptés si notre courriel est compromis ou qu'on est victime d'une fraude de SIM Swap.
Enfin, les applications 2FA génèrent des codes aux 30 secondes, alors qu'un texto ou un courriel, ça reste là indéfiniment.
On peut y accéder même sans internet
Une fois configurées, ces applications peuvent générer des codes, même sans connexion cellulaire ou internet.
C'est particulièrement utile en voyage quand on ne veut pas activer nos données cellulaires à l'étranger et simplement utiliser une eSIM.
Quels sont les inconvénients des applications 2FA?
Malheureusement, il n'y a jamais vraiment de solution parfaite. Les applications de double authentification n'y échappent pas et il est important de connaître les contraintes et les inconvénients.
Il faut avoir un téléphone intelligent...
D'une part, on aura compris que ça nécessite d'avoir un téléphone intelligent. Ça peut sembler bête, mais il reste qu'il y a encore des personnes qui ne veulent pas en avoir.
... et le garder précieusement!
Comme notre téléphone devient la clé de nos comptes, il faut faire plus qu'attention pour ne pas le perdre, se le faire voler ou bien le briser!
Comment activer la protection contre le vol sur iPhone
Comment activer la protection contre le vol sur Android
Il faut également penser à tout transférer quand on se procure un nouvel appareil.
Heureusement, c'est facile à faire, mais il ne faut surtout pas oublier avant de réinitialiser notre téléphone.
Penser à un plan de sauvegarde
Pour pallier l'une de ces situations avec notre téléphone, il est essentiel d'avoir un plan de sauvegarde.
Selon l'application qu'on utilise, certains vont nous générer une clé de sécurité qu'on doit garder dans un endroit sûr, alors que d'autres vont stocker le tout sur le nuage.
Sauf que stocker le tout sur le nuage, c'est aussi une vulnérabilité...
Pas tous les sites sont configurables
Point important aussi à noter, ce ne sont pas tous les sites web et plateformes en ligne qui permettent de synchroniser de la sorte avec une application de double authentification.
Des géants du web comme Google, Facebook, Amazon ou Microsoft l'offrent, mais d'autres services de moins grandes ampleurs se limitent seulement à envoyer le tout via texto.
Se protéger des virus qui veulent s'infiltrer
Enfin, notre téléphone peut être infecté par un logiciel malveillant qui se fera un plaisir d'aller siphonner ces codes pour accéder à nos comptes.
On peut aussi être visé par des tentatives d'hameçonnage ou d'une fraude d'ingénierie sociale dans le but de voler nos précieux accès.
D'où l'importance, encore une fois, de se munir d'un bon antivirus mobile.
Surtout quand on sait la quantité d'information personnelle qui est stockée sur nos téléphones!
Nos suggestions d'antivirus mobile
Quoi faire si je perds l'accès à mon application 2FA?
Si on perd l'accès à notre application d'authentification (parce que votre téléphone est volé, perdu, endommagé ou si l'application est supprimée accidentellement ), voici les actions à entreprendre:
Avoir conservé les codes de récupération à usage unique
Lors de la configuration initiale de l'authentification à deux facteurs, de nombreux services fournissent une liste de codes de secours (souvent appelés codes de récupération ou backup codes).
Ces codes sont destinés à être utilisés une seule fois chacun en cas de perte d'accès à vos autres méthodes 2FA.
Il est essentiel de sauvegarder ces codes et de les conserver dans un endroit sécurisé.
Ça peut notamment être dans un gestionnaire de mots de passe sécurisé ou bien gravé sur des portefeuilles métalliques.
Utiliser la fonction de sauvegarde de l'application (si disponible)
Certaines applications d'authentification, comme Microsoft Authenticator (pour les comptes personnels) ou Authy, offrent des fonctionnalités de sauvegarde chiffrée dans le cloud ou de synchronisation.
Si on utilise une application avec cette option et qu'on a activé la sauvegarde en nuage, on peut potentiellement récupérer nos comptes authentifiés en restaurant la sauvegarde sur un nouvel appareil.
Cependant, la migration entre systèmes d'exploitation (comme iOS et Android) peut être compliquée avec certaines applications (comme Microsoft Authenticator) en raison des différences dans les services de sauvegarde (iCloud vs Google Drive).
De plus, la synchronisation via un compte cloud (comme un compte Google pour Google Authenticator) peut aussi être considérée comme un risque si ce compte cloud est compromis.
