Qu’est-ce que l’authentification à deux facteurs ou A2F?
On n’est jamais trop prudent lorsqu’il s’agit de la sécurité en ligne d’une entreprise. Le nombre et le niveau de sophistication des menaces de cybersécurité augmentent rapidement : dans ses rapports, Malwarebytes indique que les attaques contre les entreprises ont augmenté de 13 % en 2019. Par conséquent, de nombreuses entreprises jettent un regard critique sur leurs pratiques actuelles en matière de sécurité des informations. Après tout, les comptes en ligne de votre entreprise contiennent une quantité significative d’informations personnelles, financières et confidentielles, et une violation de ces données entraîne souvent une perte de revenus. Une simple procédure peut permettre à la plupart des entreprises d’améliorer la discipline des employés en matière de cybersécurité à tous les niveaux : l’authentification à deux facteurs.
L’authentification à deux facteurs décortiquée
Qu’est-ce que l’authentification à deux facteurs? L’authentification est le processus de vérification de l’identité d’un utilisateur afin d’établir un accès à un système informatique ou un ou plusieurs comptes en ligne. Il existe trois principaux « facteurs » d’authentification : un facteur de connaissance (quelque chose que vous savez, par exemple un mot de passe ou un NIP), un facteur de possession (quelque chose que vous possédez, par exemple un appareil mobile ou une carte d’identité) et un facteur inhérent (quelque chose qui vous identifie, par exemple une empreinte numérique ou votre voix). Il existe également des « facteurs d’emplacement » et des « facteurs temporels », mais ceux-ci sont beaucoup moins courants. L’authentification à deux facteurs signifie simplement que votre système de sécurité utilise deux de ces facteurs.
En d’autres termes, l’authentification à deux facteurs est un deuxième niveau de sécurité, en plus de votre mot de passe ou en plus de votre numéro NIP. Si, après vous être connecté avec votre mot de passe, on vous a déjà demandé de saisir un code numérique qui vous a été envoyé sur votre appareil mobile pour prouver votre identité, vous savez déjà ce qu’est l’authentification à deux facteurs. Cependant, obtenir un code par texto n’est pas la seule méthode d’authentification à deux facteurs. Il existe un large éventail d’options, notamment une application d’authentification, des notifications poussées, des jetons de logiciel, l’authentification vocale et plus. Dans la plupart des cas, cependant, la couche de sécurité supplémentaire sera probablement un code de message texte (texto).
Qu’est-ce qu’une application d’authentification?
Vous connaissez peut-être les types les plus courants de l’authentification à deux facteurs, comme les textos, les messages vocaux et les notifications poussées, mais vous connaissez peut-être moins les applications d’authentification. En fait, c’est relativement simple. Qu’est-ce qu’une application d’authentification? Essentiellement, il s’agit d’une application mobile qui génère des codes de validation numériques pouvant être utilisés pour confirmer votre identité au moment de votre connexion à un site Web ou une application. Il existe de nombreuses applications d’authentification, notamment Google Authenticator, Duo Mobile et Authenticator, qui suivent toutes à peu près la même procédure.
Les demandes d’authentification sont généralement considérées comme une forme d’authentification à deux facteurs légèrement plus sécurisée que la réception d’un code de message texte (texto). C’est parce que, techniquement parlant, les textos ne sont pas quelque chose que vous avez, mais quelque chose que l’on vous envoie. En tant que tel, il y a peu de risques que des pirates informatiques puissent tromper votre opérateur en transférant votre numéro de téléphone cellulaire sur un autre appareil (un type de fraude appelé « échange de carte SIM »). En supposant qu’ils aient déjà votre mot de passe, cela inciterait un attaquant à accéder à votre compte. En revanche, les codes de vérification pour les applications d’authentification expirent très rapidement (généralement après 20 ou 30 secondes) et le code reste entièrement dans l’application.
Comment fonctionne l’authentification à deux facteurs? Une fois que vous avez configuré l’authentification à deux facteurs sur votre système, que vous utilisiez une application d’authentification, des notifications poussées ou des messages par texto, c’est relativement simple à utiliser. Voici un guide étape par étape du processus A2F :
- L’utilisateur est invité à se connecter sur le site Web ou à l’application.
- Il saisit son nom d’utilisateur et son mot de passe, c’est le premier facteur de sécurité.
- Une fois que le site reconnaît l’utilisateur, ce dernier est invité à lancer la seconde étape du processus de connexion. À cette étape, l’utilisateur doit prouver qu’il a en sa possession une carte d’identité ou un téléphone intelligent, c’est le second facteur de sécurité, dans ce cas le facteur de propriété. Dans la plupart des cas, les utilisateurs reçoivent un code de sécurité à usage unique qu’ils peuvent utiliser pour confirmer leur identité.
- Enfin, l’utilisateur saisit la clé de sécurité, et une fois que le site l’authentifie, l’accès est accordé.
Pourquoi utiliser l’authentification à deux facteurs?
En matière de sécurité en ligne, le facteur d’authentification le plus courant est de loin la combinaison du nom d’utilisateur et du mot de passe. Cela signifie que la plupart des systèmes utilisent uniquement l’authentification à un seul facteur. Bien que les mots de passe soient la norme de référence en matière de sécurité de l’information depuis des décennies, il existe plusieurs raisons pour lesquelles il est peut-être temps d’aller plus loin. Pour commencer, les mots de passe sont relativement faciles à manipuler. Les humains ont tendance à avoir une mauvaise mémoire et, dans de nombreux cas, les mots de passe que nous choisissons sont plutôt faciles à deviner : « mot de passe », « 12345 », « qwerty », etc.
Il est également important de rappeler que nous possédons beaucoup plus de comptes en ligne que ce n’était le cas quand les mots de passe ont fait leur apparition, ce qui veut dire que nous avons tout simplement trop de mots de passe à retenir. Cela peut entraîner un recyclage des mots de passe : lorsque le même mot de passe est utilisé pour plusieurs comptes, les pirates ont plus de facilités à y accéder. Si vous prenez en compte l’augmentation du nombre de cybercrimes et de violations de données, comme le vol de données dont Yahoo a été victime en 2013, qui a entraîné le piratage de trois milliards de comptes, il devient évident que les mots de passe ne constituent plus la forme de protection la plus sécuritaire.
Au lieu d’utiliser l’A2F intégrale, certains sites Web utilisent une question de sécurité comme une sorte de deuxième facteur. Par exemple, vous devrez peut-être répondre à une question telle que « Quel est le nom de jeune fille de votre mère? » ou « Comment s’appelait votre animal de compagnie quand vous étiez enfant? ». Cette pratique comporte cependant de nombreuses faiblesses. Avec une telle abondance d’informations personnelles accessibles sur le Web, les pirates informatiques sont souvent capables de deviner les réponses à ces questions relativement basiques. De plus, il est important de noter que cette pratique n’est pas une « vraie » solution A2F, car les questions de sécurité ne sont qu’un deuxième facteur de connaissance. Vous sauvegardez essentiellement un mot de passe avec un autre mot de passe. En ce sens, c’est beaucoup plus proche de la vérification à deux étapes (V2F), une forme d’authentification qui ne nécessite pas différents facteurs, juste plusieurs étapes.
Ce qu’il faut retenir, c’est que les mots de passe représentent la forme de sécurité la plus faible, ce qui explique l’adoption de l’authentification à deux facteurs comme la nouvelle norme des entreprises en matière de sécurité.
Au-delà de l’authentification à deux facteurs
Comme vous pouvez le constater, les avantages associés à l’A2F sont importants. Mais l’authentification à deux facteurs n’est pas l’objectif ultime de la sécurité informatique. Loin de là. Après tout, l’authentification à deux facteurs n’est pas infaillible. Si un attaquant souhaitait accéder à vos systèmes informatiques, une recherche physique de vos locaux pourrait les amener à trouver un identifiant d’employé ou un appareil de stockage mis au rebut contenant des mots de passe. De plus, les pirates peuvent intercepter des messages texte au moyen des courriels d’hameçonnage, leur permettant potentiellement de contourner le deuxième facteur d'authentification. En fin de compte, l’A2F n'est seulement aussi forte que l'élément le plus faible du processus de sécurité.
Alors, qu'y a-t-il d'autre? Eh bien, l’A2F n'est qu'un sous-ensemble d'un concept beaucoup plus vaste : l'authentification multifacteur (AMF). Théoriquement, vous pourriez avoir une authentification à trois facteurs, une authentification à quatre facteurs, une authentification à cinq facteurs, et ainsi de suite, jusqu’à l’infini. Même si les utilisateurs ordinaires n’utiliseront probablement jamais autre chose que l’authentification à deux facteurs, les personnes travaillant dans des environnements de haute sécurité peuvent être amenées à utiliser l’authentification à trois facteurs (A3F), qui implique généralement l’utilisation d’un facteur d’adhérence comme une numérisation d’empreinte numérique ou de l’iris.
Sécuriser les fichiers à l’aide de l’authentification à deux facteurs
Vous ne pouvez pas sous-estimer l’importance de la protection des fichiers de votre entreprise. On estime que les dommages mondiaux de la cybercriminalité s’élèveront à près de 6 000 milliards de dollars par an d’ici 2021. Les coûts associés à la cybercriminalité incluent la destruction ou l’utilisation malveillante des données, de l’argent volé, des perturbations post-attaque, le vol de propriété intellectuelle et une perte de productivité. Mais il faut également prendre en compte les dépenses potentielles associées à la restauration des données et des systèmes piratés, aux enquêtes et à l’impact sur la réputation de la marque. Les menaces sont de plus en plus sophistiquées, et le reste du monde met en place l’authentification à deux facteurs comme norme. Par conséquent, les entreprises n’adoptant pas cette approche risquent de devenir vulnérables aux attaques de pirates malveillants. C’est comme si vous ne portiez pas de ceinture de sécurité simplement parce que la voiture est équipée de sacs gonflables. Techniquement, vous êtes protégé, mais pas autant que vous pourriez l’être.
Comment appliquer l’authentification à deux facteurs (A2F) avec Dropbox
Évidemment, l’authentification à deux facteurs peut présenter de nombreux avantages pour votre activité, mais le déploiement de cette technique dans l’ensemble de votre entreprise peut vous paraître intimidant. Fort heureusement, cette démarche n’est pas nécessairement compliquée. Dropbox propose l’authentification à deux facteurs. Si vous activez cette fonctionnalité, Dropbox vous demandera, à vous et à votre équipe, de fournir une deuxième forme d’authentification (par exemple, un code secret à six chiffres ou une clé de sécurité) dès que vous vous connecterez à votre compte ou que vous associerez un nouvel appareil comme une tablette, un ordinateur ou un téléphone. De plus, Dropbox propose un certain nombre de fonctionnalités de protection par mot de passe qui peuvent vous aider à sécuriser et à contrôler les informations sensibles de votre entreprise. Vous pouvez également définir des délais d’expiration pour les liens partagés et protéger vos PDF et vos dossiers par mot de passe.
Avec Dropbox, vous pouvez aussi mettre en place d’autres mesures de cybersécurité pour protéger vos fichiers encore plus efficacement. La sécurité infonuagique de Dropbox constitue un complément idéal à l’authentification à deux facteurs. En bref, la protection des données dans le nuage est la priorité de Dropbox. Grâce aux différents niveaux de protection répartis sur une infrastructure infonuagique distribuée, tous vos fichiers en ligne bénéficient du même niveau de protection. De plus, vous pouvez utiliser le stockage infonuagique chiffré de Dropbox pour vous conformer à la plupart des réglementations mondiales.
Conclusion
L’authentification à deux facteurs offre un niveau de sécurité supplémentaire pour les fichiers en ligne de votre entreprise et protège vos données sensibles contre les menaces éventuelles.