Lumières sur la sécurité

lundi 2 février 2026

La sécurité d'accès à des services courants repose principalement sur les mots de passe. Cependant, l'authentification à deux facteurs est devenue une pratique courante (et même obligatoire sur certains sites web). Examinons ses avantages et ses inconvénients…

Courriels, réseaux sociaux, services bancaires, portails publics, achats en ligne, réseaux d'entreprise et applications… Progressivement, notre vie quotidienne est devenue de plus en plus dépendante de notre interaction avec l'environnement numérique. Avec autant de services, la tentation de simplifier la gestion est forte. Cette pratique est dangereuse car elle augmente considérablement le risque de compromission de la sécurité de vos accès.

Il y a quelque temps, dans notre publication du projet « Lumières sur la sécurité », nous avons abordé le sujet des gestionnaires de mots de passe. Nous y avons mis en évidence les avantages de ces outils spécialisés, capables de simplifier et sécuriser la gestion des mots de passe. L'article mentionnait également les points faibles de ces logiciels, notamment le risque de compromission du mot de passe principal et la présence de vulnérabilités potentielles dans un produit particulier. À cette époque, les gestionnaires de mots de passe étaient l'une des solutions le plus fonctionnelles pour ceux qui utilisaient plusieurs systèmes et services nécessitant une authentification.

Un an après, nous avons publié un article proposant des recommandations sur l'ordre des actions à suivre lors de la création de mots de passe forts. Nous y présentions un algorithme pour créer des mots de passe forts, en commençant par une analyse des services où de tels mots de passe pourraient être nécessaires, et nous avons également proposé des règles de base pour leur création.

Deux ans plus tard… Qu’est-ce qui a changé ?

Le besoin de phrases de passe n’a pas disparu, mais une nette tendance s’est dessinée : on abandonne la sécurité par mot de passe au profit de l’authentification à deux facteurs.

Ces lettres magiques, 2FA utilisées pour l'authentification à deux facteurs.

Utiliser des mots de passe différents pour chaque service, créer des mots de passe longs et complexes, impossibles à deviner… ces solutions relèvent désormais du domaine des spécialistes informatiques… Au quotidien, de nombreux utilisateurs privilégient souvent des solutions plus simples, comme l’option « Mot de passe oublié » qui permet de générer un nouveau mot de passe à chaque connexion.

Créer des mots de passe forts sans avoir à les mémoriser et les renouveler à chaque connexion rend la navigation plus pratique sur les sites d'achat en ligne, en particulier si vous utilisez rarement votre compte.

L’authentification à deux facteurs, également appelée vérification en deux étapes ou simplement « 2FA », améliore la sécurité des comptes. Cette fonctionnalité empêche les intrusions malveillantes (ou, plus simplement, le piratage) et constitue un niveau de protection supplémentaire en cas de vol de mot de passe. Elle peut être activée dans de nombreux services en ligne, tels que la messagerie électronique, les comptes de réseaux sociaux et même certains sites de commerce en ligne. Lorsque la double authentification est activée, en plus d'un nom d'utilisateur et d'un mot de passe, ces services exigeront une confirmation à l'aide d'un code temporaire à usage unique reçu par SMS ou par e-mail, via une application, une clé spéciale, voire une identification biométrique.

En mars 2025, la Commission nationale de l'informatique et des libertés (CNIL) a publié un document contenant des recommandations détaillées concernant la responsabilité lors de l'utilisation de l'authentification multifactorielle. Cette recommandation s’adresse aux professionnels de tous les secteurs, et en particulier aux délégués à la protection des données (DPO) et aux responsables de la sécurité de l’information (RSSI).

Face à la forte augmentation des risques, la CNIL prévoit d'imposer aux entreprises et aux administrations disposant de bases de données contenant plus de 2 millions d'enregistrements la mise en place d'une authentification à deux facteurs pour protéger l'accès à distance, d’ici les prochains mois de 2026. Tous les utilisateurs, qu'ils soient employés, prestataires de services ou sous-traitants, devront non seulement saisir leurs identifiants de connexion habituels, mais également vérifier leur identité à l'aide d'un deuxième facteur, tel qu'un code reçu par SMS.

Selon le service et les paramètres que vous choisissez, une confirmation peut vous être demandée lors de votre première connexion, à chaque connexion ou à intervalles réguliers. L'un des principaux obstacles aux attaques est l'obligation de confirmation à chaque fois qu'un nouvel appareil, inconnu du service, tente de se connecter à votre compte.

Ainsi, seul l'utilisateur peut autoriser un nouvel appareil à se connecter à des comptes protégés par l'authentification à deux facteurs.

Cependant, la nature même des SMS peut exposer une entreprise ou un utilisateur à de nombreux risques. La facilité d'accès et d'usurpation des numéros pour intercepter et lire les SMS est due au fait que la sécurité des messages dépend entièrement de la sécurité des réseaux et des opérateurs téléphoniques. Malheureusement, les réseaux cellulaires eux-mêmes sont régulièrement la cible d'attaques visant leurs abonnés. La généralisation des normes 5G, malgré les améliorations apportées à la sécurité mobile, laisse encore de nombreuses possibilités d'attaquer (ainsi que de défendre) l'infrastructure des opérateurs.

Les méthodes d'authentification basées sur des applications mobiles peuvent également être utilisées. À titre d'exemple particulier, l'authentification à deux facteurs (2FA) génère un code QR sur le site web du service, qui peut être scanné à l'aide d'une application d'authentification mobile. L'application génère des mots de passe à usage unique (TOTP, Time-based One Time Password ou OTP), qui changent toutes les 30 à 60 secondes, et l'utilisateur doit saisir ce code pour accéder. La limite de temps rendra beaucoup plus difficile pour un cybercriminel d'accéder à l'un des mots de passe à usage unique.

Authentification à deux facteurs. Et ensuite ?

L’authentification à deux facteurs est devenue une pratique courante. Le principal avantage est qu'elle rend beaucoup plus difficile l'accès à un compte à l'aide d'un mot de passe à l'insu de l'utilisateur. Si un attaquant tente d'accéder à un compte, non seulement l'accès lui sera refusé, mais l'utilisateur recevra également une notification concernant cette tentative de connexion. Dans ce cas, l'utilisateur devra immédiatement modifier son mot de passe afin de bloquer toute tentative de connexion potentielle et d'empêcher le piratage de son compte.

Cependant, l'authentification à deux facteurs n'est pas une solution miracle ; dans certains cas, les cybercriminels peuvent la contourner en essayant automatiquement toutes les combinaisons possibles de codes de sécurité. Pour augmenter le niveau de sécurité d'accès, il est possible d'augmenter le nombre de facteurs de vérification en mettant en œuvre l'authentification multifacteurs (MFA). Cette méthode nécessite l'utilisation de plusieurs preuves pour accorder l'accès à l'entité de connexion (qu'elle soit humaine ou machine).

L’authentification multifacteurs gagne en popularité car elle constitue une méthode efficace pour renforcer la fiabilité de l’authentification. Même si un attaquant parvient à voler ou à deviner le mot de passe, il devra surmonter d'autres obstacles : la nécessité d'utiliser des données biométriques, un code envoyé par SMS et une clé de sécurité. Cette complexité accrue réduit considérablement les chances de succès lors d'une intrusion non autorisée.

De plus, l'authentification multifactorielle est efficace contre différents types d'attaques, comme le phishing et les attaques par force brute, car elle nécessite de multiples vérifications difficiles à contourner pour les attaquants. Sans vouloir froisser le lecteur, il faut reconnaître que l'authentification multifactorielle peut également être contournée si elle est mal configurée ou mal comprise.