Authentification multifactorielle

Ce mécanisme d’authentification peut être simple (un mot de passe par exemple) ou multifacteur (un mot de passe et un code reçu par SMS par exemple).

Pourquoi éviter l’authentification simple ? Le problème de l’authentification simple est que la sécurité repose sur un seul facteur. Par conséquent, si cet unique facteur d’authentification est compromis, un pirate pourra accéder librement à votre compte en ligne et aux données qu’il contient.

Pourquoi utiliser l’authentification multifacteur ? L’authentification multifacteur permet de renforcer la sécurité de l’accès à vos comptes grâce à l’ajout d’un ou de plusieurs facteurs d’authentification. Vous la trouverez parfois désignée par le sigle « 2FA » (pour l’anglais « 2-factor authentication », authentification à deux facteurs), par « validation en deux étapes » ou encore « MFA » (pour l’anglais « multi-factor authentication », l’authentification multifacteur).

À noter : de plus en plus de services, notamment bancaires, proposent ce mécanisme d’authentification en fournissant aux internautes des guides étape par étape pour l’activation et l’utilisation de cette fonctionnalité. L’utilisation de l’authentification multifacteur rend plus difficile le piratage d’un compte. En effet, même si un pirate informatique parvient à se procurer votre identifiant et votre mot de passe, il ne pourra pas accéder à votre compte, faute de disposer du second facteur d’authentification.

Comment cela fonctionne ? L’authentification multifacteur met en œuvre un facteur d’authentification supplémentaire associé à votre compte : à « ce que vous savez » (un mot de passe, par exemple) peut se combiner « ce que vous possédez ». Par exemple, un code reçu par mail ou par SMS, un jeton USB, une carte à puce. Le mécanisme multifacteur s’active généralement dans les paramètres de sécurité de votre compte.

Une fois celui-ci activé, votre identité est vérifiée à deux reprises avant de pouvoir accéder au compte : une première fois, lorsque vous saisissez votre identifiant et votre mot de passe ; une seconde fois, au moyen d’un code d’authentification qui vous est adressé par SMS, par mail, par téléphone ou bien qui est généré via une application de code de validation installée sur votre matériel. Ce code est confidentiel. Il n’est valable, en principe, que quelques minutes.

Précautions à prendre : Lorsqu’il est activé, le deuxième facteur devient indispensable pour accéder au service. Ainsi, en cas d’impossibilité de le récupérer (par exemple, en cas de perte, vol ou dysfonctionnement du téléphone permettant de recevoir le code par SMS), l’accès au compte est temporairement impossible.

Dans quels cas est-elle obligatoire ? Depuis fin 2019 (directive DSP2), les banques et les prestataires de services de paiement doivent mettre en œuvre une authentification multifacteur pour la plupart des paiements à distance, l’accès au compte ainsi que les opérations sensibles (ajout de bénéficiaire de virements, commande de chéquier, changement d’adresse, etc.).

Les limites de l’authentification multifacteur Comme toute mesure de sécurité, l’authentification multifacteur n’est pas infaillible. Ainsi, ce mécanisme reste vulnérable à certaines attaques sophistiquées telles que le hameçonnage en temps réel, l’interception des SMS contenant les codes d’authentification ou les attaques du type « SIM swapping » (ou « remplacement de carte SIM » en français). Cependant, elle réduit significativement le risque de fuite ou de réutilisation de données personnelles par rapport à une authentification simple. La CNIL recommande donc d’activer l’authentification multifacteur chaque fois qu’un service le propose.