Sécurité : utilisez l’authentification multifacteur pour vos comptes en ligne

01 décembre 2021

Deux protections valent mieux qu’une ! Qu’est-ce que l’authentification multifacteur et pourquoi faut-il la privilégier lorsqu’elle est proposée ?

Banque, e-commerce, messagerie électronique, réseaux sociaux : tout le monde possède des comptes personnels sur de nombreux sites web. Sur chacun d’entre eux se trouvent des données personnelles dont certaines sont particulièrement sensibles.

Le plus souvent, l’accès à ces espaces personnels repose sur un mécanisme d’authentification destiné à vérifier que vous êtes bien la personne qui est en droit d’accéder à ce compte. Ce mécanisme d’authentification peut être simple (un mot de passe par exemple) ou multifacteur (un mot de passe et un code reçu par SMS par exemple).

Pourquoi éviter l’authentification simple ?

Le problème de l’authentification simple est que la sécurité repose sur un seul facteur. Par conséquent, si cet unique facteur d’authentification est compromis, un pirate pourra accéder librement à votre compte en ligne et aux données qu’il contient. 

Cela explique que les premières cibles d’attaque des pirates informatiques sont les identifiants de connexion (identifiant de compte – le plus souvent une adresse mail – et le mot de passe). Le fait de disposer de ces informations augmente leurs chances d’accéder à vos autres comptes, de voler vos données personnelles, notamment bancaires ou sensibles et d’usurper votre identité. Cela conduit à des vols fréquents de bases de données comportant des identifiants et des mots de passe. C’est également un des objectifs des attaques par hameçonnage.

Pourquoi utiliser l’authentification multifacteur ?

L’authentification multifacteur permet de renforcer la sécurité de l’accès à vos comptes grâce à l’ajout d’un ou de plusieurs facteurs d’authentification.

Vous la trouverez parfois désignée par le sigle « 2FA » (pour l’anglais « 2-factor authentication », authentification à deux facteurs), par « validation en deux étapes » ou encore « MFA » (pour l’anglais « multi-factor authentication », l’authentification multifacteur).

À noter : de plus en plus de services, notamment bancaires, proposent ce mécanisme d’authentification en fournissant aux internautes des guides étape par étape pour l’activation et l’utilisation de cette fonctionnalité.

L’utilisation de l’authentification multifacteur rend plus difficile le piratage d’un compte. En effet, même si un pirate informatique parvient à se procurer votre identifiant et votre mot de passe, il ne pourra pas accéder à votre compte, faute de disposer du second facteur d’authentification.

Comment cela fonctionne ?

L’authentification multifacteur met en œuvre un facteur d’authentification supplémentaire associé à votre compte : à « ce que vous savez » (un mot de passe, par exemple) peut se combiner « ce que vous possédez ». Par exemple, un code reçu par mail ou par SMS, un jeton USB, une carte à puce.

Le mécanisme multifacteur s’active généralement dans les paramètres de sécurité de votre compte. Une fois celui-ci activé, votre identité est vérifiée à deux reprises avant de pouvoir accéder au compte :

  • une première fois, lorsque vous saisissez votre identifiant et votre mot de passe ;
  • une seconde fois, au moyen d’un code d’authentification qui vous est adressé par SMS, par mail, par téléphone ou bien qui est généré via une application de code de validation installée sur votre matériel. Ce code est confidentiel. Il n’est valable, en principe, que quelques minutes.

 

Authentification multifacteur

Précautions à prendre :

Lorsqu’il est activé, le deuxième facteur devient indispensable pour accéder au service. Ainsi, en cas d’impossibilité de le récupérer (par exemple, en cas de perte, vol ou dysfonctionnement du téléphone permettant de recevoir le code par SMS), l’accès au compte est temporairement impossible.

Dans quels cas est-elle obligatoire ?

Depuis fin 2019 (directive DSP2), les banques et les prestataires de services de paiement doivent mettre en œuvre une authentification multifacteur pour la plupart des paiements à distance, l’accès au compte ainsi que les opérations sensibles (ajout de bénéficiaire de virements, commande de chéquier, changement d’adresse, etc.).

Les limites de l’authentification multifacteur

Comme toute mesure de sécurité, l’authentification multifacteur n’est pas infaillible. Ainsi, ce mécanisme reste vulnérable à certaines attaques sophistiquées telles que le hameçonnage en temps réel, l’interception des SMS contenant les codes d’authentification ou les attaques du type « SIM swapping » (ou « remplacement de carte SIM » en français).

Cependant, elle réduit significativement le risque de fuite ou de réutilisation de données personnelles par rapport à une authentification simple. La CNIL recommande donc d’activer l’authentification multifacteur chaque fois qu’un service le propose.