- Le 2FA exige une seconde preuve en plus du mot de passe. Souvent un code d'application ou une clé physique.
- Les codes d'application (TOTP) sont bien plus sûrs que les codes par texto. Les SMS peuvent être interceptés.
- Les clés physiques comme YubiKey sont l'option la plus solide pour les comptes sensibles.
- Selon Microsoft, la MFA bloque plus de 99% des tentatives automatisées de prise de contrôle de compte.
Un mot de passe fort est une bonne serrure. L'authentification à deux facteurs est la deuxième serrure. Si un voleur crochète la première, la seconde le tient encore dehors.
Cela paraît évident, mais les chiffres montrent que la plupart des gens s'appuient encore sur un mot de passe seul. Selon des recherches de Microsoft, l'authentification multifacteur bloque plus de 99% des tentatives automatisées de prise de contrôle de compte. C'est la mise à niveau de sécurité au plus haut effet de levier disponible pour un utilisateur normal.
Voici comment ça marche, quels types existent, et lesquels utiliser réellement.
Le concept de base
L'authentification fonctionne sur trois catégories de preuve:
- Quelque chose que vous savez: mot de passe, NIP, réponse à une question.
- Quelque chose que vous avez: téléphone, clé physique, carte à puce.
- Quelque chose que vous êtes: empreinte, scan facial, voix.
L'authentification à un facteur en utilise une. À deux facteurs, ou 2FA, en exige deux de catégories différentes. Multifacteur, MFA, est le terme plus large pour deux ou plus.
Pourquoi ça marche: un mot de passe volé est quelque chose que l'attaquant sait. Pour passer la 2FA, il lui faut aussi quelque chose que vous avez. Ce second facteur est bien plus dur à voler à grande échelle.
Les types de 2FA, classés
Clés physiques (le mieux)
Petit appareil USB ou NFC, comme un YubiKey ou une Google Titan, à insérer ou tapoter pour se connecter. Bâtie sur les standards FIDO2 et WebAuthn. Résistante à l'hameçonnage par conception, parce que la clé vérifie cryptographiquement le vrai site. Une fausse page de connexion ne peut pas récolter la clé.
Inconvénient: il faut transporter la clé, et avoir une copie de secours. Coût d'environ 35 à 80$ CAD par clé. Idéal pour les comptes critiques: courriel, banque, gestionnaire, portails gouvernementaux.
Applications d'authentification (très bon)
Des applications comme Authy, Google Authenticator, Microsoft Authenticator et 1Password génèrent un code à six chiffres qui change toutes les 30 secondes. Le nom technique: TOTP, mot de passe à usage unique basé sur le temps.
Les codes ne voyagent jamais sur le réseau avant que vous les tapiez, donc impossibles à intercepter en transit. Ils marchent sans signal cellulaire. Gratuits.
Le risque principal est l'hameçonnage. Si vous tapez votre code TOTP sur un faux site, l'attaquant peut s'en servir dans la fenêtre de 30 secondes. Les clés physiques règlent cela en liant la preuve au vrai domaine. Pas les codes d'application.
Notifications push (bon, avec bémols)
Certains services envoient une notification sur votre téléphone pour approuver une connexion. Pratique, plus dur à hameçonner que des codes tapés, mais vulnérable à la fatigue MFA, où les attaquants vous spamment de demandes en espérant que vous tapiez approuver par frustration.
Si vous utilisez ça, prenez l'habitude de refuser toute demande que vous n'avez pas initiée.
Codes par texto (mieux que rien, pas génial)
Code envoyé sur votre téléphone. La forme la plus commune, parce que aucune installation n'est requise au delà d'avoir un numéro. Aussi la plus faible.
Les SMS peuvent être interceptés via SIM swapping, où un attaquant convainc votre opérateur de transférer votre numéro sur son appareil. Ils peuvent aussi être redirigés via des vulnérabilités de signalisation. Les opérateurs canadiens ont resserré leurs contrôles ces dernières années, mais les attaques arrivent encore.
Utilisez les SMS uniquement quand rien d'autre n'est offert, et traitez les comme un palliatif jusqu'à ce que vous puissiez basculer.
Clé physique, puis application, puis notification push, puis SMS, puis rien. Montez l'échelle où vous le pouvez.
Où l'activer en premier
Vous n'avez pas à activer la 2FA partout d'un coup. Commencez par les comptes qui, s'ils tombent, déverrouillent tout le reste:
- Votre courriel principal. Si un attaquant le contrôle, il peut réinitialiser tous les autres mots de passe. C'est la clé maîtresse.
- Votre gestionnaire de mots de passe. Même logique. Verrouillez le bien.
- Votre banque et comptes gouvernementaux. ARC, Service Canada, votre portail provincial.
- Tout ce qui est financier: placements, plateformes de cryptomonnaie, applis de paiement.
- Réseaux sociaux. Les prises de contrôle ici servent à frauder vos contacts.
Cette liste de cinq couvre l'essentiel des dommages réalistes possibles avec un mot de passe volé.
Les codes de récupération ne sont pas optionnels
Chaque service offrant la 2FA fournit aussi des codes de récupération, un jeu de codes à usage unique pour les cas de perte du second facteur. Sauvegardez les.
Le bon endroit: votre gestionnaire de mots de passe, dans la note sécurisée du compte. Le mauvais: un fichier texte non chiffré sur le bureau ou une capture d'écran sur votre téléphone.
Si vous perdez votre téléphone ou votre clé sans codes de récupération, vous pouvez être verrouillé hors de comptes pour de bon. C'est la raison la plus commune pour laquelle des gens abandonnent la 2FA. Configurez la récupération dès le départ.
Le contexte canadien
Le Centre canadien pour la cybersécurité recommande l'authentification multifacteur comme contrôle de base pour individus et entreprises. Le service Sign In Canada du gouvernement fédéral prend en charge la MFA sur la plupart des portails ministériels.
Mon Dossier de l'ARC exige spécifiquement la MFA pour les nouvelles connexions, contrôle déployé après la fuite par credential stuffing de 2020 qui a touché plus de 11 000 comptes de contribuables. La plupart des grandes banques canadiennes l'exigent maintenant pour les services en ligne. Si la vôtre ne le fait pas, demandez pourquoi.
La 2FA est votre seconde serrure. La première doit toujours tenir. Générez un mot de passe unique de 20 caractères pour chaque compte protégé.
Objections courantes
C'est agaçant. La première semaine, oui. Ensuite les invites deviennent routinières. La plupart des applications retiennent l'appareil pendant 30 jours, donc vous n'entrez pas un code à chaque connexion.
Et si je perds mon téléphone? C'est précisément à quoi servent les codes de récupération. Certaines applications, comme Authy et 1Password, synchronisent aussi vos codes entre appareils.
Et si la 2FA n'est pas offerte? Alors le compte est plus vulnérable, point. Utilisez un mot de passe encore plus fort et plus unique, et surveillez le compte de près. Nous couvrons la détection de compromission dans comment vérifier si votre mot de passe a été divulgué.
À retenir
La 2FA transforme une fuite de mot de passe en non événement pour la plupart des comptes. L'installation prend environ 15 minutes par compte. La protection dure aussi longtemps que le compte existe. Aucun autre contrôle de sécurité n'a un tel ratio.
Commencez par votre courriel. Ajoutez votre gestionnaire ensuite. Puis descendez la liste à mesure que vous avez le temps. En un mois, vous aurez fermé le chemin d'attaque le plus commun contre l'utilisateur moyen.