Authentification à deux facteurs (2FA)

Définition

💡 L’authentification à deux facteurs (2FA) : une couche de sécurité qui vous oblige à prouver deux fois qui vous êtes avant d’accéder à votre messagerie. Pensez à un nom d’utilisateur et un mot de passe (quelque chose que vous connaissez), plus un code envoyé sur votre téléphone (quelque chose que vous possédez). En gros, c'est comme un videur qui vérifie à la fois votre pièce d'identité et votre invitation avant de vous laisser entrer dans le club.

À quoi sert la 2FA ?

Voici le problème : les mots de passe protègent très mal votre messagerie. Quelqu'un peut les deviner, les voler lors d'une fuite de données ou vous piéger pour que vous les donniez dans une arnaque par phishing. Et une fois qu'ils ont votre mot de passe, ils peuvent entrer.

L'authentification à deux facteurs résout ce problème en exigeant une deuxième preuve d'identité. Même si des hackers volent votre mot de passe, ils ne peuvent toujours pas accéder à votre compte sans ce deuxième facteur (généralement un code envoyé sur votre téléphone ou généré par une application d'authentification). Selon les recherches de Google, activer la 2FA bloque 100% des attaques automatisées par bots et 96% des attaques de phishing de masse. Ce n'est pas un petit progrès.

Pour l'e-mail en particulier, c'est encore plus important. Votre boîte de réception est la clé passe-partout de tout le reste. Réinitialisations de mots de passe, relevés financiers, documents professionnels, conversations privées. Si quelqu'un entre dans votre messagerie, il peut pratiquement prendre le contrôle de votre vie numérique. À quoi sert un mot de passe fort si un seul lien de phishing peut tout faire capoter ? La 2FA, c'est le verrou qui fonctionne vraiment.

Types de 2FA

Vous avez plusieurs options pour ce deuxième facteur, et elles ne se valent pas toutes en matière de sécurité :

Les codes SMS sont les plus courants. Vous saisissez votre mot de passe, puis le service envoie par SMS un code à 6 chiffres sur votre téléphone. Simple, compatible partout, mais ce n'est pas l'option la plus sûre. Loin de là. Les hackers peuvent intercepter les SMS par échange frauduleux de carte SIM ou via des attaques d'ingénierie sociale visant votre opérateur.

Les applications d'authentification génèrent des codes temporaires qui changent toutes les 30 secondes (c'est pour ça qu'on les appelle des codes TOTP, mais ce n’est pas essentiel). Des applications comme Google Authenticator, Authy ou Microsoft Authenticator créent ces codes hors ligne, ce qui les rend bien plus difficiles à voler. C'est ce que la plupart des spécialistes de la sécurité recommandent pour protéger votre compte e-mail.

Les clés matérielles sont des appareils physiques (comme YubiKey, 25 à 50 $) que vous branchez à votre ordinateur ou que vous approchez de votre téléphone. Besoin de l’option la plus sûre ? C'est celle-ci. C'est l'option la plus sûre, car il n'y a tout simplement rien à intercepter pour les hackers. Mais il faut l'avoir sur soi, et si vous la perdez, vous serez bloqué jusqu'à ce que vous utilisiez votre méthode de secours.

L'authentification biométrique utilise votre empreinte digitale ou votre visage pour vérifier qu'il s'agit bien de vous. C'est très pratique sur téléphone, même si, techniquement, cette méthode est généralement utilisée avec un autre facteur plutôt qu'à sa place.

La plupart des gens commencent avec les codes SMS parce que c'est simple, puis passent aux applications d'authentification une fois qu'ils réalisent que le SMS n'est pas idéal. Les clés matérielles sont surtout destinées aux personnes ayant des besoins élevés en matière de sécurité (journalistes, militants, dirigeants).

Comment activer la 2FA

La configuration prend environ cinq minutes et varie légèrement selon le fournisseur.

Dans Gmail :

• Accédez aux paramètres de votre compte Google sur myaccount.google.com
• Cliquez sur Sécurité dans la barre latérale gauche
• Faites défiler jusqu'à Comment vous connecter à Google, puis cliquez sur Validation en 2 étapes
• Cliquez sur Commencer et suivez les instructions
• Choisissez votre deuxième facteur (numéro de téléphone pour les SMS ou application d'authentification)
• Enregistrez vos codes de secours dans un endroit sûr au cas où vous perdriez l'accès à votre téléphone

Dans Outlook :

• Connectez-vous à account.microsoft.com
• Cliquez sur Sécurité en haut
• Sélectionnez les options de Sécurité avancée
• Sous Vérification en deux étapes, cliquez sur Activer
• Suivez l'assistant de configuration (en général, il commence par votre numéro de téléphone)
• Téléchargez l'application Microsoft Authenticator si vous préférez utiliser des codes générés par application

Dans Yahoo Mail :

• Accédez à la page Sécurité de votre compte Yahoo
• Cliquez sur Vérification en deux étapes
• Activez-la
• Saisissez votre numéro de téléphone pour recevoir des codes SMS
• Vérifiez le code qu'ils vous envoient
• Générez des méthodes de secours au cas où votre téléphone tomberait en panne

Proton Mail vous oblige à suivre une procédure légèrement différente, car il s'agit d'une question de sécurité. Ils prennent en charge les applications d'authentification TOTP et les clés matérielles, mais n'offrent délibérément pas de SMS (car c'est moins sûr).

Bonnes pratiques

Utilisez une application d'authentification, pas les SMS. Oui, le SMS est plus facile à configurer. Mais il est aussi plus facile à détourner. Les applications d'authentification sont réellement plus sûres et presque aussi pratiques une fois configurées.

Enregistrez immédiatement vos codes de secours. Chaque service vous donne une série de codes à usage unique lorsque vous activez l'authentification à deux facteurs. Faites-en une capture d'écran, imprimez-les, stockez-les dans un gestionnaire de mots de passe. Tout ce qui vous convient. Ne sautez surtout pas cette étape, car quand votre téléphone tombe en panne à 23 h, vous en aurez besoin.

Activez aussi la 2FA sur votre e-mail de récupération. Si votre compte e-mail de secours n'est pas protégé, des hackers peuvent l'utiliser pour réinitialiser votre mot de passe et contourner complètement la 2FA. Ce qui annule un peu l'intérêt.

Enregistrez plusieurs appareils si possible. La plupart des services vous permettent de configurer la 2FA sur votre téléphone et votre tablette. Faites-le. La redondance vous sauve quand un appareil n'est pas disponible.

N'utilisez pas le même deuxième facteur partout. Si vous utilisez les SMS pour tout et que quelqu'un détourne votre carte SIM, il pourra accéder à tous vos comptes d'un coup. Variez les méthodes. Utilisez une application d'authentification pour les comptes importants, les SMS pour les comptes moins sensibles.

Vérifiez régulièrement vos appareils de confiance. Cet ordinateur portable professionnel que vous avez rendu il y a deux ans ? Il figure toujours dans votre liste d'appareils de confiance. Faites le ménage tous les quelques mois.

Contenu connexe

• Confidentialité de Spark Email : tout ce que vous devez savoir
• Spark présente les boîtes de réception partagées pour les équipes

Termes associés

• Authentification des e-mails
• E-mail de phishing
• Certificat e-mail
• Compte e-mail