Authentification en deux étapes : une bonne idée, vraiment ?

a marqué ce sujet comme résolu.

Salut,

Il y a plusieurs années, j’étais tombé sur un article que j’avais lu en diagonale arguant que le fait de fournir un numéro de téléphone en plus du mail pour pouvoir se connecter à un service n’était pas une si bonne idée que cela. Ce numéro de téléphone servant normalement à effectuer une authentification en deux étapes, présentée par les services qui l’implémentent comme une mesure de sécurité complémentaire et presque nécessaire.

C’est par exemple le cas des comptes Google. On a le mail principal, le mail secondaire de récupération de mot de passe, et le numéro de téléphone qui sert à la "validation en deux étapes" (comprendre "authentification en deux étapes").

Jusqu’à présent j’ai toujours rechigné à le faire, ayant pris peur suite à cet article.

De plus, il y a 6 à 8 mois environ, j’ai appris par mon patron, qu’un membre de sa famille s’était fait voler plusieurs milliers d’euros sur son compte bancaire et, me semble-t-il, c’était justement dû au fait qu’il avait activé la famosa authentification en deux étapes… Ce qui semblerait corroborer l’article.

Enfin, il y a environ 3 mois à 6 mois, on m’avait rapporté des problèmes concernant France Connect utilisable notamment sur le site des impôts : les media auraient dit qu’au contraire de sécuriser davantage, ça rendait le compte plus facilement sensible à un accès frauduleux. Etait-ce encore dû à l’authentification en deux étapes ? Il me semble que oui puisque c’est la raison d’être de France Connect si je ne m’abuse (comme je ne l’ai jamais utilisé, je peux me tromper bien entendu).

Du coup du coup, la question : quel est l’état des lieux en 2024 svp ? Faut-il activer ou non cette authentification en deux étapes, ie : faut-il fournir le numéro de téléphone et l’activer ?

Merci et bonne continuation,

Bien cdt,

L'authentification à deux facteurs par le téléphone (par SMS ou directement avec un appel) n’est pas la méthode la plus recommandée (voir les recommandations de l’ANSSI en la matière, qui déconseille le SMS), parce qu’il est assez facile pour un attaquant de réussir à la contourner (SIM swapping, par exemple).

L’authentification à deux facteurs par téléphone n’est donc pas nécessairement très efficace pour augmenter la sécurité d’un compte, mais j’ai plus de mal à comprendre comment elle pourrait la diminuer.

Te souviens-tu des arguments avancés ? Ou même carrément de l’article en question ?

+0 -0

Attention à ne pas mélanger toutes les formes d’authentification à deux facteurs : les SMS sont vulnérables à des attaques (d’où les problèmes remontés, ce qui fait qu’ils sont déconseillés1 ), mais les application de génération de codes n’ont pas ce problème.

Par contre, comme le nom l’indique, il faut bien deux facteurs… donc éviter de regrouper le stockage du mot de passe et la génération de code au même endroit (par exemple dans son appli de stockage de mots de passe :-° ), idéalement sur des appareils différents (par exemple avec une clé USB).

En effet l’objectif est d’obliger un attaquant à compromettre deux appareils différents pour son attaque, ce qui réduit considérablement la probabilité de réussite, surtout si l’un d’eux n’est pas sur le même réseau… voire pas connecté du tout.


  1. sans parler de l’usage abusif des numéros de téléphone fournis à des fins commerciales qui est fait par certaines entreprises
Connectez-vous pour pouvoir poster un message.
Connexion

Pas encore membre ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte