L'authentification multifactorielle (MFA) ajoute une couche de sécurité supplémentaire puissante à vos comptes. Cela est dû au fait que même si quelqu'un vole ou devine votre mot de passe, la MFA l'arrêtera dans son élan.

Qu'est-ce que l'authentification multifactorielle? 

L'authentification multifactorielle (MFA) est une méthode de sécurité de connexion qui nécessite deux ou plusieurs formes de vérification d'identité pour accéder à un compte. Un « facteur » est généralement votre mot de passe, et vous pouvez souvent choisir l'autre facteur.

Vous pouvez aussi entendre parler de la MFA comme :

• Authentification à deux facteurs (2FA)

• Vérification en deux étapes

Ils se réfèrent tous à la même idée : protégez-vous avec plus qu'un simple mot de passe.  

Pourquoi les mots de passe seuls ne suffisent pas 

En raison des hackers sophistiqués, des violations de données massives et, parfois, de nos propres habitudes moins bonnes, les mots de passe peuvent être : 

• Deviner 

• Réutilisé sur plusieurs sites 

• Divulgués lors de violations de données 

• Volé par des escroqueries de phishing 

• Capturé par des logiciels malveillants 

Même les mots de passe ultra-robustes (de plus de 16 caractères) peuvent être compromis si un site web est violé - et cela n'avait rien à voir avec vos incroyables habitudes cybernétiques.  

La MFA vous protège en nécessitant une deuxième preuve d'identité. Donc même si un criminel a votre mot de passe, il ne peut toujours pas accéder à votre compte. Bien qu'aucune défense ne soit parfaite, la MFA réduit considérablement votre risque. Pensez-y de cette façon : vous doublez votre configuration de connexion, et vous doublez essentiellement votre sécurité de nombreuses façons.  

Comment fonctionne l'authentification multifactorielle ?

Lorsque vous activez la MFA, votre processus de connexion ajoute une étape supplémentaire :

• Entrez votre nom d'utilisateur et votre mot de passe.

• Vérifiez votre identité d'une deuxième manière.

Ce deuxième facteur pourrait être :

• Un code unique envoyé à votre numéro de téléphone ou adresse e-mail

• Un code unique ou une approbation générée dans une application d'authentification

• Un scan d'empreinte digitale ou facial

• Une clé de sécurité physique

• Une notification d'approbation générée par votre appareil

Certaines applications, comme les applications bancaires, peuvent avoir la MFA intégrée dans leurs plateformes - comme vous approuvez une connexion pour le site web de votre banque via son application sur votre téléphone.

La plupart des systèmes modernes de MFA ne prennent que quelques secondes. Bien que cela nous ralentisse légèrement, cet inconvénient ajoute une protection énorme.

3 catégories de facteurs d'authentification

Les experts en sécurité classent les méthodes d'authentification en trois catégories :

1. Quelque chose que vous savez

• Mots de passe

• Codes PIN

• Questions de sécurité

2. Quelque chose que vous avez

• Une application d'authentification

• Clés de sécurité matérielles

• Votre smartphone

3. Quelque chose que vous êtes

• Empreinte digitale

• Reconnaissance faciale

• Reconnaissance vocale

La MFA combine des facteurs de différentes catégories. Par exemple :

• Mot de passe (quelque chose que vous savez) + application d'authentification (quelque chose que vous avez)

• Mot de passe (quelque chose que vous savez) + empreinte digitale (quelque chose que vous êtes)  

Classement des types de MFA

Toutes les méthodes de MFA ne se valent pas. Nous avons des facteurs préférés !

1. Clés d'accès

   Les clés d'accès sont résistantes au phishing et sans mot de passe (oui, vraiment). Elles utilisent des clés cryptographiques stockées sur votre appareil (quelque chose que vous avez) et nécessitent généralement une vérification biométrique (quelque chose que vous êtes).

2. Clés de sécurité matérielles

   Dispositifs physiques (comme des clés USB ou NFC) qui doivent être branchés ou tapés lors de la connexion. Extrêmement résistantes au phishing. Cependant, vous devez conserver (c'est-à-dire ne pas perdre) ces clés.

3. Applications d'authentification

   Applications comme Google Authenticator, Microsoft Authenticator ou Duo qui génèrent des codes basés sur le temps ou des approbations push. Puissantes et largement recommandées.

4. Codes de message texte SMS

   Cette forme de MFA est courante et meilleure que rien, mais elle est vulnérable au détournement de carte SIM et au phishing.

5. Codes par e-mail

   Comme les codes de message texte, les codes par e-mail sont pratiques, mais moins sécurisés si votre compte e-mail lui-même n'est pas protégé. Activez toujours la MFA pour votre service e-mail !

6. Questions de sécurité

   C'est une forme ancienne mais encore courante de MFA qui est basée sur deux choses que vous savez - votre mot de passe et votre réponse à une question personnelle. Les réponses, cependant, sont souvent basées sur des informations qui peuvent être devinées ou trouvées en ligne. Nous ne recommandons pas ces éléments comme second facteur.

Si vous le pouvez, choisissez les clés d'accès, les clés matérielles ou les applications d'authentification.

Qu'est-ce qu'une clé d'accès? 

Nous disons que les clés d'accès sont l'avenir de la sécurité de connexion. Une clé d'accès est une méthode d'authentification sans mot de passe qui utilise : 

• Une clé cryptographique stockée sur votre appareil 

• Vérification biométrique (comme l'empreinte digitale ou Face ID) 

• Ou une approbation basée sur l'appareil 

Contrairement aux mots de passe, les clés d'accès ne peuvent pas être devinées, réutilisées ou phishées au sens traditionnel. Elles reposent sur des normes industrielles conçues pour éliminer de nombreuses méthodes d'attaque courantes. 

De nombreuses façons, les clés d'accès fonctionnent comme une forme très sécurisée d'authentification multifactorielle sans nécessiter de mot de passe traditionnel. 

Si un site Web vous offre la possibilité de créer une clé d'accès, prenez-la. Elles sont :

• Faciles à utiliser 

• Plus sécurisées que les mots de passe 

• Résistantes au phishing 

• Conçues pour un avenir sans mots de passe 

• Vraiment simples à configurer, en général

Où devriez-vous activer la MFA?

Activez la MFA partout où vous le pouvez.

Commencez par vos comptes les plus sensibles :

• Email

• Applications bancaires et financières

• Comptes d'investissement et de retraite

• Stockage cloud

• Médias sociaux

• Sites de shopping en ligne

• Comptes de travail et d'école

Presque tous les comptes aujourd'hui contiennent des données personnelles qui valent la peine d'être protégées.

Si la MFA est disponible, activez-la.

La MFA peut-elle être piratée?

La MFA est extrêmement efficace — mais pas invincible. Il existe des moyens par lesquels les criminels essaient de contourner la MFA.

• Phishing: Les criminels vous incitent à entrer à la fois votre mot de passe et votre code MFA sur un faux site Web. Ils peuvent vous appeler ou vous envoyer un SMS à propos d'un problème urgent (« nous soupçonnons des frais frauduleux! ») et vous demander le code du texte MFA séparé.

• MFA Fatigue, alias « Push Bombing »: Vous bombarder de demandes d'approbation de connexion jusqu'à ce que vous en approuviez une par accident.

Si vous recevez une demande de MFA et que vous n'essayez pas de vous connecter :

Ne l'approuvez PAS.

Modifiez votre mot de passe.

Examinez l'activité de votre compte.

La MFA réduit considérablement le risque, mais vous devez rester vigilant.

Dans quelle mesure la MFA vous ralentit-elle?

La MFA vous ralentit, surtout si vous utilisez plusieurs applications d'authentification ou si vous êtes habitué à naviguer sur le web à des vitesses fulgurantes, mais nous pensons que les secondes supplémentaires valent bien la sécurité. La plupart des méthodes d'authentification n'ajoutent que quelques secondes à votre connexion. Utiliser une clé d'accès peut être aussi simple que de presser votre doigt ou de sourire pour votre caméra.

Comparé au temps et au stress de récupérer un compte piraté, la MFA est un petit investissement.

MFA toute la journée!

La MFA arrête de nombreuses attaques instantanément – vous obtenez beaucoup plus de protection qu'un mot de passe seul.

C'est l'une des étapes de sécurité les plus simples et les plus efficaces que vous puissiez prendre — que vous protégiez votre email personnel ou vos comptes professionnels. Pour plus de conseils sur la cybersécurité, inscrivez-vous à notre newsletter gratuite.