Tout ce qu’il faut savoir sur les clés d’identification : l’impact des clés d’identification sur la double authentification (2FA) et l’authentification multifacteur (MFA)
Nous sommes de retour avec un nouvel article dans notre série sur les clés d'identification ! Avant de poursuivre, lisez nos deux derniers articles pour savoir ce que sont les clés d'identification et comment les gérer.
Les clés d'identification étant de plus en plus populaires et de plus en plus utilisées, nous recevons des questions plus pointues sur la façon dont elles fonctionnent avec les technologies d'authentification précédentes. Dans cet article, nous répondons à ces questions et expliquons comment les clés d'identification influencent l'authentification multifacteur (MFA) tout en interagissant avec elle.
Les clés d'identification sont-elles plus sûres que la MFA ?
Fondamentalement, oui.
Comme nous l'avons établi précédemment, les mots de passe sont imparfaits par nature. Ils peuvent être volés lorsqu'ils sont notés sur des bouts de papier ou stockés sur des supports numériques non sécurisés, devinés au moyen d'attaques par force brute, et ne sont tout simplement pas très sécurisés.
Le besoin d'une couche supplémentaire de sécurité des mots de passe a conduit à l'avènement de la MFA. Il est plus sûr de se connecter à un compte en ligne avec la MFA qu'en utilisant uniquement un nom d'utilisateur et un mot de passe. Elle exige qu'une personne fournisse au moins deux preuves d'identité, appelées facteurs d'authentification.
Les plus courants sont basés sur une combinaison de ce que l'utilisateur sait (facteurs de connaissance), de ce qu'il est (facteurs biométriques) et de ce qu'il possède physiquement. Voici quelques exemples :
- Facteurs de connaissance : les identifiants, tels qu'un nom de compte et un mot de passe alphanumérique, un code PIN ou une réponse à une question de sécurité
- Facteurs biométriques : la voix d'une personne, son mode d'élocution, la reconnaissance de son visage ou de ses empreintes digitales
- Possession physique : un porte-clés, une carte d'identité ou un dispositif physique qui génère un code à usage unique
La double authentification (2FA) est une forme de MFA qui requiert, comme son nom l'indique, deux facteurs d'authentification. Un exemple courant de 2FA est la vérification en deux étapes que de nombreuses banques exigent pour se connecter à ses comptes bancaires en ligne : vous saisissez votre nom d'utilisateur et votre mot de passe (facteur 1), puis vous recevez un SMS sur votre appareil mobile contenant un code que vous devez saisir pour confirmation (facteur 2).
Où les clés d'identification entrent-elles donc en jeu ?
Malheureusement, la 2FA n'est pas parfaite, et il arrive qu'un cybercriminel puisse encore intercepter le deuxième facteur. Étant donné que presque tout nécessite une vérification de nos jours, il n'est pas rare que les gens souffrent de ce que l'on appelle la « push fatigue » ou désensibilisation aux alertes. Pour faire simple, les gens en ont assez des messages qui s'affichent sur leur téléphone et ont tendance à les ignorer tout simplement. Mais cela peut se révéler problématique : si votre mot de passe fait l'objet d'une attaque de phishing et que vous appuyez par inadvertance sur « confirmer » dans une fenêtre contextuelle de 2FA, votre compte sera compromis.
Les clés d'identification en revanche, ne peuvent pratiquement pas être victimes de phishing. De par leur conception, les clés d'identification sont résistantes au phishing, car elles ne fonctionnent que sur le site Web spécifique pour lequel elles ont été créées. Même si un utilisateur visite un site de phishing, sa clé d'identification ne lui sera pas demandée. Rien ne peut être intercepté, comme c'est le cas avec un mot de passe ou un code de MFA.
La suppression de la MFA rend-elle les mots de passe plus vulnérables ?
Absolument ! Ne vous méprenez pas, il est toujours très utile de configurer la 2FA sur vos comptes. Bien que tous les services ne proposent pas la MFA, beaucoup le font, et des services comme Dashlane et Google Authenticator permettent de générer facilement des codes sécurisés et à durée limitée en tant que deuxième facteur d'authentification. Les codes par SMS représentent une autre option, mais elle n'est pas très sécurisée. Les SMS ne sont pas chiffrés et l'interception des codes d'authentification envoyés par ce biais s'est multipliée ces derniers temps.
Les seuils de confiance varient d'un site Web à l'autre. Les sites qui stockent vos données confidentielles peuvent exiger le recours à la MFA à chaque connexion, tandis que d'autres sites peuvent autoriser les connexions par mot de passe uniquement pendant une période déterminée après la vérification initiale par MFA. Les développeurs de sites Web et d'applications sont conscients que la sécurité rime presque toujours avec une expérience de connexion frustrante. C'est d'ailleurs la raison pour laquelle les services trouvent toujours des moyens d'améliorer la fluidité du flux d'authentification tout en s'assurant que les utilisateurs sont bien ceux qu'ils prétendent être.
Bien que la MFA ne soit pas infaillible, en particulier lorsqu'elle utilise des codes transmis par SMS, elle constitue une couche de protection supplémentaire contre le vol de vos identifiants. Par conséquent, si vous n'utilisez pas de clé d'identification, veillez à activer la MFA sur vos comptes dans la mesure du possible.
Pour obtenir un index communautaire des sites Web, des applications et des services qui proposent la connexion à l'aide de clés d'identification, consultez notre annuaire complet des clés d'identification.
En quoi les clés d'identification vont-elles affecter l'utilisation de la 2FA et de la MFA ?
Réponse courte : cela dépend.
Comme mentionné ci-dessus, les niveaux de sécurité requis pour l'authentification par clé d'identification varient selon les sites Web et les services. Par exemple, se connecter à une application financière comme PayPal nécessite une vérification de sécurité plus poussée que votre application d'identification de plantes. Les sites financiers ont un seuil élevé pour s'assurer que vous êtes vraiment qui vous prétendez être. En effet, si la mauvaise personne accède à votre compte, cela pourrait entraîner des fraudes et des conséquences sur le plan juridique. C'est pourquoi des sites comme PayPal peuvent encore exiger un deuxième facteur d'authentification, en plus de votre clé d'identification : c'est un gage de sécurité supplémentaire. D'un autre côté, votre application d'identification de plantes estime que votre clé d'identification est une preuve suffisante que c'est bien vous qui vous connectez pour vérifier si telle ou telle feuille est une mauvaise herbe ou une fleur.
Les clés d'identification sonnent-elles le glas la MFA ?
Probablement pas tout de suite, mais c'est à envisager.
Lorsqu'une technologie évolue, ses versions antérieures deviennent dépassées et obsolètes. Mais, les clés d'identification ne remplaceront pas complètement les mots de passe de sitôt, et il en va de même pour la MFA.
La technologie des clés d'identification est encore récente et en pleine évolution. À terme, les clés d'identification deviendront probablement la norme en matière d'authentification fiable. L'adoption de cette technologie est encore en phase de croissance et la mise en place des capacités de connexion par clé d'identification par les sites Web est encore en cours. De plus, les clés d'identification ne sont pas totalement infaillibles : bien que cette technologie soit incroyablement sécurisée, certains de ses aspects ont encore besoin d'être renforcés.
Pour rappel, les clés d'identification utilisent votre téléphone ou un autre appareil compatible pour prouver que vous êtes bien la personne que vous prétendez être avant de vous permettre d'accéder à votre compte. À l'heure actuelle, si un utilisateur configure une clé d'identification sur un appareil donné et la réutilise ensuite sur ce même appareil, le site Web ou l'application reconnaîtra cet appareil et saura qu'il peut faire confiance à l'utilisateur et à sa clé d'identification. En revanche, si un utilisateur se connecte avec la même clé d'identification sur un autre appareil, certains sites Web risquent de ne pas croire que l'utilisateur est bien celui qu'il prétend être avec sa clé d'identification. À terme, il suffira de disposer de sa clé d'identification pour confirmer son authentification sans avoir recours à la MFA. Pour l'instant, cette nouvelle technologie n'a pas encore totalement gagné les cœurs des utilisateurs, raison pour laquelle la MFA reste une norme de sécurité courante.
À l'instar des mots de passe, la MFA n'est pas près de disparaître de sitôt. Mais, il est important de prendre en compte l'impact des nouvelles technologies d'authentification sur les anciennes. À terme, nous vivrons peut-être dans un monde où nous pourrons nous connecter partout d'un simple clic ou d'un simple toucher. Mais, pour l'instant, continuez à utiliser la MFA partout où vous le pouvez. Quelques secondes supplémentaires peuvent paraître agaçantes, mais la sécurité de votre compte en vaut la peine.
Découvrez comment renforcer votre sécurité numérique grâce aux clés d'identification.
Inscrivez-vous pour connaître toute l'actualité de Dashlane
