Activer l’authentification forte peut vite devenir un calvaire, en raison des multiples seconds facteurs qu’il faut gérer. Voici quelques conseils pour éviter de se perdre dans ce maquis cryptographique.
On le sait, le mot de passe tout seul n’est plus suffisant pour protéger un compte en ligne. Face à l’inventivité et le professionnalisme des pirates, il est très recommandé d’utiliser un second facteur d’authentification, surtout pour les comptes les plus importants comme la messagerie, les réseaux sociaux ou les services cloud.
Le problème, c’est que la gestion de ces seconds facteurs n’est pas si évidente que cela. Il y a plusieurs variétés de seconds facteurs, et tous les services en ligne ne proposent pas les mêmes. Par ailleurs, il ne faut pas oublier de se doter d’un second facteur « backup » pour chaque service où l’authentification forte est activée, histoire de ne pas se retrouver dans la panade le jour où l’un des facteurs n’est plus disponible. Bref, on peut très facilement se noyer dans toutes ces procédures. C’est pourquoi il faut avancer avec méthode.
Choisir son second facteur
Il existe plusieurs types de seconds facteurs. Le meilleur choix possible est la clé de sécurité. Elle a l’avantage d’être indépendante de vos terminaux et elle est très difficile à pirater. C’est le choix idéal pour les personnes à risque — journalistes, militants, politiques, hauts dirigeants, etc. — et le paranos. Mais ce n’est pas donné et ça fait un objet en plus à gérer.
Une bonne alternative est d’avoir un générateur de codes à usage unique (TOTP, Time based one time password) sur le smartphone ou l’ordinateur. Par exemple Google Authenticator, Microsoft Authenticator ou Authy. Il y en a beaucoup d’autres. Le principe est toujours le même : il suffit de scanner un code QR (ou entrer manuellement une suite de caractères) et l’appli va générer toutes les 30 secondes un code secret différent qu’il faudra donner pour se connecter.
Certains services proposent également des seconds facteurs faits maison. C’est le cas de l’appli mobile Yahoo pour se connecter à la messagerie éponyme, mais aussi de la plupart des applis bancaires. Chez Google, chaque smartphone sur lequel une appli de l’éditeur est installée et connectée peut également servir de second facteur.
Enfin, n’oublions pas les messageries électroniques et les SMS. Ces derniers sont désormais considérés comme désuets et peu recommandables, en raison des usurpations de la ligne téléphonique (« SIM swap »). Mais ils sont encore très utilisés.
Créer un backup
Le problème du second facteur, vous l’aurez compris, c’est sa perte ou son indisponibilité. Si vous perdez votre smartphone, vous perdez aussi le générateur de codes à usage unique ou l’application faite maison. C’est pourquoi il est conseillé de créer, si possible, un autre second facteur que l’on pourra utiliser si le premier ne fonctionne plus. Et la bonne nouvelle, c’est que beaucoup de services permettent justement d’activer plusieurs seconds facteurs. Google, de ce point de vue, est très ouvert. Il permet d’ajouter plusieurs clés de sécurité, plusieurs smartphones, ainsi qu’un générateur de codes à usage unique.
Malheureusement, tous les services ne proposent pas un tel choix. Certains ne supportent pas les clés de sécurité, ni même les générateurs de codes. Il faudra faire avec ce que l’on a. La condition principale à respecter, c’est que le backup soit accessible depuis un support physique différent que le second facteur usuel. Sinon, cela n’a aucun intérêt.
Il peut être judicieux, par exemple, d’installer un générateur TOTP sur le smartphone et un autre sur le PC portable pour le même service. C’est tout à fait possible, car on peut utiliser le même code QR pour activer les deux. Vous pouvez aussi sauvegarder ou imprimer ce code QR et le stocker dans un endroit sécurisé. Le jour où votre générateur n’est plus disponible, il vous permettra de rétablir le second facteur perdu.
Enfin, certains services proposent également des codes de secours. Ils peuvent jouer le rôle de backup à condition de bien les stocker dans un endroit sécurisé et accessible.
Vérifier la pertinence de vos backups
Au bout du dixième second facteur activé, vous allez vous noyer et vous ne saurez plus quel type d’authentification forte vous disposez pour quel service. C’est pourquoi il est recommandé de le noter quelque part, par exemple sous la forme d’un tableau qui, pour chaque service en ligne, indiquera les seconds facteurs activés. Cette méthode permet non seulement de détecter les incohérences (deux seconds facteurs sur le même support physique), mais aussi d’éviter les trous dans la raquette.
Puis, pour chaque service, imaginez que vous perdez un ou plusieurs de vos appareils informatiques, et demandez-vous si arriveriez toujours à vous connecter. Le cas échéant, il faudra peut-être… créer un autre second facteur.