Avertissement : Cet article a été traduit de l’anglais par un LLM. La précision n’est pas garantie. Vous pouvez lire l’article original en anglais.
Dans son rapport de transparence de 2021, Twitter a déclaré que seulement 2,3 % de tous les comptes actifs utilisaient l’authentification à deux facteurs entre juillet et décembre 2020, et bien que certaines entreprises comme Google (selon qui, 100 % des attaques automatisées par bots et 66 % des attaques ciblées peuvent être bloquées grâce à la 2FA) poussent les utilisateurs à l’adopter (en les inscrivant par défaut), elle n’est pas encore largement adoptée par les utilisateurs. Selon Persona, 38 % des grandes entreprises n’utilisent pas la 2FA.
Pourquoi en est-il ainsi ? Peut-être parce que beaucoup de gens sont encore confus quant aux avantages que l’on peut tirer de la 2FA, et comment l’utiliser correctement (par exemple, je connais quelques personnes qui utilisaient Google Authenticator sur leur téléphone sans aucune sauvegarde jusqu’à récemment), ou peut-être qu’ils ne savent tout simplement pas ce que c’est.
Dans cet article, je souhaite discuter des avantages de la 2FA, de ses pièges, et présenter différentes stratégies qui peuvent être utilisées pour tirer le meilleur parti de l’authentification multifacteur.
Qu’est-ce que l’authentification multifacteur ?#
Le National Institute of Standards and Technology (NIST) définit l’authentification multifacteur comme suit :
Un système d’authentification qui nécessite plus d’un facteur d’authentification distinct pour une authentification réussie.
Les facteurs d’authentification#
Il existe trois principaux types de facteurs d’authentification. Si vous possédez des comptes en ligne ou un smartphone, il y a de fortes chances que vous les utilisiez déjà tous. Comme vous l’avez probablement deviné, l’authentification à deux facteurs (2FA) signifie que vous utilisez deux facteurs différents de cette liste.
Quelque chose que vous connaissez#
C’est de loin le plus courant. En gros, cela inclut tout ce que vous avez mémorisé. Par exemple, un mot de passe ou un code PIN.
Quelque chose que vous possédez#
Quelque chose que vous possédez fait référence à un objet physique en votre possession. Il peut s’agir d’un jeton de sécurité physique, d’un téléphone (utilisant un authentificateur avec HOTP ou TOTP ou des notifications push), d’une clé de sécurité, ou d’une carte à puce.
Les codes d’authentification par SMS entrent également dans cette catégorie, mais ils sont généralement la forme d’authentification la moins recommandée en raison des risques d’interception et des attaques par échange de carte SIM. Si vous devez utiliser l’authentification multifacteur par SMS avec un compte, assurez-vous toujours (si possible) que les SMS ne peuvent pas être utilisés pour réinitialiser votre mot de passe, ou envisagez d’utiliser un numéro de téléphone que personne ne connaît.
Quelque chose que vous êtes#
Ce facteur est utilisé pour vous authentifier à l’aide d’une caractéristique physique de votre corps. Par exemple vos empreintes digitales, votre iris, votre voix, …
Avantages de l’authentification multifacteur#
En résumé, l’avantage de l’authentification multifacteur est de rendre vos comptes en ligne plus sécurisés en garantissant que même si un acteur malveillant parvient à compromettre votre mot de passe, il ne pourra toujours pas se connecter à votre compte.
Pour plus de contexte :
- Selon Microsoft, 99,9 % des attaques sur les comptes peuvent être stoppées avec l’authentification multifacteur
- Même les mots de passe forts ne peuvent pas vous protéger contre toutes les attaques (Blog Microsoft)
- 100 % des bots automatisés, 99 % des attaques de phishing de masse et 66 % des attaques ciblées peuvent être stoppés par la 2FA (Google)
- Plus de 24 milliards de noms d’utilisateurs et mots de passe de comptes ont été exposés par des acteurs de la cybermenace à ce jour (Digital Shadows)
Pourquoi vous n’utilisez probablement pas (correctement) la 2FA ?#
Si vous utilisez la 2FA, il est statistiquement plus probable que ce soit par livraison de SMS (ce qui n’est pas recommandé), par notifications push, ou par TOTP.
En termes simples, le TOTP est l’algorithme utilisé lorsqu’un site web vous dit d’installer Google Authenticator et de scanner un QR code. Le serveur génère une clé secrète qui sera utilisée par votre application d’authentification pour générer un mot de passe à usage unique (généralement composé de 6 chiffres) qui changera en fonction du temps (généralement toutes les 30 secondes). Lorsque vous essayez de vous connecter avec le mot de passe à usage unique, le serveur calculera également le mot de passe à usage unique (en utilisant la clé secrète) et vérifiera qu’il correspond à ce que vous fournissez.
Si vous suivez les meilleures pratiques de sécurité, vous avez probablement un gestionnaire de mots de passe pour stocker vos mots de passe (et si ce n’est pas le cas, vous devriez). Vous synchronisez aussi probablement votre gestionnaire de mots de passe avec votre téléphone et utilisez une application 2FA (comme Google Authenticator) sur le même téléphone (ou la fonctionnalité de gestion des mots de passe à usage unique de votre gestionnaire de mots de passe). Cela signifie que vous n’avez en réalité qu’un seul facteur d’authentification.
Est-ce grave ?#
Alors, vous n’utilisez pas vraiment la 2FA. Est-ce grave ? Eh bien, ce n’est pas nécessairement si grave… Même si vous ne bénéficiez pas de tous les avantages d’une utilisation correcte de l’authentification multifacteur, vous êtes toujours protégé contre la compromission de vos comptes si un acteur malveillant parvient à obtenir votre mot de passe par des moyens tels que :
- Vous vous connectez à votre compte depuis un appareil tiers compromis
- Vous êtes tombé dans le piège d’une attaque de phishing
- Vous vous connectez à votre compte en utilisant un protocole réseau faible sur un réseau non sécurisé
- Un autre site web où vous utilisez le même mot de passe est compromis, et l’acteur malveillant essaie votre identifiant et mot de passe ailleurs (bien que cela ne devrait pas arriver car vous suivez les bonnes pratiques de sécurité et utilisez un mot de passe différent pour chaque site)
Cependant, si pour une raison quelconque votre appareil ou votre logiciel de gestion de mots de passe est compromis, il sera possible pour un acteur malveillant d’accéder à tous vos comptes.
Comment améliorer les choses#
Je dirais que - tant que vous êtes conscient des risques que cela implique - vous n’avez pas nécessairement besoin d’améliorer les choses, du moins pas pour tous vos comptes. Laissez-moi développer avant de me huer.
Vous avez probablement beaucoup de comptes. Certains sont importants, et en perdre le contrôle vous causerait de grands dommages (par exemple votre compte e-mail, le registrar où vous avez vos noms de domaine, …) Certains ne sont pas si importants. Bien sûr, perdre votre compte Netflix serait légèrement ennuyeux, mais il ne stocke pas d’informations sensibles, et quelqu’un qui y accède ne peut pas vous causer de dommages (comme transférer votre argent).
Gérer correctement l’authentification multifacteur sera probablement plus contraignant, donc pour les comptes moins importants, cela peut être un bon compromis de perdre un peu de sécurité pour gagner beaucoup de commodité. Passons en revue les différentes choses que vous pouvez mettre en place.
Un mot sur les sauvegardes#
Tout d’abord, parlons de quelque chose d’important mais souvent négligé : les sauvegardes. Vous devez être conscient que, quelle que soit votre méthode de gestion de la 2FA, si vous perdez l’accès à ce que vous utilisez pour la 2FA, il sera extrêmement pénible de reprendre le contrôle de vos comptes.
Même si vous utilisez des services en ligne pour stocker vos mots de passe et vos codes 2FA, il y a un piège. Disons que vous utilisez Authy pour gérer vos codes TOTP. Authy vous permet de chiffrer votre sauvegarde avec un mot de passe. Vous utilisez cette option et stockez le mot de passe dans votre gestionnaire de mots de passe. Pour une raison quelconque, vous perdez le contrôle des appareils où vous êtes connecté à Authy et à votre gestionnaire de mots de passe. Cela signifie que vous ne pourrez pas accéder à Authy car vous ne connaissez pas le mot de passe de sauvegarde, et vous ne pourrez pas accéder à vos mots de passe car vous ne pouvez pas fournir le code 2FA à votre gestionnaire de mots de passe.
Quoi qu’il en soit, je discuterai de quelques options que vous pouvez utiliser pour les sauvegardes, mais assurez-vous d’en avoir toujours qui sont :
- Non protégées par un mot de passe enregistré uniquement dans votre gestionnaire de mots de passe
- Dans des emplacements géographiques différents
- Utilisables : vous voulez tester vos sauvegardes régulièrement. Rien n’est pire que de devoir utiliser des sauvegardes et de découvrir qu’on ne peut pas les utiliser à cause d’une erreur de format ou autre
La 2FA la plus sécurisée (correcte)#
Cette option est la plus sécurisée. On fait tout dans les règles de l’art, et on s’assure que nos mots de passe et codes TOTP/de récupération ne sont pas stockés au même endroit. L’option que je recommanderais pour cela est d’utiliser des clés de sécurité comme les Yubikeys. Il y a deux façons d’utiliser ces clés :
- FIDO U2F : en gros, il suffit de toucher la clé pour confirmer que vous voulez vous connecter à un service. C’est pratique et sécurisé, mais cela pourrait ne pas être supporté par votre smartphone, et beaucoup de services ne le supportent pas non plus
- Enregistrer vos codes TOTP dans la Yubikey et utiliser l’application d’authentification. De cette façon, vous pouvez générer des mots de passe à usage unique depuis n’importe quel appareil, et la clé secrète ne quitte jamais la Yubikey, mais il y a une limite au nombre d’éléments que vous pouvez stocker
En plus de ces contraintes, vous devez vous assurer d’avoir des sauvegardes en cas de perte de votre clé. La méthode que je recommande pour les gérer est d’avoir au moins une clé de sauvegarde et un bloc-notes avec les codes de récupération stockés dans un endroit sécurisé. Un petit mot sur les codes de récupération : ce sont essentiellement des mots de passe à usage unique pré-générés par le service au cas où vous perdriez l’appareil que vous utilisez pour stocker vos codes TOTP. Vous n’en avez pas nécessairement besoin si vous avez une sauvegarde de la clé secrète TOTP.
Cette méthode vous assure une haute sécurité, mais elle a un coût : la commodité. Prendre soin de toujours avoir la sauvegarde synchronisée est chronophage. C’est pourquoi je recommande d’utiliser cette méthode avec les comptes très importants : comme ils doivent être aussi sécurisés que possible, et parce qu’ils ne changeront probablement pas beaucoup, il y a peu de maintenance à faire côté sauvegarde.
Autres formes de 2FA#
Si vous ne voulez pas vous embêter à créer manuellement une sauvegarde pour chaque service que vous utilisez, vous pouvez toujours ne pas synchroniser votre gestionnaire de mots de passe avec votre smartphone, et utiliser votre smartphone pour stocker vos codes 2FA à l’aide de logiciels comme Authy (pas idéal pour votre vie privée) ou un gestionnaire de mots de passe comme Bitwarden (mais en n’y stockant que les codes 2FA).
Notez que quel que soit le logiciel que vous utilisez pour stocker et synchroniser vos codes 2FA, vous devez toujours avoir des sauvegardes vous permettant de récupérer l’accès à celui-ci (et à toutes ses données).
Pas vraiment de la 2FA, mais…#
Si les options précédentes ne sont pas réalisables pour vous (bien que vous devriez vraiment au moins protéger vos comptes les plus importants avec une clé de sécurité), utiliser des codes TOTP d’une manière qui n’est pas une 2FA correcte est quand même mieux que de ne pas les utiliser. Dans ce cas, il y a encore quelques choses que vous pouvez faire pour améliorer un peu votre sécurité :
- envisagez d’utiliser un logiciel de gestion de mots de passe différent pour stocker vos codes TOTP et vos mots de passe. De cette façon, si votre gestionnaire de mots de passe principal est compromis, vos comptes sont toujours en sécurité
- envisagez de n’utiliser le logiciel où vous stockez vos codes TOTP que sur un seul appareil, comme votre smartphone. De cette façon, vous pouvez réduire la surface d’attaque (même si votre ordinateur est compromis, vos codes 2FA sont en sécurité)
Encore une fois, même utiliser votre gestionnaire de mots de passe pour stocker à la fois vos mots de passe et obtenir vos codes 2FA est toujours mieux que de ne rien faire, et vous offrira un bon niveau de sécurité supplémentaire sans vous coûter aucun inconvénient.
Sources et lectures complémentaires#
- Questions…and buzz surrounding draft NIST Special Publication 800-63-3 (NIST)
- New research: How effective is basic account hygiene at preventing hijacking (Google Security Blog)
- Two-factor authentication statistics (Persona)
- Your Pa$$word doesn’t matter (Microsoft)
- Account Takeover in 2022 (Digital Shadows)
- Can We Stop Pretending SMS Is Secure Now? (Krebs on Security)
Crédits#
- Image de couverture par mohamed Hassan sur Pixabay