Chaque jour qui passe, un nouveau service ajoute l’authentification à deux facteurs à sa liste de paramètres. Cette fois-ci il s’agit d’Evernote, la plateforme de notes en ligne que des pirates ont réussi à compromettre et à utiliser comme un serveur de commande et contrôle à deux reprises au mois de mars.
L‘authentification à deux facteurs est si populaire que le temps que j’écrive cet article qui devait seulement parler d’Evernote, LinkedIn a décidé de s’y mettre aussi et a lancé son propre système d’authentification à deux facteurs.
Malheureusement, l’authentification à deux facteurs est un peu dépassée maintenant. Gmail l’a mise en place en Septembre 2010. À Threatpost, nous écrivions déjà des articles sur l’authentification à deux facteurs, il y a presque quatre ans, quand les experts en sécurité commençaient à parler du concept d’authentification en plusieurs étapes. Vous devriez toujours utiliser ce système pour protéger vos comptes sensibles, mais sachez qu’il s’agit plutôt d’un obstacle supplémentaire pour les pirates que d’une réelle solution contre le piratage de nos comptes.
Il semble cependant que la décision très tardive d’Apple et Twitter de mettre en place leur propre système d’authentification à deux facteurs est ce qui aurait déclenché cette seconde vague d’enthousiasme pour le système. C’est une très bonne chose – il est en fait plutôt difficile pour un service de justifier l’absence d’une authentification à deux facteurs.
Le système d’Evernote se détache des autres car ils lancent cette option en vagues : elle est premièrement offerte aux utilisateurs dotés de comptes premium, et sera ensuite disponible à tout le monde. Outre cela, les systèmes d’authentification à deux facteurs de LinkedIn et Evernote sont presque identiques à ceux mis en place par votre banque ou Google il y a presque 3 trois ans : une fois activés, les utilisateurs doivent rentrer un second code de vérification (en plus de leurs identifiants) lorsqu’ils se connectent. Pour la plupart, ces systèmes reposent sur l’envoi de codes par SMS ou sur des applications génératrices de codes mobiles telles que Google Authenticator ou le générateur de code intégré dans l’application Facebook.
Malheureusement, les pirates savent comment contournés les systèmes de codes par SMS depuis déjà un certain temps, notamment grâce aux attaques de l’homme du milieu ciblant les appareils mobiles.
De nos jours, l’authentification à deux facteurs est la meilleure solution que vous puissiez choisir pour de nombreux services en ligne populaires. Autre tendance que l’on observe en ce moment, celle de changer ses mots de passe, et cela inclut tout le monde, de Google au département américain de la défense. Et pourquoi pas un jour, des tatouages d’authentification ou des pilules à avaler pour nous connecter à nos messageries électroniques ?
En attendant, vous devriez mettre en place l’authentification à deux facteurs pour tous les comptes en ligne que vous souhaitez protéger. Entre ce système et l’utilisation de mots de passe forts, vous pouvez être sûr que vous n’êtes pas la cible la plus vulnérable, et c’est un point important car les cybercriminels préfèrent souvent s’attaquer aux plus faibles.