Passer au contenu principal
femme utilisant une application de téléphonie mobile pour synchroniser des données avec un netbook via Bluetooth
Innovation
Technologies

Authentification à deux facteurs : quand les mots de passe ultracomplexes ne suffisent plus

Sécuritaire, la vérification des données d’ouverture de session par message texte? Les experts en détournement de carte SIM ont, hélas, une longueur d’avance. Voici comment vous protéger.

Un rapport de Verizon révèle que dans 81 % des atteintes à la protection des données, un mot de passe faible ou volé était en cause. (Shutterstock/GaudiLab)

Si vous n’avez jamais été victime de cambriolage, la protection de votre maison ne vous inquiète sans doute pas outre mesure. De la même façon, si vous ne vous êtes jamais fait voler vos données d’ouverture de session, vous ne pensez peut-être pas à leur sécurité.

Pourtant, le vol de mot de passe est une des méthodes préférées des pirates. En 2017, le rapport de Verizon sur les atteintes à la sécurité des données révélait que dans 81 % des atteintes à la protection des données, un mot de passe faible ou volé était en cause. Et il semble que même les mots de passe les plus complexes soient impossibles à protéger. Voilà pourquoi certains ont désormais recours à l’authentification à deux facteurs, qui offre une deuxième ligne de défense face aux escrocs.

SE FIER À LA VÉRIFICATION PAR SMS PEUT ÊTRE RISQUÉ

La vérification par SMS est une méthode répandue. Votre fournisseur de services vous envoie par message texte un code d’accès que vous devez saisir dans une interface pour entrer dans un compte. Mais les pirates savent désormais contourner ce procédé : il leur suffit d’appeler votre société de téléphonie mobile et de déclarer votre téléphone volé ou endommagé. S’ils réussissent à répondre à quelques questions de sécurité, votre carte SIM est annulée, et votre numéro est transféré sur une nouvelle carte SIM, contrôlée par les malfrats.

« Ce type d’attaque est de plus en plus fréquent, déplore Dave Lewis, conseiller en sécurité des systèmes d’information à Duo Security. On parle de “détournement de carte SIM”. Les pirates reçoivent le code d’accès à votre place et peuvent ainsi entrer dans vos comptes. »

Duo Mobile, tout comme Google Authenticator et Authy, est une application d’authentification bien connue. Elle génère des codes uniques à l’aide d’un algorithme, ce qui permet d’effectuer la vérification à deux facteurs sans passer par l’envoi d’un SMS.

POURQUOI UTILISER LA VÉRIFICATION À DEUX FACTEURS 

Des plateformes de réseaux sociaux aux sites de services bancaires, la vérification à deux facteurs exige que vous fournissiez deux types d’information pour confirmer votre identité. L’idée consiste à associer une information que vous connaissez (votre mot de passe) à une information que vous possédez (un code envoyé par SMS ou généré par une application), ou encore à un autre élément qui prouve votre identité (comme une empreinte digitale ou la voix).

Sur les sites compatibles, les applications comme Duo Mobile génèrent un code à usage unique, et vous devez saisir le code, en plus de votre mot de passe, pour ouvrir une session. Ainsi, les pirates ne peuvent plus entrer dans votre compte, même s’ils connaissent votre mot de passe.

« L’humain étant ce qu’il est, nous avons tendance à utiliser les mêmes mots de passe pour plusieurs comptes, souligne M. Lewis. Après tout, nous ne pouvons pas retenir 800 mots de passe différents. »

Une fois que les pirates ont fait main basse sur vos données d’ouverture, précise-t-il, ils les utilisent sur d’autres sites Web pour tenter d’entrer dans plusieurs de vos comptes.

« Si je parviens à voler votre nom d’utilisateur et votre mot de passe sur un site de jeux en ligne, par exemple, et que j’utilise ces derniers pour entrer dans votre profil Amazon ou dans votre compte bancaire, les dégâts financiers pourraient être importants pour vous. »

« Quand vous avez recours à la vérification à deux facteurs, vous limitez les risques. Le mot de passe n’est plus qu’une pièce du casse-tête. Sans la pièce manquante, le malfrat ne peut parvenir à ses fins. »

PROTÉGER SES DONNÉES

Nous avons beaucoup parlé de fraude en 2018 : des appels suspects au harponnage, les escrocs sont de plus en plus organisés. Les cyberattaques, notamment, peuvent faire des dégâts importants. Apprenez à vous protéger et documentez-vous sur le sujet avant de vous faire prendre. Et n’oubliez pas de protéger aussi votre téléphone intelligent.