Mais l’authentification à deux facteurs n’est pas une solution miracle capable d’arrêter les pirates informatiques dans leur élan. C’est une contre-mesure utile à avoir parmi vos défenses, mais en fin de compte, cela ne remplace pas une connaissance pratique des plus grandes menaces auxquelles nous sommes confrontés en ligne.
Vidéos recommandées
Activez l’authentification à deux facteurs chaque fois que l’opportunité se présente, mais ne commettez pas l’erreur de vous fier à sa protection si vous ne comprenez pas contre quoi elle peut et ne peut pas se défendre. Comme l’année 2016 l’a prouvé, assurer la sécurité des données est complexe et un excès de confiance peut vous exposer aux attaques.
En rapport
- Les mots de passe sont difficiles et les gens sont paresseux, selon un nouveau rapport
- Twitter n'a plus besoin de numéros de téléphone pour l'authentification à deux facteurs
- Google propose sa propre clé de sécurité USB « Titan » pour des connexions sans mot de passe
Êtes-vous celui que vous prétendez être ?
À la base, l’authentification à deux facteurs consiste à vérifier les informations d’identification. C’est une façon de s’assurer qu’une personne est bien celle qu’elle prétend être, en vérifiant deux types de preuves distincts. Ce type de système existe depuis des années.
Si vous ne comprenez pas les bases de la sécurité informatique, vous ne devriez pas être autorisé à effectuer des opérations bancaires sur Internet.
Les paiements par carte de crédit à puce et à code PIN en sont peut-être l’exemple le plus répandu; ils dépendent de la possession par l'utilisateur d'une carte physique et de la connaissance de son code PIN. Alors qu'un voleur pourrait très bien voler une carte et apprenez le code PIN, ce n’est pas facile de gérer les deux.
Il fut un temps, il n’y a pas si longtemps, où les transactions financières étaient la seule raison pour laquelle les gens devaient authentifier régulièrement leur identité. Aujourd’hui, quiconque utilise Internet dispose d’un large éventail de comptes auxquels il ne voudrait pas que n’importe qui ait accès, pour diverses raisons.
Le secteur financier a réussi à mettre en œuvre très facilement l’authentification à deux facteurs, car le seul matériel à distribuer était une carte bancaire. Il est presque impossible de distribuer un système similaire pour les sites Web de tous les jours, c'est pourquoi le double facteur est activé par d'autres moyens. Et ces méthodes ont leurs propres défauts.
Expérience utilisateur
"J'en ai vraiment marre de voir toutes les choses pratiques de la vie qui deviennent soudainement trop encombrantes à utiliser", lit-on dans un commentaire publié en 2005. Point oblique article sur l'essor imminent de l'authentification à deux facteurs dans le cadre des services bancaires en ligne. "Je détesterais vraiment, vraiment avoir un jeton difficile à transporter."
"Les politiciens n'ont aucune idée de l'impact que cela a sur le monde réel", a reconnu un deuxième, déplorant la menace de voir les utilisateurs obligés d'acheter du matériel supplémentaire. "Si vous ne comprenez pas les bases de la sécurité informatique, vous ne devriez pas être autorisé à effectuer des opérations bancaires sur Internet", a ajouté un autre intervenant.
Aujourd'hui, de telles plaintes semblent tout à fait insensées, mais en 2005, les utilisateurs étaient davantage préoccupés par le coût et la gêne occasionnée par le fait de transporter une certaine forme de jeton à deux facteurs. La réponse des utilisateurs peut s’avérer encore plus négative lorsque quelque chose de moins important que la banque est protégé. En 2012, un recours collectif a été intenté contre le développeur de jeux Blizzard Entertainment après que la société a introduit un périphérique d'authentification conçu pour défendre les comptes Battle.net des utilisateurs, selon un rapport du BBC.
Dernier passage
Des efforts pour mettre en œuvre ce type d'authentification à deux facteurs étaient en place depuis les années 1980, lorsque Security Dynamics Technologies a breveté une « méthode et un appareil pour identifier positivement un individu ». Dans les années 2000, l’infrastructure et la capacité de fabrication étaient en place pour que les organisations allant des institutions financières aux éditeurs de jeux vidéo appliquent leurs propres moyens de double facteur authentification.
Malheureusement, les utilisateurs ont décidé de ne pas coopérer. Que le deuxième facteur d'authentification soit aussi simple qu'un écran LCD délivrant un code unique, ou aussi complexe qu'un scanner d'empreintes digitales, l'idée de avoir encore un autre élément de matériel physique – et potentiellement un pour chaque service différent nécessitant une connexion unique – n'était pas attrayant pour le masses.
Il est possible d’imaginer une histoire alternative dans laquelle les deux facteurs n’auraient jamais pris de l’ampleur à cause de ce problème. Heureusement pour nous, Apple a présenté l'iPhone et Google a présenté Android. Les smartphones mettent un appareil capable d'authentification à deux facteurs entre les mains de milliards de personnes dans le monde, résolvant ainsi le problème de commodité dont les utilisateurs se plaignaient en 2005.
Les smartphones sont pratiques, mais comportent leurs propres risques
L’omniprésence des smartphones a permis aux sites et services de supprimer les tracas liés au processus d’authentification à deux facteurs. "Ceux qui utilisent votre téléphone portable ont tendance à être très faciles à utiliser et à très faible impact", a déclaré Bruce Schneier, expert en sécurité et chercheur à Harvard, dans un entretien avec Digital Trends plus tôt ce mois-ci. « Parce que c’est quelque chose que tu as déjà. Ce n’est pas quelque chose de nouveau que vous devez emporter avec vous.
Il est possible d’imaginer une histoire alternative où les deux facteurs n’ont jamais fait leur chemin.
Dans certains scénarios, cette approche peut offrir des avantages certains. Par exemple, si vous vous connectez à un service à partir d'un nouvel ordinateur, il vous sera peut-être demandé de saisir un code envoyé à un appareil de confiance ainsi que votre mot de passe standard. C'est un bon exemple de la façon d'utiliser l'authentification à deux facteurs; quelqu'un d'autre aurait pu voler votre mot de passe et tenter de se connecter au compte associé à partir de son système, mais à moins qu'il n'ait déjà volé votre téléphone, il ne pourra pas y accéder.
Il existe cependant des menaces que ce type de protection ne peut tout simplement pas gérer. En 2005, Schneier écrivait que « l’authentification à deux facteurs n’est pas notre sauveur » article de blog fouiller dans ses faiblesses.
Il a ensuite décrit comment une attaque de l'homme du milieu pourrait faire croire à l'utilisateur qu'il est en danger. sur un site Web légitime, et les convaincre de proposer les deux formes d'authentification à une fausse connexion écran. Il note également qu'un cheval de Troie pourrait être utilisé pour s'appuyer sur une connexion légitime effectuée à l'aide de deux formes d'authentification. Il y a aussi le problème de centraliser la sécurité sur un seul appareil; la plupart des gens utilisent un smartphone à deux facteurs pour plusieurs sites Web. Si ce téléphone est volé et compromis, tous ces sites sont en danger.
La connaissance, c'est le pouvoir
"Lorsque vous vous connectez à votre compte, le double facteur est génial", a déclaré Schneier. « Mon université, Harvard, l'utilise, mon entreprise l'utilise. Beaucoup de gens l’ont adopté et c’est très utile. Mais ce que j’écrivais à l’époque, le problème c’est que c’était considéré comme une panacée, ça résoudrait tout. Bien sûr, nous savons que ce n’est pas le cas.
Le gain financier motivera toujours les pirates informatiques malveillants à développer de nouvelles techniques pour accéder aux comptes d’autrui. Tant qu’il y aura un avantage à posséder les informations d’identification de quelqu’un d’autre, nous verrons le piratage évoluer continuellement.
« Il existe de nombreuses menaces différentes et de nombreux mécanismes de sécurité différents », a expliqué Schneier. « Il n’y a pas une seule menace, pas un seul mécanisme, il existe de nombreuses menaces et de nombreux mécanismes. »
La meilleure défense est un flux continu de contre-mesures nouvelles et améliorées. Si nous continuons à modifier et à mettre à jour les méthodes que nous utilisons pour assurer la sécurité de nos comptes, nous rendrons les choses plus difficiles pour quiconque tente d'y accéder sans autorisation.
Malheureusement, les attaquants ont l'initiative. Il a fallu des années pour que l’authentification à deux facteurs soit acceptée par le grand public. À mesure que de nouvelles formes de protection deviennent disponibles, nous, en tant qu'utilisateurs, devons nous engager à en profiter. Et cela nous ramène aux forums Slashdot, vers 2005. Nous redevenons tous des utilisateurs qui se plaignent de la commodité, au lieu de se soucier de la sécurité.
Il est difficile d’ignorer à quel point les piratages informatiques à grande échelle sont devenus monnaie courante, et rien n’indique que cette forme de criminalité va disparaître. Il n’existe aucune défense capable à 100 % de bloquer tout type d’attaque; les criminels trouveront toujours un moyen d’exploiter la moindre faiblesse. Même si cela n’est pas facile, le meilleur moyen de rester en sécurité en ligne est d’être conscient des menaces et de savoir ce qui peut être fait pour se prémunir contre ces menaces.
La sécurité en ligne, c'est comme payer une assurance ou aller chez le dentiste. Cela ne semble pas si important, jusqu’à ce que ce soit le cas. Il ne suffit pas de simplement adhérer aux formes de protection qui nous sont proposées par divers sites et services. Savoir contre quels types d’attaques ces protections nous défendent – et contre lesquelles elles ne nous protègent pas – est la seule façon de prendre en charge votre propre sécurité.
Recommandations des rédacteurs
- L’authentification SMS à deux facteurs de Twitter rencontre des problèmes. Voici comment changer de méthode
- Voici pourquoi les gens disent que l’authentification à deux facteurs n’est pas parfaite
- Les pirates trouvent un moyen de contourner l'authentification à deux facteurs de Gmail
