Publicité

Trucs et Astuces

Qu’est-ce que la validation en deux étapes et pourquoi l’utiliser dès maintenant ?

Yann-Marig Brezac

Yann-Marig Brezac

  • Mise à jour:

Un mot de passe n’est pas une mesure de sécurité infaillible. Il peut être volé et parfois même deviné si son utilisateur choisit un code trop simple. Mais les autres modes de sécurité ne sont hélas pas exempts de failles. Ainsi les clés ou empreintes digitales peuvent être volées, copiées ou obtenues sous la contrainte.

Cadenas

La solution? Utiliser plus d’une clé. Beaucoup de pages Web commencent maintenant à appliquer ladite validation en deux étapes. Désormais, en plus de demander le mot de passe, un code supplémentaire est requis par téléphone mobile.

Nous allons  vous expliquer le plus simplement possible en quoi consiste cette vérification en deux étapes, comment l’activer sur vos applications Web préférées et comment optimiser son efficacité (car, ne l’oublions pas, aucune mesure de sécurité n’est sûre à 100% si elle est utilisée sans précaution).

Qu’est-ce que la validation (ou authentification) en deux étapes?

Lorsque vous utilisez votre carte de crédit pour retirer de l’argent à un guichet automatique, vous utilisez déjà sans le savoir la validation en deux étapes. Vous devez insérer la carte (clé physique) puis dans un deuxième temps vous devez taper un code PIN (clé virtuelle).

La validation en deux étapes c’est exactement ça: utiliser deux formes d’identification au lieu d’une seule. Avec la validation en deux étapes vous utilisez donc un mot de passe ainsi qu’un code obtenu via votre téléphone mobile.

schéma Validity Sensors, Inc.Différentes formes d’authentification (Image originale de Validity Sensor, Inc.)

Il existe plusieurs types de vérification d’identité qui peuvent être combinés ensemble dans une procédure en deux étapes: mot de passe, empreintes digitales, schéma de déverrouillage, codes PIN, localisation géographique, etc.

Comment fonctionne la validation en deux étapes?

Image mobile et ordinateurLa première étape est toujours la même: saisir votre nom d’utilisateur et le mot de passe, comme d’habitude.

La nouveauté est la présence d’une deuxième étape durant laquelle vous devez entrer un code reçu par téléphone mobile.

Une fois le code introduit, l’appareil (PC, tablette ou mobile) à partir duquel vous vous connectez est indiqué comme étant un dispositif de confiance. Vous pouvez ensuite vous identifier avec votre mot de passe sans utiliser de code supplémentaire.

Que faire si je perds le téléphone ou je n’ai pas de couverture ?

Si vous perdez votre téléphone, vous avez un gros problème parce que les codes sont envoyés au numéro que vous avez défini dans votre compte. Toutefois, il existe des solutions:

  • Accéder à votre compte par le biais d’un ordinateur sûr
  • Utiliser le code de sécurité que vous avez imprimé à l’avance

Si aucune de ces options n’est possible alors il ne vous reste plus qu‘à demander un nouveau téléphone avec le même numéro. Vous pouvez également faire une demande en ligne pour récupérer votre compte, processus qui prend habituellement plusieurs jours.

Dans le cas où vous voyagez hors de votre pays ou n’avez pas de signal et vous devez vous identifier en deux étapes, vous pouvez utiliser des applications qui génèrent des codes hors connexion ou utiliser des codes pré-imprimés.

Si vous avez un smartphone, il est recommandé d’utiliser un logiciel comme Google Authenticator (Android, iOS), une applications qui produit des codes hors ligne.

Pourquoi faire deux étapes et pas trois?

Pour des raisons pratiques. Rien n’empêche d’utiliser plus d’un système de validation mais cela engendre une plus grande complexité d’utilisation.

L’utilisation combinée d’un mot de passe et un nombre généré aléatoirement envoyé sur téléphone réduit considérablement le risque d’accès non autorisé à vos comptes, de sorte que le mode à deux étapes est largement suffisant dans la majorité des cas.

Pourquoi beaucoup de sites internet ont décidé d’adopter cette validation en deux étapes?

De plus en plus de sites utilisent la validation en deux étapes. Le dernier en date est Microsoft dans le sillage de Google, Dropbox, Twitter et d’autres sites et d’applications.

Pourquoi maintenant?

  • Il y a de plus en plus de services qui ont tendance à se rassembler sous un seul compte (par exemple Google ou Microsoft)
  • De plus en plus d’utilisateurs ont de multiples appareils reliés à Internet
  • Le piratage croît et n’épargne personne à l’image de ce qu’a subi récemment Twitter

Pourquoi la validation en deux étapes est facultative?

La validation en deux étapes est facultative en particulier pour des raisons de confidentialité. Beaucoup d’utilisateurs ne veulent pas lier leur compte à un numéro de téléphone. Pour éviter cet obstacle, dans certains cas il est possible d’utiliser un générateur de clef comme le Battle.net Authenticator, un porte-clé qui fournit des codes à la demande du propriétaire.

Comment activer la validation en deux étapes?

Dans la plupart des cas, vous pouvez aller dans votre profil dans la rubrique Compte ou Sécurité pour activer l’option. Voici des liens vers les instructions officielles de quelques sites:

Est-ce que la validation en deux étapes est infaillible?

Pas du tout. Par exemple, le téléphone associé à votre compte peut être piraté par un hacker qui connait également votre mot de passe. Ou quelqu’un connaissant votre mot de passe a accès à une de vos machines sécurisées où il n’est plus nécessaire d’entrer le code de deuxième étape.

Les chevaux de Troie et le phishing sont d’autres formes de danger. Si un pirate parvient à se présenter comme une entité légitime ou intercepter vos données, vous êtes aussi exposé qu’avant.

Pour minimiser ces risques il est possible d’ajouter d’autres couches de protection pour vos appareils (systèmes de  blocage ou antivirus). Bien que la vérification en deux étapes est très efficace pour minimiser les risques d’intrusion dans vos comptes, les hackers ne cessent de développer d’autres techniques pour voler vos données. Soyez donc toujours vigilants.

Et vous, utilisez- vous la vérification en deux étapes ?

Yann-Marig Brezac

Yann-Marig Brezac

Directives éditoriales