Qu’est-ce que la double authentification ?
Couramment utilisée sur les réseaux sociaux et les sites d’e-commerce, la double authentification est un processus d’authentification qui a la particularité de ne valider une connexion que si vous présentez 2 éléments d’identification valides.
C’est par exemple le cas lorsque vous effectuez un achat en ligne et que votre banque vous envoie un SMS ou QR code à scanner pour procéder au paiement de votre article.
Selon un rapport publié par Microsoft, cette technique permet de réduire le risque de piratage informatique de 99,9 %. Cette efficacité s’explique par ses nombreux avantages :
- Elle renforce l’efficience des mots de passe en exigeant un autre élément comme un code unique ou un smartphone
- La présence d’une authentification double facteur décourage immédiatement les hackers
- Si vos données sont volées, à l’instar des identifiants des millions d’utilisateurs de Yahoo en 2013, les pirates ne pourront pas accéder à vos données confidentielles
Il existe aussi une autre méthode d’identification appelée authentification à deux facteurs. Bien qu’il existe une différence entre l’authentification MFA et la double authentification, en pratique on les confond souvent.
Comment fonctionne l’authentification à deux facteurs ?
La méthode d’identification à deux facteurs la plus connue est probablement l’envoi d’un SMS ou d’un QR code à scanner, avant de valider une connexion ou une transaction. Seulement, ce n’est pas la seule méthode développée par les géants de la tech, notamment :
- L’authentification via un appareil « connu » : c’est par exemple ce que fait Gmail lorsque vous vous connectez avec un nouveau périphérique. Il vous envoie une notification ou un bouton à taper sur un appareil qu’il juge digne de confiance, en plus de votre mot de passe.
- L’authentification via vos données corporelles : reconnaissance vocale ou faciale, scan de l’iris ou alors empreinte digitale, notre corps comporte une foule de données inimitables qui sont parfois associées avec notre mot de passe.
- L’authentification via un matériel spécifique : ici, en plus de votre mot de passe, vous devez avoir un matériel spécifique et unique pour pouvoir accéder aux ressources. C’est ce que vous faites à chaque fois que vous vous rendez dans un guichet : vous fournissez votre code pin et votre carte bancaire. Sans l’un des deux, impossible pour vous de faire quoi que ce soit.
Pourquoi vous ne pouvez plus faire confiance à votre mot de passe ?
Savez-vous qu’en 2016 les comptes Twitter et Pinterest de Mark Zuckerberg, fondateur de Facebook, ont été piratés via son mot de passe « dadada » ? S’il avait une authentification à double facteur les pirates n’auraient pas pu accéder à ses comptes.
Comme lui, nous sommes nombreux à utiliser les mêmes mots de passe simples sur différentes plateformes.
Et parmi ces mots de passe, « 123456 », « picture1 » ou encore « password » figuraient parmi les mots de passe les plus utilisés des internautes en 2020.
Même si votre mot de passe est plus sécurisé qu’un coffre-fort, sachez qu’il peut aussi être dérobé directement sur les serveurs de vos sites favoris. C’est l’expérience douloureuse qu’on vécut les 2,7 millions d’utilisateurs du site d’Audi & VM, ainsi que les 20 millions de clients du site Bigbasket en 2021.
Pour résumer, vos mots de passe ne sont pas dignes de confiance pour les raisons suivantes :
- Ils sont obsolètes face à la puissance de calcul des pirates : en une seconde, des outils spécialisés peuvent générer et tester jusqu’à 500,000,000 mots de passe. Sans double authentification, vous allez très vite rejoindre les 11,420,802,014 de comptes piratés recensés sur le site haveibeenpwned.com ;
- Si vous utilisez le même mot de passe sur plusieurs plateformes alors, à la moindre faille de l’une d’entre elles, les pirates informatiques auront le champ libre pour dérober vos données. Avec la seconde barrière d’une authentification à double facteur, ils ne pourront pas y arriver.
- Ils sont faciles à récupérer via des attaques informatiques spécialisées appelées phishing : ici, il n’est pas question de vous voler vos données par la force, vous les donnez par vous-même en pensant être face à un site de confiance ;
- Ils peuvent être volés directement chez les entreprises qui les hébergent : LinkedIn en 2012, Yahoo en 2013, Audi et VM en 2021 pour ne citer que ceux-là.