Les attaques des hackers font encore et toujours les gros titres des médias. Les pirates sur le Web arrivent à voler et à espionner des milliers d’adresses emails et mots de passe à partir de grandes plateformes, forums ou de boutiques en ligne, obtenant ainsi un accès non autorisé aux comptes de leurs victimes. Ces attaques dites d’hameçonnage permettent aux criminels d’avoir accès à des données sensibles. L’un des moyens les plus sûrs pour protéger vos comptes contre les activités des pirates sur Internet est le processus d’authentification à deux facteurs : cela signifie que l’accès à un compte n’est possible que via deux vérifications d’identification. Cet article explique ce que signifie la double authentification, comment, dans la pratique, cela fonctionne et quels sont les avantages et les inconvénients d’une telle procédure.Qu’est-ce que l’authentification à deux facteurs ?
L’identification à deux facteurs combine deux composants différents et indépendants pour authentifier un utilisateur autorisé. Les internautes rencontrent au quotidien un exemple simple : le code Pin (ou la signature) avec la carte de paiement. Ce n’est que si les deux sont correctement combinés que l’authentification à deux facteurs peut réussir. Le même principe peut aussi être utilisé pour sécuriser les comptes emails, les comptes sur les boutiques en ligne ou sur bien d’autres portails Web.
Ayant à cœur la protection des informations de ses clients, IONOS a choisi d’intégrer cette sécurité supplémentaire au sein de ses programmes et notamment HiDrive. Elle permet en effet de réduire drastiquement les piratage d’identifiants.
Comment fonctionne l’identification à deux facteurs ?
Les composants et les facteurs requis pour l’accès peuvent être nombreux et variés. Les facteurs les plus importants et les plus répandus pour la double authentification sont les suivants :
- Token (un identifiant) ou carte d‘accès
- PIN (Personal Identification Number)
- TAN (numéro de transaction)
- Mot de passe
- Caractéristiques biométriques (empreintes digitales, vocales…)
Tous ces facteurs supposent de posséder ou de connaître quelque chose pour réaliser à bien l’identification. L’exemple du guichet automatique à la banque l’illustre bien. Cette procédure présente l’inconvénient que même les personnes autorisées doivent toujours posséder un identifiant ou carte ce qui peut sinon conduire même à un verrouillage de l’accès (par exemple lorsque le code PIN saisi à plusieurs reprises est erronée ou par perte de la carte).
Pour cette raison, l’authentification à deux facteurs sur le Web utilise de plus en plus des méthodes pour identifier les utilisateurs sans avoir besoin aux identifiants classiques ou qui minimisent au moins le risque de perte : en générale, le système génère un code automatique en plus du mot de passe. Celui-ci est envoyé à l’utilisateur sur son smartphone, soit par SMS, email ou via une application d’authentification spécifique. Ceci permet de s’assurer que seule la personne en possession de ce code de sécurité supplémentaire y a accès. L’avantage : le code n’est valide qu’une seule fois et perd automatiquement sa validité après un certain laps de temps.
L’authentification à deux facteurs sans token ou carte d’accès présente aussi l’avantage de pouvoir définir des méthodes secondaires pour recevoir le code de sécurité : si par exemple, l’accès à l’application n’est pas possible, on peut spécifier qu’un SMS soit envoyé ou que l’utilisateur autorisé puisse recevoir un appel avec l’annonce automatique du code.
Chez IONOS, il est possible d’intégrer facilement cette sécurité supplémentaire, liée à un téléphone par deux applications : FreeOTP ou TOTP Authenticator.
Avec cette procédure, non seulement vos données d'accès habituelles sont nécessaires pour vous connecter à IONOS mais aussi un code à 6 chiffres. De plus, le code généré par l’application parallèle est valable pendant 60 minutes, afin d’offrir une flexibilité de connexion mais également d’éviter la perte de données avec un code à la durée de vie trop longue. Enfin, chaque code est unique et une déconnexion du service HiDrive, nécessitera la génération d’un nouveau code pour une reconnexion, faisant de cette méthode rapide une garantie de protection supplémentaires. La solution de IONOS est parfaitement capable d’intégrer ce plugin et de faire de l’authentification à deux facteurs une part intégrale de ses routines de fonctionnement.
Pourquoi l’authentification à deux facteurs est-elle importante ?
Bien évidemment, le risque zéro n’existe pas lorsque l’on parle de la sécurisation d’un compte ; alors pourquoi mettre en place une double identification ? La réponse est évidente : cette méthode ajoute un niveau supplémentaire au processus d’identification : c’est un second obstacle pour ainsi dire, que les personnes non autorisées doivent surmonter. De plus, presque toutes les attaques d’hameçonnage échouent à cause de cette identification à deux facteurs.
Avec l’hameçonnage (le phishing), les hackers tentent d’obtenir des mots de passe, des codes PIN et TAN par le biais de faux emails contenant des liens vers des sites Internet configurés à l’avance. Les emails prétendent provenir de services bancaires authentiques, ou de véritables boutiques en ligne et demandent généralement de modifier un facteur d’identification, supposément pour des raisons de sécurité. En réalité, les mots de passe, PIN et TAN saisis sont espionnés.
Un exemple célèbre est l’attaque par hameçonnage de John Podesta, directeur de campagne d’Hillary Clinton : selon les médias, J. Podesta a reçu de faux emails en mars 2016 comme de nombreux autres politiciens. Ils semblaient venir de Google et indiquaient qu’une adresse IP étrangère, ukrainienne, avait accès au compte Gmail de la victime. Ainsi le mot de passe devait être changé immédiatement. En cliquant sur le lien contenu dans l’email, une redirection vers une fausse page a été effectuée. L’URL de ce site a été raccourcie et obscurcie, la mise en page ressemblant à celle de Google.
De telles combines frauduleuses connaissance toujours un vif succès : 20 des 108 membres de la campagne de Clinton ont cliqué sur le lien. Si les comptes Google ciblés avaient été sécurisés avec une authentification à deux facteurs, les pirates n’auraient rien pu faire avec les mots de passe capturés. En effet, il leur aurait manqué le deuxième facteur pour réussir le piratage : un code de sécurité unique qui est envoyé exclusivement sur le téléphone mobile de la personne.
Mais pourquoi cette méthode n’est-elle pas plus largement utilisée ? La mise en place d’une double authentification sur Google n’est ni particulièrement complexe, longue ou compliquée. Vous n’avez même pas besoin de récupérer le code de sécurité généré automatiquement à chaque fois que vous vous connectez, car vous pouvez classer en permanence un terminal comme étant digne de confiance.
La mise en place de l’authentification à deux facteurs pour d’autres services n’est pas non plus compliquée : Amazon, Microsoft, Apple etc. Presque toutes les grandes entreprises offrent maintenant des options similaires à leurs clients. La faible prévalence de l’identification à deux facteurs soulève toutefois la question de savoir s’il existe des inconvénients.
Quels sont les inconvénients de l’authentification à deux facteurs ?
Le niveau de sécurité augmente grâce à l’authentification à deux facteurs et apporte donc un avantage certains. Cependant, en cas de négligence ou de défaillance du système, les utilisateurs prennent le risque d’être eux-mêmes verrouillés, car l’authentification à double facteurs pose un obstacle supplémentaire non seulement pour les hackers mais aussi pour l’utilisateur autorisé. Étant donné que la double authentification pour la sécurisation des comptes sur le Web est normalement effectuée via une combinaison de savoir (mot de passe, etc.) et de matériel (smartphone où un code de sécurité est envoyé), la perte du smartphone, par exemple, entraîne donc une exclusion, temporaire, de l’utilisateur autorisé. Des problèmes techniques avec les applications d’authentification ne peuvent pas non plus être totalement exclus.
Heureusement, dans de tel cas, la majorité des services proposent un « double fond » ou l’option de spécifier une option de récupération, par exemple un numéro de téléphone alternatif où le code d’authentification peut être envoyé. Un code d’urgence écrit ou imprimé ou une adresse électronique de remplacement sont parfois demandés pour rétablir l’accès au compte. Ainsi, ce désavantage apparent doit être largement relativisé. Lors de la mise en place du système, il faut veiller à n’utiliser les mesures de sécurité qu’à condition qu’elles soient facultatives et non obligatoire de toute façon, et de noter soigneusement les informations pour l’accès d’urgence. Cela permet de réduire considérablement le risque d’auto-exclusion.
IONOS a ainsi permit d’utiliser un smartphone comme une tablette comme support de la double vérification. Ainsi, au-delà de faible probabilité de perte des deux appareils simultanément ; cette possibilité permet une plus grande flexibilité d’usages aux clients IONOS.
Découvrez HiDrive, le programme de stockage et de partage en ligne d'Ionos Configurer l'authentification à deux facteurs pour HiDrive Comment la campagne d'Hillary Clinton a été piratéeA propos d'Ionos, by 1&1
IONOS est le partenaire de choix des petites et moyennes entreprises pour les solutions d'hébergement Web et les infrastructures Cloud. Ionos offre, non seulement, un portefeuille de produits et de services-clés qui permettent aux entreprises de démarrer et de développer leur activité sur Internet, mais aussi une expertise en matière d'infrastructure (IaaS). Leader de l'hébergement en Europe, la société gère plus de 8 millions de contrats et héberge plus de 12 millions de noms de domaine au sein de data centers à travers le monde.
Source : Ionos, by 1&1.