If you're seeing this message, it means we're having trouble loading external resources on our website.

Si vous avez un filtre web, veuillez vous assurer que les domaines *. kastatic.org et *. kasandbox.org sont autorisés.

Contenu principal

Cours : Sécurité sur Internet > Chapitre 1 

Leçon 7: En savoir plus sur la protection des appareils
Compétences pratiques
Sécurité sur Internet
La sécurité des données en ligne
En savoir plus sur la protection des appareils
© 2024 Khan AcademyConditions d'utilisation (en anglais)Politique de confidentialitéUtilisation de cookies

L'authentification multifacteur

Google Classroom
L'utilisation d'un mot de passe est la forme d'authentification la plus courante, mais ce n'est ni la seule, ni la plus sûre. Un pirate doit en effet découvrir une seule information (un mot de passe, par exemple) pour accéder à votre compte.
Une méthode plus sûre pour protéger nos données privées et empêcher les pirates d'y accéder est l'authentification multifacteur, qui requiert plusieurs informations pour pouvoir s'authentifier.

Facteurs d'authentification

L'authentification exige que vous présentiez des preuves de votre identité. Ces preuves se présentent sous trois formes principales :
  1. Preuve relevant de la connaissance ("ce que vous savez"). Vous apportez souvent une preuve de votre identité à un site web sous la forme d'un mot de passe, qui constitue quelque chose que vous savez. Les codes PIN et les phrases sont d'autres exemples.
Image d'une bulle de pensée contenant le mot de passe "m0tdep@ssetr0pc00l".
  1. Preuve relevant de la possession ("ce que vous possédez"). Les distributeurs de billets vérifient l'identité des utilisateurs et utilisatrices en leur demandant de fournir leur carte bancaire comme preuve. Votre carte bancaire représente quelque chose que vous possédez. Le téléphone, les clés et les jetons de sécurité sont d'autres exemples.
Image d'une main tenant une carte bancaire.
  1. Preuve relevant de l'inhérence ("ce que vous êtes"). La nouvelle génération de smartphones peut vous authentifier en scannant votre empreinte digitale. Celle-ci représente quelque chose que vous êtes. Les reconnaissances faciale et vocale sont d'autres exemples.
Image d'une empreinte digitale à côté d'une femme qui parle et qui émet des ondes sonores depuis sa bouche.
Ces différentes formes de preuves sont aussi connues sous le nom de facteurs d'authentification. D'autres facteurs existent (comme "où vous êtes"), mais ceux mentionnés ci-dessus sont les plus courants.
Les pirates peuvent voler ces facteurs d'authentification pour obtenir un accès non autorisé à un compte. En fonction de la position géographique du pirate, certaines formes de preuves sont plus faciles à obtenir que d'autres. Un pirate opérant à distance préférera par exemple voler des mots de passe plutôt que des cartes bancaires, alors qu'un pirate opérant à proximité préférera faire le contraire.
Image représentant deux pirates : le pirate de gauche est en train de surveiller un mot de passe qui est envoyé en texte clair sur Internet, tandis que le pirate de droite est en train de voler une carte bancaire.

L'authentification multifacteur

Pour se défendre contre les attaques à proximité et à distance, les systèmes d'authentification utilisent une technique courante de contrôle d'accès appelée authentification multifacteur (MFA en anglais).
L'authentification multifacteur exige qu'un utilisateur ou une utilisatrice présente plusieurs preuves appartenant à des catégories de facteurs différentes (ex. : "ce que vous savez" et "ce que vous possédez") pour avoir accès à un système.

Authentification à deux facteurs

La forme d'authentification multifacteur la plus répandue recourt à l'utilisation de deux facteurs pour pouvoir s'authentifier. L'authentification à deux facteurs (2FA en anglais) exige en effet deux preuves de l'identité de l'utilisateur, et celles-ci doivent appartenir à deux catégories de facteurs différentes.
Un système d'authentification qui demande un mot de passe et un code PIN utilise seulement un facteur, même s'il exige deux preuves. Les mots de passe et les codes PIN relèvent en effet du facteur de connaissance : le système d'authentification ne répond donc pas aux exigences de l'authentification multifacteur.
Si ce système n'utilise pas l'authentification à deux facteurs, à quoi ressemble alors un vrai système d'authentification à deux facteurs ? Généralement, on vous invite d'abord à entrer un mot de passe (ce que vous savez), et on vous demande ensuite d'entrer un code généré sur votre téléphone (ce que vous possédez).
Intéressons-nous au fonctionnement de l'authentification à deux facteurs lorsque je dois me connecter à Google, et plus spécifiquement à mon compte Gmail.
Google me demande d'abord d'introduire mon adresse e-mail, puis mon mot de passe :
Capture d'écran de la page permettant de se connecter à Gmail : l'adresse e-mail est mentionnée, et on trouve en dessous un champ qui contient le mot de passe. Un bouton "Suivant" est situé dans le coin inférieur droit de l'écran.
Google me demande d'entrer un code de validation qui m'a été envoyé par message sur mon téléphone :
Capture d'écran de la validation en deux étapes de Google. On peut lire en haut de l'écran : "Afin de protéger votre compte, Google veut s'assurer que c'est bien vous qui essayez de vous connecter". Vient ensuite l'adresse e-mail, suivie du texte "Validation en deux étapes : Un SMS contenant un code de validation à six chiffres a été envoyé au ···· ·· ·· 01", au-dessus d'un champ vide permettant de saisir le code. Un bouton "Suivant" est situé dans le coin inférieur droit de l'écran.
J'ouvre le message sur mon téléphone et vois le code généré par Google :
Photo d'une main qui tient un téléphone. Une conversation est ouverte et on peut lire le SMS suivant : "G-877493 : votre code de validation Google".
Il arrive souvent que le code de validation ne soit valable que quelques minutes. Si vous n'introduisez pas ce code avant que le délai expire, vous devez en demander un autre. De nombreux systèmes d'authentification à deux facteurs ajoutent une date d'expiration à la preuve pour empêcher les pirates de l'utiliser indéfiniment.
J'introduis le code sur la page de connexion de Google, ouverte sur mon ordinateur :
Capture d'écran de la validation en deux étapes de Google. On peut lire en haut de l'écran : "Afin de protéger votre compte, Google veut s'assurer que c'est bien vous qui essayez de vous connecter". Vient ensuite l'adresse e-mail, suivie du texte "Validation en deux étapes : Un SMS contenant un code de validation à six chiffres a été envoyé au ···· ·· ·· 01", au-dessus d'un champ où le code a été entré mais est masqué. Un bouton "Suivant" est situé dans le coin inférieur droit de l'écran.
Et voilà, je suis connecté à mon compte Gmail !
Cette étape supplémentaire, qui implique l'utilisation de mon téléphone pour générer un code, a doublé le temps nécessaire et la complexité de la procédure de connexion sur Google, mais elle a également beaucoup compliqué la tâche d'un pirate qui souhaiterait s'infiltrer dans mon compte Gmail.
En mai 2019, de nombreux utilisateurs de Github (un site web qui permet d'héberger des logiciels et de gérer leur développement), ont découvert que leur code source avait été effacé et remplacé par une demande de rançon. Ces utilisateurs n'utilisaient pas l'authentification à deux facteurs et avaient accidentellement divulgué leur mot de passe, permettant ainsi à des pirates de prendre le contrôle de leur compte. Voilà pourquoi Github, comme tant d'autres, recommande fortement l'authentification à deux facteurs1.
Puisque chaque nouveau facteur d'authentification ajouté apporte une couche de sécurité supplémentaire face aux attaques, pourquoi ne pas utiliser une authentification à trois ou quatre facteurs ? En réalité, il ne serait pas pratique pour les utilisateurs de devoir fournir trois formes (ou plus) de preuves pour s'authentifier, surtout lorsque les systèmes demandent de s'authentifier à nouveau après un certain temps. Voici un exemple d'un compromis couramment présent dans la cybersécurité : maniabilité vs sécurité. Si la sécurité d'un système augmente, sa maniabilité pourrait diminuer.

Recommandations

Pour protéger nos comptes, il est conseillé d'utiliser l'authentification multifacteur en plus d'un mot de passe fort. Selon une étude menée par Google, l'authentification multifacteur permet d'empêcher davantage d'attaques que l'authentification avec un facteur unique. Ainsi, elle permet d'empêcher 100 % des attaques de bots et de réduire grandement les autres attaques2.
Nous ne pouvons pas utiliser l'authentification multifacteur si le site est incapable de la supporter. Toutefois, de plus en plus de sites mettent leur système à jour pour que ce soit le cas, et nous pouvons parfois vérifier l'évolution de ces mises à jour. Si vous utilisez un gestionnaire de mots de passe, il peut même vous informer lorsque l'un de vos comptes est en mesure d'être protégé par cette authentification à deux facteurs.
Nous devons également veiller à ce que les preuves relevant d'un facteur ne contiennent pas de preuves relevant d'un autre facteur. Si vous notez par exemple des mots de passe dans le bloc-notes de votre téléphone et que quelqu'un parvient à le voler et à le déverrouiller, il aura accès aux preuves relatives au facteur de possession et au facteur de connaissance. 😬
🤔 Lorsqu'un système utilise plusieurs facteurs d'authentification, il enregistre plus d'informations à votre sujet. Cela risque-t-il de porter atteinte à votre vie privée ?
🙋🏽🙋🏻‍♀️🙋🏿‍♂️Vous avez des questions sur ce sujet ? Nous vous répondrons volontiers ! Posez simplement votre question dans l'espace ci-dessous !

Vous souhaitez rejoindre la discussion ?

Connectez-vous
Pas encore de posts.
Vous comprenez l'anglais ? Cliquez ici pour participer à d'autres discussions sur Khan Academy en anglais.