Vous vous souvenez l’année dernière, quand un pirate informatique a diffusé des photos nus de certaines célébrités ? Non seulement cela a plu à de nombreux fans, mais cela est aussi devenu un incident très instructif.

Tellement de gens ont soudainement compris que le nom de l’animal de compagnie n’est pas exactement le mot de passe le plus sûr et que l’authentification à deux facteurs n’est pas exclusive aux nerds de l’informatique, mais est également disponible pour tout utilisateur normal d’iPhone. L’authentification à deux facteurs permet de protéger vos comptes et de ne pas subir le sort de certaines célébrités dont les photos privées ont été divulguées.

Les photos qui ont déclenché toute la couverture médiatique ont été volées du service iCloud d’Apple, où sont stockées des copies de photos prises avec des appareils Apple. Les pirates informatiques ont utilisé le moyen le plus simple pour s’introduire dans le système : Une combinaison de phishing et d’attaque par force brute. Pour compenser et protéger ses utilisateurs, Apple a introduit l’authentification à deux facteurs (2FA) sur l’iCloud et a conseillé à ses clients de toujours l’utiliser.

Cependant, la 2FA est facultative sur l’iCloud, comme sur Gmail, Facebook et de nombreux autres services web. La majorité des utilisateurs ne l’utilisent pas car il est peu pratique et la plupart des gens ne veulent pas y passer du temps.

En même temps, même si vous n’êtes pas Kim Kardashian ou Kate Upton, vous pouvez rapidement perdre le contrôle de vos comptes de messagerie ou de vos profils de réseau social. Les conséquences peuvent être dévastatrices.

Deux serrures, c’est mieux

La majorité des gens pensent qu’avec une authentification à deux facteurs, un mot de passe à usage unique est toujours envoyé sous forme de SMS. Bien que ce soit la méthode la plus connue, elle n’est de loin pas la seule.

En général, vous pouvez comparer la 2FA avec une porte munie de deux cadenas. L’un d’entre eux utilise la combinaison traditionnelle login/mot de passe, le second utilise une technique différente. Et si deux serrures ne suffisent pas, vous pouvez en installer autant que vous le souhaitez, mais cela ralentirait encore plus l’ouverture de la porte. Il est donc probablement préférable de commencer par au moins deux serrures d’abord.

Les mots de passe envoyés par SMS sont un moyen d’authentification facile à comprendre et relativement fiable, mais ce n’est pas toujours pratique. Car chaque fois que vous voulez vous connecter à un service, vous devez d’abord prendre votre téléphone portable, attendre l’arrivée du SMS et ensuite entrer le mot de passe…

Et si vous faites une erreur de frappe ou si vous entrez le code trop tard, il faut tout recommencer. Cela peut également se produire si le réseau mobile est actuellement surchargé et que le SMS vous parvient trop tard. Très ennuyeux.

Si vous êtes toujours dans une zone morte (ce qui peut arriver assez souvent lorsque vous êtes sur la route), cela signifie que vous ne pouvez pas obtenir le mot de passe. Et si, dans le pire des cas, vous perdez votre téléphone portable et n’avez aucun autre moyen de communication, cela peut rapidement devenir frustrant.

Mais dans de tels cas, des sites comme Facebook et Google offrent d’autres options, comme une liste de clés uniques que vous pouvez créer à titre préventif, imprimer et conserver en lieu sûr.

De plus, il peut arriver que l’authentification à deux facteurs avec des mots de passe SMS ne soit pas activée en permanence, mais seulement si quelqu’un se connecte avec un appareil inconnu. C’est vous qui décidez de la manière dont cette option est utilisée. La méthode est la même pour toutes les applications connectées à votre compte, telles que les clients de messagerie électronique. Si vous entrez un mot de passe spécialement généré pour eux, ils seront satisfaits pendant longtemps. Ainsi, à moins que vous ne vous connectiez chaque jour depuis un nouvel appareil, la 2FA avec mots de passe SMS n’est pas si importante. Une fois configuré, il fonctionne parfaitement.

ID sur un smartphone

Si vous êtes sur la route et que vous voyagez beaucoup, il est probablement préférable d’utiliser la 2FA via une application spéciale. Contrairement aux mots de passe par SMS, cette méthode d’authentification fonctionne hors ligne. Le mot de passe à usage unique n’est pas généré sur un serveur sur Internet, mais directement sur le smartphone (mais la première installation de l’application nécessite une connexion Internet).

Il existe de nombreuses applications d’authentification, mais l’authentificateur Google peut être considéré comme standard. Outre Gmail, cette application prend également en charge des services tels que Facebook, Tumblr, Dropbox, vk.com, WordPress et bien d’autres encore.

Si vous voulez une alternative, vous devriez essayer Twilio Authy. L’application est similaire à Google Authenticator, mais offre quelques fonctionnalités supplémentaires pratiques.

Elle permet donc de stocker les certificats des boutiques dans le nuage et de les copier sur d’autres appareils (smartphones, PC, tablettes et de nombreuses autres plateformes, dont Apple Watch). Et même si votre appareil est volé, vous avez toujours le contrôle de votre compte. L’application nécessite un code PIN chaque fois que vous la lancez et la clé peut être révoquée si votre appareil est compromis. D’autre part, Twilio Authy vous facilite la vie si vous souhaitez utiliser un nouvel appareil.

Une seule clé pour tous les contrôler

Les solutions ci-dessus présentent un gros défaut. Si vous utilisez le même appareil pour vous connecter et recevoir le SMS avec le mot de passe unique, ou si une application génère la clé 2FA dessus, la protection n’est pas aussi fiable.

Un niveau de protection plus élevé est assuré par les jetons matériels. Ils se présentent sous toutes sortes de formes, des jetons USB aux cartes à puce en passant par les jetons hors ligne avec écran. Mais le principe est fondamentalement le même. Ce sont de petits ordinateurs, pour ainsi dire, qui génèrent des clés uniques à la demande. Ces clés sont ensuite saisies manuellement ou automatiquement, par exemple via une interface USB.

De telles clés matérielles sont indépendantes du réseau de téléphonie mobile, des smartphones et de tout le reste ; elles font toujours leur travail, quoi qu’il arrive. Mais il faut les acheter séparément et certaines personnes perdent facilement ces petits appareils. Normalement, ces jetons sont utilisés pour protéger les services bancaires en ligne, les systèmes d’entreprise et d’autres choses importantes. Mais juste comme ça, vous pouvez utiliser une clé USB élégante pour protéger votre compte Google ou WordPress, à condition que le jeton supporte la spécification Open FIDO U2F (comme les populaires jetons YubiKey).

Montre-moi tes implants !

Les clés matérielles traditionnelles offrent un haut niveau de sécurité, mais ne sont pas aussi pratiques. Cela peut vous énerver assez rapidement de devoir toujours brancher une clé USB lorsque vous voulez vous connecter quelque part, et avec un smartphone ce n’est pas possible du tout.

Une clé sans fil qui vient via Bluetooth ou NFC serait plus simple. Avec les spécifications U2F de la FIDO introduites cet été, c’est possible.

Une étiquette ou un label qui identifie un utilisateur légitime peut être placé à peu près n’importe où : Dans un porte-clés, une sorte de carte de crédit ou même comme une puce NFC implantée sous la peau. N’importe quel smartphone pourrait lire cette clé et authentifier l’utilisateur.

Un, deux, plusieurs

Mais le concept de double facteur est tout simplement dépassé. Les grands services comme Google et Facebook utilisent (très discrètement) l’analyse multifactorielle pour protéger l’accès. Ils évaluent l’appareil et le navigateur que quelqu’un utilise pour se connecter, ainsi que son emplacement ou ses habitudes d’utilisation. Les banques utilisent des systèmes similaires pour détecter les activités frauduleuses.

Ainsi, à l’avenir, vous utiliserez de plus en plus des solutions multifactorielles avancées qui offrent l’équilibre idéal entre commodité et sécurité. L’un des meilleurs exemples en est le projet Abacus, présenté à la conférence Google I/O.

Dans la nouvelle réalité, votre identité ne sera pas seulement confirmée par un mot de passe, mais aussi par toute une série d’autres facteurs : Vos allées et venues, ce que vous faites, votre façon de parler, de respirer, votre rythme cardiaque, si vous utilisez des cyberprothèses. L’appareil détectera et identifiera tous ces facteurs, probablement via votre smartphone.

Voici un exemple : des chercheurs suisses utilisent le bruit ambiant comme facteur d’authentification. Le concept, que les chercheurs appellent l’épreuve du son, est assez simple. Lorsque vous accédez à un service particulier depuis votre ordinateur, le serveur envoie une requête à une application sur votre smartphone. Ensuite, l’ordinateur et le smartphone captent les sons ambiants et les convertissent en une signature numérique, les cryptent et les envoient au serveur pour analyse. S’ils correspondent, c’est la preuve qu’un utilisateur légitime tente d’accéder à son compte.

Cette approche n’est évidemment pas idéale. Après tout, que se passe-t-il si le délinquant est assis juste à côté du véritable utilisateur dans un restaurant ? Ensuite, les sons ambiants enregistrés sont pratiquement les mêmes. Il devrait donc y avoir d’autres facteurs qui empêchent que le compte ne soit compromis.

Tout compte fait, mais la preuve sonore et le boulier sont des mesures de sécurité pour demain. Lorsqu’elles seront disponibles sur le marché, les menaces et les défis de la sécurité informatique auront également évolué. Aujourd’hui, vous n’avez pas d’autre choix que d’activer l’authentification à deux facteurs.