LEBIGDATA.FR I.A, Cloud & Cybersécurité
L'A2F peut être considéré comme une étape supplémentaire de sécurité pour la vérification d'identifiants à vos comptes. Si l'ère numérique fait aujourd'hui l'objet de plus en plus de violations et usurpations de comptes, les entreprises technologiques collaborent à un moyen d'y remédier. Étant les principaux touchés, ces derniers ont élaboré une norme qui rend les mots de passe obsolètes plus sûrs. Il s'agit d'une méthode d'identification biométrique qui, contrairement aux mots de passe, ne nécessite pas le transfert de données sur Internet.
À ce jour, un des moyens les plus sûrs, si ce n'est déjà le cas, est d'adopter l'authentification à deux facteurs, aussi appelé l'A2F. Ce processus consiste à donner un accès secondaire au propriétaire du compte en question dans le but de vérifier une tentative de connexion. Il empêche aussi toute autre tentative de connexion à un appareil non identifié, et permet de prévenir contre l'imposture ou l'appropriation d'un compte.
Qu'est-ce que l'A2F ?
L'authentification à deux facteurs, soit l'A2F, repose sur le principe qu'il requiert trois types d'authentification pour confirmer une identité et accéder à un compte. Pour que l'on puisse parler donc d'authentification à deux facteurs, il faut qu'au moins 2 des 3 types d'authentification soient requis. Il peut s'agir des mots de passe, d'un code renouvelé ou communiqué par SMS et d'une clé d'authentification physique ou confirmée via téléphone.
Dans le cadre d'une connexion en ligne, ce type d'authentification se constitue en général d'un email et du mot de passe. Mais parfois, il peut arriver que, selon le service ou l'application, il vous soit demandé une seconde vérification, générée à intervalles réguliers. Il est donc important d'activer l'A2F pour augmenter la sécurité de votre compte. Alors, même si une tierce personne arrive à deviner votre mot de passe, elle ne pourra pas accéder à votre compte.
Les différentes applications d'authentification
Les applications d'authentification sont considérées comme beaucoup plus sûres que les messages. En effet, elles offrent une flexibilité quant à l'endroit où vous vous trouvez. Même dans un lieu sans réseau ni service cellulaire, ces options vous autorisent toujours une authentification. Les plus populaires sont Authy, Google Authenticator, Microsoft Authenticator ou Hennge OTP. Elles suivent, pour la plupart, les mêmes procédures lors de l'ajout d'un nouveau compte. Autrement, un code QR s'associe à votre compte et est enregistré dans l'application. Il suffit alors d'ouvrir l'application pour obtenir ce code et vous connecter à votre compte.
Évidemment, il n'assure pas une protection efficace à 100 % contre les pirates potentiels. Mais cette méthode constitue une étape importante pour réduire les risques d'usurpation. De plus, elle empêche l'accès à votre compte par des utilisateurs non autorisés.
Activer l'A2F pour les différents systèmes d'exploitation
Apple iOS
L'authentification à deux facteurs se propose à tous les utilisateurs d'Apple sous iOS 9 et d'autres versions ultérieures. Bien que les étapes diffèrent légèrement de la mise à jour 10.3 du logiciel, le procédé reste assez similaire. Pour se faire, il faut aller dans l'onglet des « Réglages », du « Nom » et du « Mot de passe et sécurité ». L'option « Activez A2F » vous notifie par message un texte contenant un code à chaque fois que vous vous connectez. Pour ceux qui utilisent la version iOS 10.2, les paramètres se trouvent sous « iCloud », « Apple ID » et « Mot de passe et sécurité ».
MacOS
Dans le cas de macOS, les étapes diffèrent aussi légèrement du processus habituel d'activation de l'A2P. Selon les versions, vous pouvez toujours utiliser Catalina et cliquer sur l'icône Apple située dans le coin supérieur gauche de votre écran. Vous arrivez alors sur une interface où vous pouvez aller dans « Préférences Système », puis « Apple ID ». Vous pouvez directement cliquer sur « Mot de passe et sécurité » sous votre nom et « Activer l'authentification à deux facteurs ».
Activer l'A2F pour les réseaux sociaux
Le réseau social Instagram rend possible l'ajout de l'A2F sur mobile depuis 2017, et est désormais activable depuis Internet.
Pour se faire, sur votre application mobile, allez sur votre profil et sélectionnez le menu dans le coin supérieur droit. Entrez dans « Paramètres » et « Sécurité », et vous trouverez un élément de menu pour l'authentification à deux facteurs. D'ailleurs, vous avez le choix entre une vérification par SMS ou à partir d'un code envoyé via votre application d'authentification.
D'autre part, activer l'authentification depuis le Web nécessite d'accéder à votre profil. À côté du votre nom se trouve le bouton « Modifier le profil » avec une icône d'engrenage. En cliquant dessus, vous ouvrirez le menu des paramètres et trouverez la section « Confidentialité et sécurité ». Vous pouvez activer la fonction A2F à partir de là, et choisir votre méthode de vérification.
Comme pour Instagram, il y a une différence entre paramétrer le réseau sur application mobile et sur le web, ce dernier ayant tendance à souvent mettre à jour les mises en page.
Sur application mobile, vous pouvez accéder directement aux paramètres de confidentialité, que ce soit sur iOS ou Android. Le menu ouvre alors « Paramètres », puis « Sécurité et connexion ». En défilant vers le bas, vous trouverez l'onglet « Utiliser l'authentification à deux facteurs ».
Sur le web, une flèche située vers le bas et dans le coin supérieur droit ouvre sur les « Paramètres et confidentialités ». Cliquez directement sur « Raccourcis de confidentialité » et cherchez la rubrique « Sécurité du compte ». Vous trouverez alors l'option activable « Authentification à deux facteurs ».
Sur Twitter, le cheminement est quasiment similaire aux deux précédents.
Pour l'application mobile, une icône à trois lignes situées en haut à gauche de l'écran ouvre sur les « Paramètres de confidentialité ». Sélectionnez le « Compte », puis « Sécurité » et cliquez sur « Authentification à deux facteurs ».
Sur le web, il s'agit quasiment des mêmes onglets et paramètres. Une fois que vous avez tout configuré, Twitter demandera une vérification via une application d'authentification. Vous pouvez le confirmer aussi par un numéro de code envoyé à votre numéro de téléphone lorsque vous serez connecté.
Google, une vérification en 2 étapes
L'authentification à deux facteurs sur Google s'appelle « Validation en 2 étape ». Il est important de le configurer correctement, car Google peut se lier aussi bien à votre carte de crédit, par les achats sur Google Play, qu'à vos messages et documents partagés.
Pour ce faire, vous pouvez vous identifier à partir de votre téléphone. Lors de la saisie du mot de passe, Google vous invite à accéder à tous ses services, dont « l'invite de Google », qui contient une option d'authentification. Il suffit d'y ajouter votre smartphone au moment de la connexion, qui se fait par un simple toucher. Sinon, vous pouvez entrer un code supplémentaire renvoyé sur votre téléphone par SMS.
Microsoft
Microsoft regroupe à la fois des services comme Outlook, OneDrive ou Skype. Il est donc important de mettre le compte sous protection A2F. À cet effet, lorsque vous vous connectez, la navigation propose une option « sécurité », qui mène à « autres options de sécurité ». Microsoft vous suggère alors d'obtenir des mots de passe d'application, en cas de besoin, qu'il est possible de garder pour plus tard.
Sinon, la section “Configurer » offre une application de vérification d'identité qu'il vous faudra installer. Cette application fonctionne comme une authentification standard, telle que Google Authenticator ou Authy.
Activer l'A2F pour les plateformes de communication
Snapchat
Vous pouvez retrouver sur l'écran principal une icône sur votre profil en forme d'engrenage, qui permet d'accéder à vos paramètres. En défilant, vous tomberez directement sur « Authentification à deux facteurs » et vous pouvez choisir de recevoir une vérification par SMS ou vous connecter directement à votre application d'authentification.
Une fois activé, il est possible d'ajouter d'autres appareils de confiance ou de demander un code de récupération, au cas où vous vous trouvez sans réseau. Toutefois, le support n'en prend pas en compte les connexions par clé de sécurité.
Slack
Il y a deux façons d'activer l'A2F sur Slack, mais pour y arriver, vous devez d'abord trouver la page des paramètres du compte.
Une fois dessus, cliquez sur votre nom d'utilisateur dans le coin supérieur droit de l'application. Un menu déroulant s'ouvre et affiche le « Profil ». Des informations se profilent et sous votre avatar se trouve l'option « Modifier le profil ». Les actions supplémentaires donnent sur les « Paramètres du compte » et vous devriez trouver la sélection « Authentification à deux facteurs ».
Pour l'usage d'un Slack personnel, vous pouvez directement cliquer sur « Développer » qui donne sur « Authentification à deux facteurs ». Au cas où vous disposez de plusieurs adresses électroniques, il suffit d'en sélectionner une par défaut avant de choisir la méthode d'authentification à deux facteurs.
Dropbox
À partir de la page d'accueil de Dropbox, cliquez sur l'avatar de votre profil et entrez dans les paramètres. Vous trouverez alors l'onglet « Sécurité » suivi de « Vérification ». Celui-ci indique le statut de votre A2F. Pour l'activer, il suffit de cliquer sur l'onglet et vous pourrez choisir de recevoir une vérification par SMS ou via l'application d'authentification.
Signal
Cette plateforme utilise plutôt une méthode orthodoxe, au lieu du traditionnel A2F. En effet, en cliquant sur l'icône du profil qui accède aux paramètres de « Confidentialité », Signal vous demande un code PIN, et ce, à chaque fois que vous revenez enregistrer votre numéro de téléphone. D'ailleurs, le code doit être composé d'au moins 4 chiffres et d'un maximum de 20 chiffres.
Lors de la première activation du verrouillage et de l'enregistrement, Signal vous demande de saisir votre code dans les premières heures suivant l'action. L'entreprise explique que cela a pour but d'aider à la mémorisation par le biais d'une répétition aléatoire. Le premier jour, comme le suivant, et ce, pendant une semaine complète, l'application vous le redemandera.
Dans le cas où vous venez à l'oublier, vous devrez attendre près de 7 jours d'inactivité pour que le verrou expire. Après quoi, vous pourriez à nouveau vous connecter.
A2F : les limites du système
Jetons matériels
En plus des risques de sécurité, les jetons matériels présentent des problèmes de disponibilité. En effet, leur remplacement crée une charge logistique et administrative supplémentaire. Chaque jeton perdu entraîne jusqu'à cinq jours de panne avant son remplacement. Ces dispositifs ne sont pas réparables par l'utilisateur et doivent par conséquent être remplacés au moins une fois tous les trois ans en raison de pannes de batterie. Il en résulte un coût de 100 % pour l'entreprise.
Jetons basés sur les SMS
Le système A2F par SMS présente des inconvénients, en particulier en ce qui concerne la disponibilité. Cette méthode a pour principal inconvénient de dépendre explicitement de parties externes pour la livraison de l'OTP. Parmi les inconvénients figurent les suivants :
- Livraison retardée
- Interférence des gouvernements/régulateurs
- Faible niveau de sécurité
- Zones de couverture/indisponibilité du service
- Indisponibilité des appareils
Navigateurs améliorés
Certaines solutions de navigateur amélioré ne prennent en charge que des plateformes spécifiques. Ces facteurs compromettent intrinsèquement la facilité d'utilisation de ces systèmes. Elles se prêtent à la communication et à l'authentification entre succursales ou à des scénarios au cours desquels les systèmes et les plateformes restent statiques.
La violation d'un système A2F durci basé sur un navigateur implique des attaques sophistiquées, hautement personnalisées et ciblées. Celles-ci visent à usurper le système de réponse aux défis utilisé par le système. Les navigateurs durcis sont eux-mêmes conçus pour résister à toute forme de piratage, ce qui rend l'entreprise laborieuse.
Source : theverge.com
- Partager l'article :
