L’authentification à deux ou plusieurs facteurs est la ceinture de sécurité de la cybersécurité. Lorsqu’ils sont utilisés correctement, les risques cybernétiques peuvent être réduits, mais ils ne protègent pas contre le comportement négligent de chacun de soi. Nous expliquons comment fonctionne l’authentification à deux facteurs, quand cela vaut la peine de l’utiliser et où se situent ses limites.

Comment l’authentification à deux facteurs protège-t-elle ?

L’authentification à deux facteurs est une vérification d’identité en plusieurs étapes pour les comptes utilisateurs, composée de deux facteurs : par exemple, un mot de passe et un autre facteur, comme une fonction biométrique – comme une empreinte digitale ou une reconnaissance faciale – ou un code PIN créé séparément. Lors de la connexion, ce dernier est envoyé séparément, soit en SMS, soit via une application de sécurité sur le smartphone, et doit être saisi en plus du mot de passe. En utilisant un facteur supplémentaire, la sécurité des mots de passe est considérablement renforcée. Si vous combinez plus de deux facteurs, cela s’appelle l’authentification multi-facteur.

Pourquoi utilisons-nous l’authentification à deux facteurs en premier lieu ?

Entrer le mot de passe seul n’est plus assez sûr aujourd’hui. Les mots de passe peuvent facilement tomber entre de mauvaises mains – par exemple, en compromettant les données de connexion lors de cyberattaques. C’est là que le plus grand avantage de l’authentification à deux facteurs entre en jeu : en incluant un autre facteur dans le processus d’authentification, une barrière supplémentaire est créée qui vaut son poids d’or en cas de cyberattaque. Les cybercriminels devraient également posséder le second facteur pour pouvoir pénétrer un système. Plus il y a de mesures à entreprendre, plus il sera difficile pour les pirates criminels d’obtenir les données de connexion. Avec l’authentification à deux facteurs, de nombreux scénarios de menace – notamment en ce qui concerne le vol d’identité – peuvent être écartés.

Quelles sont les formes les plus courantes d’authentification à deux facteurs ?

• Jeton SMS : Cette variante est le type d’authentification à deux facteurs le plus connu. Lors de l’inscription au service en ligne correspondant, un code aléatoire est généré et envoyé au smartphone de l’utilisateur via SMS.
• E-mail : L’authentification par e-mail est également fréquemment utilisée : lors de l’enregistrement auprès d’un service en ligne, un code à plusieurs chiffres est envoyé par e-mail par le fournisseur concerné après avoir saisi le nom d’utilisateur et le mot de passe. L’authentification par e-mail est particulièrement populaire car aucun matériel ou logiciel supplémentaire n’est requis.
• TAN / OTP : Avec le TAN (numéro de transaction) ou l’OTP (mot de passe à usage unique), un code numérique ou un mot de passe unique est transmis à l’utilisateur comme second facteur – soit via le matériel sous forme d’un générateur TAN, soit sous forme de logiciel via une application d’authentification. Les mots de passe sont basés sur le temps ou les événements et sont constamment régénérés. Ici, les variantes d’authentification matérielle sont actuellement considérées comme les plus sécurisées.
• Cartes à puce : Les cartes à puce sont utilisées dans des environnements Windows hautement sécurisés et peuvent servir à se connecter au compte Windows, à un VPN d’entreprise ou même pour des signatures d’e-mail ou le chiffrement du disque dur. La carte à puce a la taille d’une carte de crédit et est équipée d’une puce qui stocke un certificat numérique chiffré qui ne peut être activé qu’avec un code PIN. Ici aussi, le facteur physique est considéré comme un avantage particulier en matière de sécurité des mots de passe.
• Authentification biométrique : Dans cette variante, des caractéristiques biométriques telles que l’empreinte digitale ou le visage sont incluses dans le processus d’authentification. C’est facile, rapide et considéré comme très sécurisé en raison de l’unicité des données. Il est plus difficile pour les acteurs de menaces en ligne de reproduire l’empreinte digitale ou le scan de reconnaissance faciale d’une personne.
• Jeton cryptographique : Le jeton cryptographique stocke une clé cryptographique privée. Dans ce cas, l’authentification se fait en envoyant une requête au jeton.

Là où l’authentification à deux facteurs est particulièrement utile

Depuis le 15 mars 2021, l’utilisation de l’authentification à deux facteurs est obligatoire pour les paiements en ligne via la banque en ligne, la carte de crédit ou PayPal, Google l’a introduite pour tous les comptes de ses services fin 2021 et il est prévu que d’autres entreprises suivent le même exemple. En tenant compte de la sécurité des mots de passe, Perseus recommande d’utiliser l’authentification à deux ou plusieurs facteurs autant que possible, par exemple :

• Lors de l’identification des comptes sociaux, cloud ou utilisateurs : Pour cela, utilisez une application d’authentification pour générer des mots de passe à usage unique, par exemple depuis Google, Microsoft, Apple ou en envoyant le TAN par SMS.
• Pour la fonction en ligne de la carte d’identité : La nouvelle carte d’identité est équipée d’une puce et peut donc également être utilisée en ligne pour des visites aux autorités, des vérifications de légitimation auprès des prestataires de services financiers ou pour des affaires commerciales. En plus de l’authentification via un code PIN, une authentification chiffrée de bout en bout supplémentaire a lieu avec le fournisseur de services concerné.
• Pour les questions fiscales : Le bureau des impôts en ligne ELSTER permet de clarifier les questions financières de manière totalement sans papier. L’enregistrement n’est possible qu’avec un certificat logiciel protégé par mot de passe ou la fonction d’identification en ligne.

Limitations de l’authentification à deux facteurs

Dans le travail quotidien, où les choses doivent souvent être faites rapidement et qu’il n’y a pas de temps pour beaucoup de choses, l’authentification à deux facteurs peut être perçue comme un obstacle supplémentaire sur la jambe. Ce faisant, elle peut éviter d’énormes dommages. Les entreprises doivent connaître les avantages, se renseigner sur les différentes options d’authentification à deux facteurs et choisir la bonne option. L’utilisation – tant sous la forme que dans quelle mesure – doit être spécifiée par directives de l’entreprise et tous les employés doivent être informés et formés en conséquence. Au final, tout tourne autour des données importantes de votre entreprise.

Même si l’authentification à deux facteurs est recommandée pour accroître la sécurité dans de nombreuses applications, elle ne peut pas empêcher tous les incidents :

• La variante la plus populaire est aussi la plus vulnérable : le jeton SMS peut être intercepté via les appelées attaques swap si les cybercriminels parviennent à déjouer le fournisseur de téléphonie mobile et à transférer le numéro de la victime sur une carte SIM.
• Si le compte email est pris en charge par des acteurs malveillants du réseau, un code à deux facteurs peut être lu sans trop d’efforts. Cette variante d’authentification n’est pas non plus une authentification à deux facteurs, car de nombreux utilisateurs traitent leurs e-mails depuis des smartphones et des ordinateurs. Si un appareil est infecté par un logiciel malveillant, les attaquants peuvent lire chaque e-mail et récupérer les codes en conséquence.
• Le phishing est le plus gros problème avec le TAN ou mot de passe à usage unique. Il est possible de créer un site de phishing apparemment authentique qui partage des identifiants de connexion tels que le mot de passe et le code généré par une application d’authentification pour se connecter au service réel. En même temps, les cybercriminels se connectent eux-mêmes et peuvent se faire passer pour la personne compromise sans que le service utilisé ne remarque la différence. Un autre inconvénient des applications d’authentification est qu’il peut être difficile d’obtenir les codes nécessaires si vous perdez votre téléphone.

Iln’existe pas de protection à 100 % – mais il existe des moyens de minimiser les risques. Par-dessus tout, un comportement responsable et le respect des réglementations de sécurité par chaque individu sont les conditions de base pour éviter les incidents cybernétiques :

• Mises à jour : Souvent, des logiciels obsolètes, des programmes non licenciés provenant de sites de téléchargement gratuit, ou des liens ou des sites web consultés au hasard sont la cause d’un incident cybernétique. Un tel comportement en ligne est l’équivalent cybernétique de conduire une voiture sur une falaise à 200 km/h : porter une ceinture de sécurité ou l’authentification à deux facteurs ne pourra finalement pas aider. Installer de nouvelles mises à jour, en particulier les mises à jour de sécurité des systèmes d’exploitation ou l’utilisation de mots de passe sécurisés, est déjà une première étape pour prévenir les cyberincidents.
• Hygiène du mot de passe : moins il est probable que votre mot de passe soit deviné ou calculé, plus il est sécurisé. Et plus votre mot de passe est sécurisé, plus les données, e-mails, ordinateurs, réseaux d’entreprise, etc. sont sécurisés. La sécurité des mots de passe est influencée par plusieurs facteurs. Entre autres, en raison de l’unicité, de la longueur, de la complexité, de l’abstraction et du secret du mot de passe respectif.
• Remplaçants : Les disques durs, ordinateurs, serveurs et systèmes entiers peuvent devenir inutilisables à cause de défauts techniques ou de cyberattaques, comme l’installation de logiciels malveillants. Les sauvegardes vous permettent de créer des copies de sauvegarde de vos données. Ces systèmes peuvent être utilisés pour restaurer du contenu perdu ou détruit, voire des systèmes entiers. Vous pouvez en savoir plus à ce sujet dans notre article de blog « Pas de soutien – pas de pitié ».
• Vigilance : Soyez attentif aux emails avec des expéditeurs inconnus. Aucun lien ne doit être cliqué ni pièce jointe ouverte ici. Cliquer sur le lien d’un e-mail de phishing est l’un des points d’entrée les plus courants pour les cybercriminels.
• Sensibiliser les employés : Sensibilisez vos employés aux dangers d’Internet. Les cyberattaques sont l’un des plus grands risques commerciaux qui soient. Une formation appropriée, sous forme d’e-learning et de simulations de phishing, transmet des connaissances de base et augmente la sensibilisation à long terme.

Ce n’est que lorsque ces règles de sécurité de base sont respectées que l’authentification à deux facteurs peut entrer en vigueur et, si elle est utilisée correctement, protéger les comptes et les données contre tout accès non autorisé. L’authentification à deux facteurs est un outil de sécurité important qui offre une protection efficace contre l’accès non autorisé à ses propres données et doit faire partie d’une stratégie globale de cybersécurité. Ceux qui l’utilisent sont prudents – sans réserve.