Les codes d'authentification à usage unique

Les codes d'authentification à usage unique avec les avantages et les inconvénients

Édito :  nous parlons souvent dans nos articles de faire de la double authentification sur vos comptes afin de les protéger. Les codes d'authentification à usage unique en font partis. Nous vous expliquons le fonctionnement de l'authentification à double facteurs avec un code à usage unique, les avantages et les risques de cette techniques. Vous pouvez venir sur notre groupe pour en débattre : entraide informatique Sud-Gironde.

Si vous suivez nos formations en cybersécurité, dans un de nos modules nous abordons ce sujet.

Le fonctionnement des applications d'authentification

Ces applications fonctionnent généralement de la façon suivante : le service sur lequel vous souhaitez vous authentifier et l’application d’authentification partage un nombre ; une clé secrète qui se trouve dans un QR code que vous utilisez pour activer l’authentification pour ce service dans l’application. L’application d’authentification et le service utilisent en même temps le même algorithme pour générer un mot de passe à partir de la clé et de l’heure actuelle.

Lorsque vous saisissez le code généré par l’application, le service le compare avec celui qu’il a lui aussi généré. Si les codes sont les mêmes, tout est en ordre et vous pouvez accéder au compte. L’accès n’est pas autorisé s’ils ne sont pas identiques. De plus, lorsque vous connectez l’application d’authentification via un QR code, beaucoup d’informations sont partagées en plus de la clé secrète. Le temps restant avant que le code à usage unique n’expire, qui est généralement de 30 secondes, est un de ces renseignements.

L’information la plus importante, autrement dit la clé secrète, n’est envoyée qu’une seule fois : lorsque le service s’associe à l’application d’authentification, puis les deux parties la conservent. Autrement dit, lors de chaque nouvelle connexion au compte, le service ne transmet aucune information à votre application d’authentification, donc il n’y a rien à intercepter. En réalité, les application d’authentification n’ont pas besoin d’avoir accès à Internet pour réaliser leur fonction principale. En théorie, un cybercriminel ne peut obtenir que le mot de passe à usage unique actuel que le système génère pour que vous vous connectiez. Et ce code n’est valable que pendant une demi-minute.

La 2FA avec un code à usage unique est-elle vraiment sûre ?

Résumons les principaux avantages des codes d’authentification à usage unique via une application :

• -> Protection efficace contre les fuites : la saisie du mot de passe ne permet pas de se connecter au compte. Vous avez besoin du code à usage unique.

• -> Protection correcte contre l’interception du code à usage unique. Étant donné que le code n’est valable que 30 secondes, les cybercriminels n’ont pas beaucoup de temps pour l’utiliser.

• -> Impossible de récupérer la clé secrète à partir du code à usage unique. Même si le code est intercepté, les escrocs ne pourront pas cloner l’authentification.

• -> Aucune connexion Internet n’est nécessaire pour générer les codes à usage unique. Le dispositif peut être complètement isolé d’Internet.

• 
  

Comme vous pouvez le constater, le service a été très bien pensé. Les développeurs ont fait tout leur possible pour le rendre aussi sûr que possible. Mais aucune solution n’est parfaitement sécurisée. Même si vous vous authentifiez à l’aide d’un code généré par l’application, il y a certains risques et vous devez prendre quelques précautions. C’est ce dont nous allons parler maintenant.

Les fuites, les adresses e-mail piratées...

Nous avons dit un peu plus haut que l’authentification via un code à usage unique généré par une application est une protection efficace contre la divulgation des mots de passe. Malheureusement, les choses ne sont pas aussi simples. Il y a une nuance fondamentale qui s’explique par le fait que les services ne veulent généralement pas perdre leurs utilisateurs à cause d’un petit détail embêtant : la perte de l’authentification. Ça peut arriver à tout le monde. D’ailleurs, ces services offrent généralement une autre méthode de connexion au compte : envoi d’un code à usage unique ou d’un lien à l’adresse e-mail associée pour confirmer la connexion.

Cela signifie qu’en cas de fuite, si les cybercriminels connaissent le mot de passe et l’adresse e-mail associés, ils peuvent essayer d’utiliser cette autre méthode pour se connecter au compte. Si votre adresse e-mail n’est pas bien protégée, surtout si vous utilisez le même mot de passe pour plusieurs comptes et n’avez pas activé l’authentification à deux facteurs, il est fort probable que les cybercriminels puissent contourner la saisie du code à usage unique généré par l’application.

Ce que vous devriez faire :

• -> Suivez de près les bases de données divulguées et modifiez rapidement les mots de passe des services concernés.

• -> N’utilisez pas le même mot de passe pour plusieurs services. Ce point est particulièrement important pour les adresses e-mail associées à d’autres comptes.

• -> Désactivez les autres méthodes de connexion si le service le permet. Cette action peut s’avérer importante pour les comptes qui contiennent des informations précieuses, mais n’oubliez pas de faire une sauvegarde de l’application d’authentification.

Les sites d'hameçonnage

La plupart des sites d’hameçonnage conçus pour les attaques de masse sont assez primitifs. Leurs créateurs sont généralement satisfaits s’ils volent les identifiants et les mots de passe, puis les revendent en gros à un prix très bon marché sur le Dark Web. Évidemment, l’authentification à deux facteurs est la protection parfaite contre cette technique de cybercriminalité : même si quelqu’un obtient vos identifiants de connexion, ils s’avèrent inutiles sans le code à usage unique généré par l’application.

Pourtant, sur les sites d’hameçonnage plus plausibles et plus minutieusement conçus, surtout ceux pensés pour des attaques ciblés, les escrocs peuvent aussi imiter le mécanisme de vérification de l’authentification à deux facteurs. Dans ce cas, ils interceptent l’identifiant, le mot de passe et le code à usage unique. Ensuite, les cybercriminels se connectent rapidement au compte de la victime alors que le site d’hameçonnage affiche un message d’erreur et invite l’utilisateur à réessayer.

Malheureusement, malgré cette simplicité apparente, l’hameçonnage reste une technique extrêmement efficace pour les hackers, et il peut s’avérer difficile de vous protéger contre ces versions d’arnaques sophistiquées. Nous pouvons tout de même vous donner quelques conseils généraux :

• -> Ne cliquez pas sur les liens reçus par e-mail, surtout ceux envoyés par des adresses inconnues ou douteuses.

• -> Vérifiez minutieusement l’adresse des pages sur lesquelles vous saisissez les informations relatives à votre compte.

• -> Installez une solution fiable équipée d'une protection automatique contre l'hameçonnage.

Comment vous protéger

Résumons. L’authentification à deux facteurs réduit sérieusement le risque de piratage de vos comptes mais ne garantit pas une protection complète. Il convient donc de prendre quelques précautions supplémentaires :

• 1- Assurez-vous de choisir un mot de passe pour vous connecter au dispositif sur lequel l’application d’authentification est installée.

• 2- Utilisez une application d’authentification qui permet de cacher les codes à usage unique des regards indiscrets et d’établir un mot de passe lorsque vous vous connectez à l’application.

• 3- N’oubliez pas de faire une sauvegarde de l’application d’authentification.

• 4- Ne choisissez pas des mots de passe simples et n’utilisez pas les mêmes mots de passe pour plusieurs comptes différents. Un gestionnaire de mots de passe peut vous aider à générer et conserver des séquences de caractères uniques et sûres.

• 5- Méfiez-vous des fuites et modifiez rapidement les mots de passe des services concernés, surtout si l’adresse e-mail est associée à d’autres comptes. D’ailleurs, Kaspersky Password Managersurveille les fuites de mots de passe et vous avertit.

• 6- Installez une solution de sécurité fiable sur tous vos dispositifs afin de vous protéger contre l’hameçonnage et les programmes malveillants qui volent des informations.

• 7- Faites attention aux tentatives de connexion à vos comptes et agissez rapidement en cas d’activité suspecte.