Quelle est la sécurité exacte de l’authentification à deux facteurs ?
L’authentification à deux facteurs (2FA) devient obligatoire sur de nombreux sites Web, et il est facile de comprendre pourquoi. À première vue, vous obliger à confirmer votre connexion par SMS ou par une application fournit une deuxième couche de sécurité solide. Mais à quel point est-il fort?
Avec l’augmentation des menaces de sécurité et les personnes ayant plus que jamais à perdre en ligne, il est naturel de vouloir se protéger autant que possible. Bien que le piratage d’un compte de réseau social puisse être ennuyeux, il y a des conséquences bien plus graves à avoir une cybersécurité laxiste. Les pirates pourraient accéder à vos comptes bancaires et vider vos économies, des fichiers et des photos sensibles pourraient être volés, et vous pourriez même avoir un compte professionnel piraté et atterrir dans l’eau chaude avec votre patron.
Le terme « authentification à deux facteurs » fait référence à une deuxième étape pour confirmer qui vous êtes. Une couche de protection supplémentaire fournira, par défaut, plus de sécurité qu’une simple barrière. Cependant, il existe plus d’une méthode de 2FA; toutes les méthodes offrent différents niveaux de sécurité, et certaines sont plus populaires que d’autres. Alors, 2FA peut-il rendre vos comptes sensibles invulnérables aux pirates ? Ou est-ce juste un énorme gaspillage d’efforts? Découvrons-le.
Sommaire
Le SMS n’est pas aussi sûr qu’il y paraît
La forme la plus courante de 2FA est basée sur les SMS. Votre banque, votre compte de réseau social ou votre fournisseur de messagerie vous envoie un SMS avec un code, que vous saisissez dans un délai défini. Cela vous donne accès au compte et protège votre connexion de toute personne qui n’a pas votre téléphone. À première vue, c’est la méthode la plus sûre. Quelqu’un aurait besoin de voler votre téléphone portable ou de concevoir un moyen élaboré, à la James Bond, de cloner votre carte SIM pour contourner celui-ci, n’est-ce pas ? Mauvais.
L’année dernière, Vice a affirmé qu’un pirate informatique pourrait utiliser une faille dans le système SMS pour détourner votre numéro et rediriger vos messages SMS pour seulement 16 $. Il existe également des méthodes plus ou moins sophistiquées qu’un individu peut utiliser pour accéder à vos messages. Le plus simple consiste simplement à appeler votre compagnie de téléphone en prétendant être vous, en disant que votre téléphone est manquant et en demandant à la compagnie de changer votre numéro sur une autre carte SIM. Les plus complexes impliquent d’attaquer directement l’entreprise et d’intercepter les messages.
Quant à la façon dont ils obtiennent des informations personnelles et votre numéro de téléphone ? Ils pourraient faire des affaires louches et acheter des informations personnelles sur vous et vos diverses activités en ligne sur le dark web. Ou ils pourraient consulter votre Facebook pour des détails comme votre date de naissance, votre numéro de téléphone, les écoles que vous avez fréquentées et le nom de jeune fille de votre mère. Vous savez peut-être précisément quelles informations vous mettez en ligne, mais beaucoup de gens ne le savent pas.
À tout le moins, il est possible de se protéger des attaques par échange de sim ou d’être alerté lorsqu’elles se produisent. Mais vous devriez envisager d’adopter une méthode 2FA différente si possible.
2FA basé sur le courrier électronique pourrait être inutile
L’authentification à deux facteurs devrait ajouter une couche de sécurité supplémentaire entre votre compte et une menace potentielle. Cependant, si vous êtes paresseux, tout ce que vous faites est d’ajouter une étape supplémentaire et de donner potentiellement un bon rire à un mécréant sur Internet. Si vous êtes le genre de personne qui utilise le même mot de passe pour tout et que son compte de messagerie est utilisé pour sécuriser son compte cible, vous pourriez avoir beaucoup de problèmes. Un pirate peut se connecter à cette adresse e-mail en utilisant les mêmes informations qu’il a déjà volées et authentifier ses actions.
Si vous insistez pour utiliser 2FA par e-mail, vous devez créer un compte de messagerie séparé uniquement à des fins d’authentification avec son mot de passe unique et difficile à déchiffrer. Vous pouvez également utiliser une autre méthode car elles sont toutes plus sécurisées.
Push-Based pourrait vous laisser tomber
L’authentification basée sur le push peut être rapide, simple et sécurisée. Un appareil, qui peut être votre smartphone, est lié à votre compte et enregistré comme méthode 2FA de votre choix. À partir de ce moment, chaque fois que vous souhaitez vous connecter, vous recevrez une notification push sur cet appareil. Déverrouillez votre téléphone, confirmez qu’il s’agit bien de vous et vous êtes connecté. Cela semble parfait, non ?
Malheureusement, il y a un hic ou deux. Le principal problème avec la méthode basée sur le push est que votre appareil doit être en ligne pour que vous puissiez l’utiliser. Si vous avez besoin d’accéder à un compte et que votre téléphone a du mal à obtenir un signal, vous n’avez pas de chance. Il convient de souligner que cela n’a pas été un problème pour moi au cours des quelques années où je l’ai utilisé. Si j’ai besoin de me connecter, je suis généralement quelque part avec le WiFi, que mon téléphone peut utiliser. Je suis plus susceptible d’être à un endroit où je ne peux pas recevoir de SMS qu’à un endroit où j’essaie de me connecter et je ne parviens pas à recevoir une notification push sur mon téléphone.
2FA basé sur le matériel demande beaucoup d’efforts
Les clés d’authentification physiques sont aussi proches que possible de l’impossibilité de piratage. Il s’agit essentiellement d’une clé USB remplie de protocoles et de codes de sécurité que vous branchez sur un appareil auquel vous vous connectez. Vous pouvez le garder sur votre porte-clés et l’emporter avec vous, ou le garder dans un coffre-fort et ne le sortir que lorsque vous avez besoin de vous connecter à quelque chose qui a besoin de cette couche de sécurité supplémentaire. Le principal danger avec une clé physique est de la perdre ou de la casser, ce que vous avez peut-être déjà fait avec des clés USB par le passé.
Il est également possible d’écrire physiquement un mot de passe d’authentification long et complexe. Il s’agit d’une chaîne de chiffres et de caractères et d’une méthode populaire pour sécuriser les portefeuilles de crypto-monnaie. Comme ceux-ci sont difficiles à déchiffrer, le FBI est entré par effraction dans une maison pour trouver un morceau de papier contenant un mot de passe de 27 caractères, ce qui était plus facile que de le trouver. Vous ne pouvez pas pirater quelque chose d’écrit sur un morceau de papier et stocké dans un tiroir de bureau, et les superordinateurs peuvent prendre des années pour parcourir les combinaisons possibles impliquées dans le cryptage de haut niveau.
Bien sûr, si c’est dans le tiroir de votre bureau, ce n’est pas avec vous. Si vous l’emportez avec vous, vous pouvez le perdre aussi facilement que vous pouvez perdre une clé USB 2FA. Et quand il aura disparu, vous devrez au mieux passer par un processus de récupération de compte ou au pire perdre l’accès à votre compte. La méthode physique est la meilleure chose que vous puissiez faire en termes de sécurité, mais la pire en termes de commodité. Vous pouvez l’utiliser comme méthode de récupération de compte à toute épreuve, mais il est probablement préférable de l’éviter pour les éléments auxquels vous accédez à la volée.
2FA basé sur l’application vaut le détour
Le téléchargement d’une application comme Google Authenticator présente quelques avantages. Il est plus sécurisé que des méthodes telles que l’authentification par e-mail et SMS ; il est gratuit dans la plupart des cas et fonctionne toujours si l’appareil n’a pas de connexion Internet. Cela est dû à l’algorithme basé sur la synchronisation, qui produit différentes clés à différents moments dans le temps. Une clé n’est valide que pour une période définie et doit correspondre à l’appareil et au site auxquels l’utilisateur se connecte.
Il y a encore quelques vulnérabilités. Avec Google Authenticator, il n’y a pas de verrouillage sur l’application elle-même, donc toute personne pouvant accéder à votre téléphone peut l’ouvrir et l’utiliser. Certains programmes malveillants peuvent également tirer parti de l’absence de clé d’accès. Vous devez donc envisager des alternatives telles que l’application Microsoft Authenticator, qui ajoute une couche de sécurité supplémentaire au processus d’authentification avec des fonctionnalités telles que le déverrouillage biométrique. Il est également vulnérable aux attaques de phishing, où vous entrez la clé dans un faux site Web et autorisez un pirate ou un robot à action rapide à l’utiliser. Ils sont également ouverts à l’interception.
Vous devriez toujours utiliser 2FA
(Je sais que c’est ringard et que les images ne sont pas mon point fort, mais cela ne semble pas juste sans maintenir le trope « tous les pirates portent des sweats à capuche dans les pièces sombres ».)
J’ai identifié des défauts avec chaque méthode mentionnée, et d’autres apparaîtront probablement avec le temps. Mais plus vous avez de sécurité, mieux c’est. Vous devez utiliser à 100 % 2FA et d’autres méthodes comme un gestionnaire de mots de passe pour sécuriser vos comptes en ligne.
Il existe un équilibre entre la sécurité et la commodité, alors trouvez ce qui fonctionne pour vous. Peut-être que la méthode basée sur le matériel est exagérée ou quelque chose que vous êtes assuré de perdre. Les SMS ne sont peut-être pas aussi sécurisés qu’il y paraît, mais un peu d’effort est encore nécessaire pour le casser. Si vous n’êtes qu’un Joe moyen, vous ne vaudrez probablement pas la peine d’être ciblé individuellement, et l’authentification par SMS est quelque chose qui augmentera considérablement votre sécurité en ligne.
Examinez votre vie, évaluez ce que vous avez à perdre et déterminez l’effort que vous souhaitez y consacrer. Mais choisissez au moins une méthode 2FA (qui n’est pas basée sur les e-mails) et assurez-vous d’avoir un mot de passe différent pour chaque compte qui vous tient à cœur.
