L’authentification à double facteur (2FA) représente la barrière la plus robuste contre les intrusions non autorisées dans vos espaces numériques. Des chiffres impressionnants de Microsoft en témoignent éloquemment.
Des statistiques alarmantes
En février 2020, lors de la Conférence RSA, Microsoft a présenté un exposé intitulé « Briser les dépendances aux mots de passe : les défis du dernier kilomètre chez Microsoft ». Cette intervention, riche en informations, a mis en lumière les stratégies de sécurisation des comptes utilisateurs. Les statistiques et données divulguées étaient pour le moins saisissantes.
Microsoft assure un suivi mensuel de plus d’un milliard de comptes actifs, ce qui représente environ un huitième de la population mondiale. Ces comptes génèrent collectivement plus de 30 milliards d’événements de connexion chaque mois. Une simple connexion à un compte d’entreprise O365 peut entraîner une cascade d’entrées de connexion sur diverses applications, sans compter les événements liés à des applications tierces utilisant O365 pour l’authentification unique.
Si ce nombre paraît déjà colossal, il est important de noter que Microsoft déjoue quotidiennement 300 millions de tentatives de connexion illégitimes. Il ne s’agit pas d’un chiffre annuel ou mensuel, mais bien quotidien.
En janvier 2020, 480 000 comptes Microsoft, soit 0,048% de l’ensemble des comptes, ont été compromis par des attaques de type « password spraying ». Cette technique consiste pour un attaquant à tester des mots de passe courants (par exemple « Printemps2020 ! ») sur une multitude de comptes, espérant en trouver un qui corresponde.
Les attaques par « spraying » ne sont qu’une des nombreuses formes d’attaques. Des milliers d’autres sont perpétrées par le biais du « credential stuffing », où l’attaquant utilise des listes de couples nom d’utilisateur/mot de passe achetées sur le dark web pour tenter de se connecter à différents systèmes.
S’ajoute à cela le « phishing », une méthode consistant à vous inciter à saisir vos identifiants sur un faux site web afin de subtiliser votre mot de passe. Ces méthodes sont celles qui mènent le plus souvent à ce que l’on qualifie couramment de « piratage » de comptes en ligne.
Au total, plus d’un million de comptes Microsoft ont été violés durant le seul mois de janvier. Cela équivaut à environ 32 000 comptes compromis par jour, un chiffre qui paraît important, mais qui reste bien en deçà des 300 millions de tentatives de connexion illégitimes déjouées chaque jour.
Cependant, le chiffre le plus frappant reste que 99,9% des violations de comptes Microsoft auraient pu être évitées si l’authentification à double facteur avait été activée.
Qu’est-ce que l’authentification à double facteur ?
L’authentification à double facteur (2FA) implique l’utilisation d’une méthode d’authentification supplémentaire, en plus du traditionnel nom d’utilisateur et mot de passe. Cette méthode se manifeste souvent sous la forme d’un code à six chiffres, envoyé par SMS sur votre téléphone ou généré par une application. Ce code est ensuite saisi dans le cadre de la procédure de connexion à votre compte.
La 2FA est une forme d’authentification multifacteur (MFA). Il existe d’autres méthodes MFA, comme les jetons USB physiques ou les authentifications biométriques par empreinte digitale ou scan rétinien. Cependant, le code envoyé sur téléphone demeure la méthode la plus répandue.
Le terme d’authentification multifacteur est générique : un compte particulièrement sécurisé peut nécessiter l’utilisation de trois facteurs d’authentification, par exemple.
La 2FA aurait-elle pu stopper les violations ?
Lors d’attaques par « spraying » ou « credential stuffing », les attaquants possèdent déjà le mot de passe : leur but est d’identifier les comptes l’utilisant. Dans le cas du « phishing », les attaquants s’emparent à la fois de votre mot de passe et de votre nom d’utilisateur, situation encore plus préoccupante.
Si l’authentification multifacteur avait été activée sur les comptes Microsoft compromis en janvier, la simple possession du mot de passe n’aurait pas suffi. L’attaquant aurait dû également accéder au téléphone des victimes pour obtenir le code MFA et se connecter aux comptes. Sans ce téléphone, l’accès aux comptes aurait été impossible, et ces derniers n’auraient pas été violés.
Si vous pensez que votre mot de passe est inviolable et que vous ne serez jamais victime de « phishing », détrompez-vous. Selon Alex Weinart, un expert de Microsoft, votre mot de passe importe peu lorsqu’il s’agit de protéger vos comptes.
Ce constat n’est pas exclusif aux comptes Microsoft : tout compte en ligne est vulnérable s’il ne recourt pas à la MFA. Selon Google, la MFA a permis de bloquer 100% des attaques de robots automatisées (attaques par « spraying », « credential stuffing » et autres méthodes automatisées).
L’étude de Google montre que la méthode « Clé de sécurité » a une efficacité de 100% contre les robots automatisés, le « phishing » et les attaques ciblées.
Alors, en quoi consiste la méthode « Clé de sécurité » ? Elle repose sur une application mobile générant un code MFA.
Bien que la méthode « Code SMS » soit très efficace, et toujours préférable à l’absence de MFA, une application offre un niveau de protection supérieur. Nous recommandons l’application Authy, qui est gratuite, conviviale et performante.
Comment activer la 2FA pour tous vos comptes
La plupart des comptes en ligne permettent d’activer la 2FA ou une autre forme de MFA. La localisation du paramètre varie en fonction des plateformes, mais se trouve généralement dans le menu de paramètres du compte sous les rubriques « Compte » ou « Sécurité ».
Afin de vous accompagner, voici des guides expliquant comment activer l’authentification multifacteur pour certains des sites web et applications les plus utilisés :
| Amazon | Identifiant Apple |
| Google / Gmail | |
| Microsoft | Nest |
| Nintendo | |
| Ring | Slack |
| Steam |
La MFA est la méthode la plus efficace pour protéger vos comptes en ligne. Si vous ne l’avez pas déjà fait, prenez le temps d’activer cette fonctionnalité dès que possible, en particulier pour les comptes critiques tels que votre messagerie et vos services bancaires.