Back to Navigation

L'authentification à deux facteurs

Transcription d'un balado sur l'authentification à deux facteurs et comment cela fonctionne.

Animateurs :   PB : Phil Brown, DW : David Whelan

PB : Bonjour, ici Phil Brown en compagnie de David Whelan. Aujourd'hui, nous allons parler de l'authentification à deux facteurs et d'OpenID. 

DW : Vous connaissez déjà l'authentification à deux facteurs si vous utilisez une carte bancaire et les GAB. Dans le cadre de l'authentification à deux facteurs, vous devez présenter deux choses pour prouver que vous êtes le ou la propriétaire d'un compte. Dans le cas d'une banque, il s'agit habituellement d'une carte et d'un NIP. Vous insérez la carte dans l'appareil, puis vous saisissez votre NIP sur le pavé numérique et l'authentification à deux facteurs confirme que vous êtes le ou la propriétaire du compte et vous pouvez ensuite continuer. Si vous n'avez pas l'un de ces éléments, vous ne pouvez pas aller de l'avant. On utilise de plus en plus l'authentification à deux facteurs sur le Web et cela permet, dans la plupart des cas, de mieux protéger vos comptes si vous pouvez l’activer pour vos services en ligne.

PB : Effectivement. La raison est que les mots de passe ne sont pas suffisants pour vous protéger.

DW : C’est ça.

PB : Une fois que vous avez saisi votre mot de passe à distance pour accéder à votre système de courrier électronique ou votre Dropbox (si vous utilisez cela), le système vous indique : « D'accord, merci. Nous allons vous envoyer un numéro ou vous donner accès à un autre numéro. Vous devrez inscrire ce numéro afin que nous puissions vous permettre d'accéder à ce compte. »

DW : Cela vous permet de contourner la question de savoir si vos mots de passe sont forts ou non. Beaucoup de gens n'utilisent toujours pas des mots de passe forts – ils utilisent des mots de passe faibles. Même si vous utilisez des mots de passe forts et des gestionnaires de mots de passe et divers autres outils, l'authentification à deux facteurs vous donne un peu plus de protection dans l'éventualité où ce mot de passe serait divulgué ou découvert en raison d'une attaque exhaustive ou d'un autre type d'attaque ou, encore pire, en raison d’une attaque menée par une personne en particulier, comme c'est arrivé à certaines personnes – des journalistes importants. Pas par le journaliste ou la personne à qui appartenait le compte, mais par les personnes qui travaillaient au service à la clientèle pour le service Web en particulier. Une personne téléphone et dit qu'elle a perdu son compte et réussit à répondre à un nombre suffisant de questions en se fondant sur l'information trouvée sur le Web, ce qui lui permet de contourner l'obstacle du mot de passe. L’authentification à deux facteurs enverrait ensuite une demande ou un avis disant : « Nous avons besoin de ce renseignement supplémentaire », et cette personne ne l'aurait pas.

PB : Effectivement. Et un mot de passe fort est un mot de passe qui contient des minuscules et des majuscules, des chiffres, des symboles, des espaces, etc.

DW : C’est ça. Pas de noms de membres de la famille, pas de chansons d'enfant.

PB : Pas de dates de naissances et autres renseignements similaires. Même un mot de passe fort peut être vulnérable à une attaque dite exhaustive dans les cas où une personne réussit essentiellement à accéder à votre appareil ou à votre système et utilise un ordinateur pour passer à travers toutes les permutations et combinaisons possibles pour les mots de passe.  

DW : C’est ça. L’authentification à deux facteurs est encore optionnelle à plusieurs endroits. Je ne connais aucun site ordinaire qui l'exige à l'heure actuelle, mais certains autres l'utilisent. Par exemple, vous pouvez activer cette fonctionnalité pour Google et Facebook et d'autres sites similaires. Vous pouvez obtenir une liste des sites qui offrent l'authentification à deux facteurs sur le site twostepauth.org. C'est T W O S T E P A U T H.org et vous y trouverez une liste des sites qui l'utilisent et des renseignements sur la façon dont ils l'ont intégrée. 

PB : C’est ça. Par exemple, certains outils utiles pour les avocats et parajuristes, comme Evernote, LinkedIn, Dropbox, Facebook, etc. utilisent tous l'authentification à deux facteurs. 

DW : Donc, comment peut-on obtenir l'authentification à deux étapes ou à deux facteurs sur le Web? En fait, ce n'est pas très difficile, mais il faut habituellement disposer d’un téléphone cellulaire. Lorsque vous ouvrez une session sur un site Web, le site envoie un message texte sur votre téléphone cellulaire et indique la deuxième information que vous devez fournir. Si vous êtes un grippe-sou comme moi et que n'avez pas encore un bon forfait pour votre cellulaire ou si vous habitez à un endroit où la couverture cellulaire est sporadique – et parfois vous êtes tout simplement à un endroit où il n’y a pas une bonne couverture cellulaire – vous pouvez obtenir un tel code en téléchargeant une application sur le Web que vous pourrez utiliser lorsque vous serez hors ligne. L'application générera le code dont vous aurez besoin et vous pourrez l'inscrire, que vous ayez ou non une connexion cellulaire ou votre téléphone cellulaire avec vous.

PB : Donc, si vous perdez votre téléphone cellulaire, vous n'êtes pas complètement dépourvu.

DW : Exactement.

PB : Vous pourrez tout de même accéder à tous vos comptes en allant sur le Web ou en utilisant un de ces outils hors ligne. 

DW : Effectivement. L'application gratuite d'authentification de Google fonctionne sur la plupart des plates-formes, mais il en existe d'autres. Je crois que tu utilises Authy, c'est ça?

PB : Authy, oui, et, comme le dit David, il y a des applications pour toutes les plates-formes. Vous pouvez les utiliser (habituellement les mêmes applications) sur BlackBerry, Android et Apple. Elles sont vraiment versatiles et très faciles à utiliser.

DW : Je crois que l'utilisation de ces méthodes d'authentification est la prochaine évolution. Nous avons commencé par utiliser des mots de passe pour protéger nos comptes, puis nous sommes passés aux mots de passe forts et maintenant ces derniers ne résistent plus comme avant. Je crois que l'authentification à deux facteurs est la prochaine étape : si vous téléchargez des fichiers clients dans le nuage ou si vous envoyez de tels fichiers par courriel, ou si vous les stockez dans votre courriel en ligne, l'utilisation de l'authentification à deux facteurs est une précaution supplémentaire sensée qui ne coûte rien à part quelques minutes de plus pour accéder à vos comptes.

PB : De plus, cette méthode d’authentification peut prendre la forme d'une liste de codes sur papier également. Je sais que Gmail offre cette option – une fois que vous activez l'authentification à deux facteurs, il génère une liste de dix codes que vous pouvez mettre dans votre portefeuille et utiliser à tout moment. Si vous n'avez pas accès à votre application ou à votre téléphone au moment requis, vous pouvez toujours recourir à votre liste papier et utiliser l’un des dix codes une fois et ouvrir une session au moyen de l'authentification à deux facteurs.

DW : Au fond, c'est similaire au processus d’authentification à la banque. Vous avez une liste sur papier et le mot de passe dans votre tête, et vous les utilisez ensemble pour accéder à votre compte.

PB : Effectivement.

DW : L’ouverture d’une session au moyen d’un compte déjà créé sur un réseau social est une autre façon de gérer vos comptes en ligne. L’authentification à deux facteurs vous permet d'accéder à vos comptes, mais vous ne voudrez pas nécessairement créer un nom d'utilisateur et un mot de passe pour chaque site Web que vous utilisez. En partie, cela signifie que vous devez gérer un plus grand nombre de mots de passe, mais également que certains sites ne protègent peut-être pas aussi rigoureusement votre information – votre nom d'utilisateur et mot de passe. L'une des façons de contourner cela est d'utiliser les sites Web qui permettent d'ouvrir une session au moyen d'un compte déjà créé sur un réseau social; c’est ce qu'on appelle souvent OpenID. Au lieu de créer un nom d'utilisateur et mot de passe pour ce site, vous utilisez un service sécuritaire qui utilise possiblement l'authentification à deux facteurs.

PB : OpenID existe depuis un certain temps, mais les gens ignorent habituellement cette option lorsqu’elle leur est offerte. Parfois, lorsque vous tentez d'ouvrir une session sur un site Web, vous verrez un message sur le côté qui indique : « Désirez-vous ouvrir une session en utilisant votre mot de passe Google ou Yahoo!? » C'est un exemple d'OpenID.

DW : Cela signifie que, si vous avez confiance que cette personne ou cette entreprise où vous détenez ce compte sur un réseau social ou ce compte OpenID saura protéger votre nom d'utilisateur et votre mot de passe, vous pourrez réutiliser ces derniers sur plusieurs sites Web, ce qui vous facilitera la vie. Bien entendu, si vous le voulez, lorsque vous donnez accès ou lorsque vous ouvrez une session avec ce nom d'utilisateur et ce mot de passe, ces ouvertures de session seront enregistrées dans votre compte original. Donc, si j'ouvre une session sur d’autres sites Web au moyen de mon compte Google.com, lorsque je retournerai dans mon compte Google.com, il indiquera quels sont les sites que j'ai autorisés ou sur quels sites j'ai ouvert une session, et je pourrai mettre fin à cet accès ou à cette connexion à tout moment.

PB : D’accord. Et OpenID est un logiciel ouvert. Il y a des problèmes avec ça, non?

DW : Pas vraiment, si vous faites confiance au fournisseur qui fournit la base de données OpenID. Le fait que le logiciel soit ouvert ne signifie pas qu'il n'est pas sécuritaire. Cependant, si je mets sur pied ma propre entreprise Les mots de passe de Dave et que j'exploite mon propre serveur OpenID, un avocat ne serait probablement pas à l'aise d'utiliser une entreprise aussi douteuse. Alors, je pense que, si vous utilisez OpenID, vous devez utiliser un fournisseur comme Google ou une grande entreprise ou vous assurer de vraiment comprendre qui est derrière la sécurité pour ce compte OpenID.

PB : Effectivement, parce que tout le monde fait confiance à Google.

DW : Absolument.

PB : Je veux souligner ceci : OpenID est énorme. Plus de 50 000 sites utiliseraient OpenID. C'est quelque chose qu'on rencontre tous les jours, mais qui est presque invisible pour la plupart des gens.

DW : Effectivement. Je crois que l'ouverture de session au moyen d'un compte créé sur un réseau social a vraiment changé la façon dont les gens utilisent plusieurs sites Web. En réalité, je le remarque seulement lorsque la fonctionnalité permettant d'ouvrir une session au moyen d'un réseau social me demande de le faire avec mon compte Facebook, par exemple, et que je décide de ne pas utiliser mon compte Facebook pour ouvrir une session sur ce site. Je le remarque donc seulement lorsque mon réseau social ne fait pas partie de la liste. 

PB : Voilà. C'était notre survol de l'authentification à deux facteurs et d'OpenID. Merci beaucoup David.

DW : Merci Phil.

Explication des termes et concepts