L’authentification à deux facteurs pour mieux sécuriser ses comptes : comment ça marche ?

L’authentification à double facteur (appelée également « 2FA » pour « two-factor authentification » ou « double authentification ») est une méthode utilisée pour renforcer la sécurité de ses différents comptes en ligne (messagerie, réseaux sociaux, services bancaires, sites marchands…).

Comment fonctionne l’authentification à deux facteurs ?#

Lors de la connexion à un compte en ligne, l’internaute saisit au minimum son nom d’utilisateur (login) et son mot de passe. Ces éléments constituent la première barrière d’authentification. Avec la double authentification, un autre code est demandé à l’internaute. Il constitue le second moyen d’authentification. Pour obtenir ce code, il faut généralement disposer d’un appareil (téléphone mobile, clé physique…).

Méthode d’authentification OTP : de quoi s’agit-il ?#

Le code supplémentaire est un code « OTP » pour « One-Time Password ». Il s’agit d’un code unique et utilisable une seule fois, généré par un algorithme. La méthode OTP peut fonctionner avec deux « mécaniques » ou protocoles différents : HOTP ou TOTP.

HOTP (Hashed based One-Time Password) : méthode séquentielle#

La méthode HOTP repose sur un code à usage unique généré de manière incrémentale ou séquentielle. Concrètement, le code ne change pas et reste valable sans durée de temps. Il change uniquement après avoir été utilisé. On parle d’un système basé sur les événements. Cette méthode est assez peu utilisée car elle nécessite une synchronisation permanente entre l’usager (internaute) et le service (site internet).

TOTP (Time based One-Time Password) : méthode basée sur le temps#

La méthode TOTP repose sur un algorithme qui génère un code (à 6 ou 8 chiffres, par exemple) utilisable durant une période de temps limitée. Le code change toutes les 30 ou 60 secondes. Il est valide uniquement durant cet intervalle de temps.

Quelques exemples de double authentification#

L’envoi de code unique par SMS#

L’envoi de code à l’utilisateur par SMS est une méthode courante car elle est peu coûteuse et assez simple pour l’internaute. L’un de ses défauts est d’être assez facilement piratable pour quiconque sait s’infiltrer dans la couche réseau chargée de l’acheminent des SMS. Autre inconvénient : quand l’utilisateur se situe dans une zone sans couverture téléphonique, il ne peut évidemment pas recevoir le SMS.

Les applications d’authentification#

La double authentification peut s’effectuer sur smartphone via une application d’authentification. Celle-ci génère un code dont la durée de vie est très courte (30 ou 60 secondes), à saisir dès que l’utilisateur a besoin de se connecter à un compte. L’une des applications d’authentification les plus connues est Google Authenticator, qui repose sur la méthode TOTP.

Les clés cryptographiques physiques#

Pour certains services, il est également possible d’utiliser des clés de sécurité physiques. Ces clés ressemblent à des clés USB classiques, mais elles contiennent une puce sécurisée qui stocke une clé chiffrée appartenant à l’utilisateur. Ces clés sont disponibles à l’achat sur des sites grand public. Une seule clé USB est suffisante pour sécuriser tous ses comptes. Après avoir associé la clé à son compte, l’utilisateur branche la clé USB sur son ordinateur afin qu’elle transmette la clé chiffrée au site auquel il souhaite se connecter. C’est ainsi que fonctionne la double authentification avec une clé physique.

Quel est l’intérêt de l’authentification en deux facteurs ?#

L’authentification en deux facteurs est une forme d’authentification « forte ». La mise en place de ce système rend le piratage plus difficile, car le potentiel pirate doit disposer, en plus de l’identifiant et du mot de passe, du téléphone mobile ou de la clé physique de sa victime. Même si la double authentification n’est pas toujours obligatoire, l’internaute a pourtant tout intérêt à la mettre en place (dès que c’est possible) pour protéger ses données personnelles, notamment pour sa messagerie ou ses services bancaires en ligne.