Une protection doublée

L'authentification à deux facteurs peut aider les utilisateurs à mieux se protéger en ligne. Les comptes Google proposent plusieurs options.

Une violation de données peut avoir de fâcheuses conséquences. Il est arrivé que des pirates anonymes exploitent les comptes de leurs victimes pour publier des provocations gratuites sur les réseaux sociaux ou envoyer des e-mails frauduleux en leur nom. D'autres victimes ont vu de l'argent disparaître de leurs comptes bancaires en ligne. Malheureusement, il est souvent trop tard lorsque les utilisateurs découvrent que leur compte a été piraté.

La fréquence des vols de données est due, en partie, au fait que la plupart des utilisateurs croient à tort que leur sécurité en ligne est garantie par leurs mots de passe. Beaucoup l'ignorent, mais on peut trouver sur Internet des listes contenant des millions de mots de passe associés à des noms d'utilisateurs. Ces listes sont appelées "password dumps" (décharges de mots de passe) par les experts et sont constituées d'identifiants provenant de différents vols de données. Comme de nombreuses personnes utilisent les mêmes mots de passe pour différents sites, les identifiants de connexion de leurs comptes Google peuvent également figurer dans ces password dumps, même si leurs comptes n'ont pas été piratés. Une autre menace est constamment présente : l'hameçonnage. Cette pratique désigne toute tentative frauduleuse d'obtenir des mots de passe et d'autres informations à l'aide d'e-mails ou de sites Web apparemment fiables.

C'est pourquoi des entreprises comme Google recommandent aux utilisateurs de sécuriser leur compte en ligne en adoptant l'authentification à deux facteurs, qui consiste à présenter deux éléments distincts pour se connecter, comme un mot de passe et un code envoyé par SMS. Cette méthode d'authentification est devenue très courante, en particulier pour les banques et les sociétés émettrices de cartes de crédit.

Les experts en sécurité distinguent trois principaux types de facteurs de sécurité. Le premier est une information ("un élément connu de vous") : par exemple, un utilisateur reçoit un code par SMS, puis le saisit, ou doit répondre à une question secrète. Le deuxième est un objet physique ("un élément en votre possession") qui peut être utilisé pour l'authentification, comme une carte de crédit. Le troisième correspond aux données biométriques ("un élément de votre personne"), comme l'empreinte digitale utilisée pour déverrouiller certains smartphones. Toute stratégie d'authentification à deux facteurs utilise une combinaison de deux de ces facteurs.

Google propose différents types d'authentification à deux facteurs. En plus du mot de passe traditionnel, les utilisateurs peuvent saisir un code de sécurité à usage unique reçu par SMS ou par appel vocal, ou généré dans Google Authenticator. Cette application fonctionne sur Android et sur le système d'exploitation mobile iOS d'Apple. Les utilisateurs peuvent également fournir une liste d'appareils vérifiés dans leur compte Google. Lorsqu'une personne tente de se connecter à partir d'un appareil qui ne figure pas sur la liste, il reçoit un avertissement de sécurité de la part de Google.

Depuis trois ans, Google donne également à ses utilisateurs la possibilité de se servir d'un jeton de sécurité physique, appelé "clé de sécurité". Cette clé de sécurité USB, NFC ou Bluetooth doit être connectée à l'appareil concerné. Cette technologie est basée sur une norme d'authentification ouverte appelée Universal 2nd Factor (U2F), développée par le consortium FIDO. Google fait partie de ce consortium aux côtés d'entreprises comme Microsoft, Mastercard et PayPal. Des jetons de sécurité basés sur la norme U2F sont disponibles auprès de différents fabricants à un prix minime. Et ils s'avèrent très efficaces : depuis le lancement des clés de sécurité, le risque de vol de données a considérablement diminué. En théorie, un compte en ligne peut être piraté depuis n'importe où dans le monde. Mais utiliser un jeton de sécurité physique rend la tâche plus difficile puisque même si un hacker détient les données de connexion d'une victime, il lui faut également mettre la main sur son jeton de sécurité physique pour accéder à son compte. En dehors de Google, plusieurs entreprises ont intégré ces jetons de sécurité à leurs systèmes de protection.

Bien sûr, l'authentification à deux facteurs a aussi des inconvénients. Les personnes qui utilisent des codes reçus par SMS doivent avoir leur téléphone portable à portée de main lorsqu'elles se connectent sur un nouvel appareil. Sans compter qu'il est aussi possible de perdre des clés de sécurité USB ou Bluetooth. Mais il s'agit là d'inconvénients mineurs au vu du niveau de sécurité supplémentaire que fournit cette méthode. En outre, toute personne qui égare sa clé de sécurité peut supprimer le jeton perdu de son compte, puis en ajouter un nouveau. Il est également possible d'enregistrer dès le départ deux clés de sécurité et de conserver la seconde en lieu sûr.

Pour en savoir plus, consultez cette page :

g.co/2step

Illustration : Birgit Henne