Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Du 22 au 24 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !
  1. Livres et vidéos
  2. 24 heures dans une vie (pas si) privée
  3. Sécurité des paiements, mot de passe, authentification à deux facteurs (A2F)
Extrait - 24 heures dans une vie (pas si) privée 250 conseils pratiques pour protéger vos données personnelles sur Internet
Extraits du livre
24 heures dans une vie (pas si) privée 250 conseils pratiques pour protéger vos données personnelles sur Internet
11 avis
Revenir à la page d'achat du livre

Sécurité des paiements, mot de passe, authentification à deux facteurs (A2F)

19h

Après trente minutes de recherches fastidieuses, Julie valide le choix de Maxime. Il ne lui reste plus qu’à se connecter à son compte client et payer sa commande.

Pour se connecter, Maxime utilise un identifiant unique proposé par Facebook, il aurait d’ailleurs tout aussi bien pu utiliser celui de sa boîte Gmail. Maxime utilise ces identifiants uniques dès qu’il le peut, c’est tellement pratique !

Pour renforcer la sécurité, le site propose à Maxime de communiquer son numéro de téléphone. Et pourquoi pas ? Les évènements de la journée lui ont montré que la sécurité informatique était importante et qu’il l’avait peut-être trop négligée.

Après toutes ces péripéties, Maxime n’a plus qu’à payer. Inutile pour lui de trouver sa carte bleue, le site a retenu ses coordonnées bancaires et ses coordonnées postales lors de la précédente commande il y a six mois, il ne lui reste qu’à valider.

Entre-temps, il a aperçu une offre vraiment alléchante sur un autre site de mobilier design. Il y retourne et décide d’acheter cette petite table de salon à un prix vraiment intéressant. C’est la première fois qu’il va sur ce site. Comme d’habitude, il crée un compte, entre son mail habituel comme identifiant, inscrit toutes ses coordonnées personnelles, y compris son numéro de téléphone, bien que ce ne soit pas obligatoire. Il lui reste enfin à entrer un mot de passe. Il décide alors d’utiliser l’un de ses trois mots de passe favoris qu’il utilise souvent. C’est un mot de passe incassable : « J@imE,juli€ ».

Les risques

Le développement de l’authentification à deux facteurs1 (A2F) a permis de renforcer considérablement la sécurité des comptes en ligne en vous permettant de vous authentifier par le biais de deux éléments : l’un que vous connaissez, généralement un mot de passe, et l’autre que vous possédez, par exemple un smartphone. Si le mot de passe est connu d’un attaquant (suite à une énième fuite de données par exemple...), il ne pourra pas se connecter sans le second élément d’authentification.

Il existe plusieurs méthodes A2F. Nous en citerons deux :

  • Le SMS A2F : vous recevez le mot de passe sur votre smartphone, il est unique et limité dans le temps.

  • Le protocole TOTP2 : vous scannez un QR code qui génère un mot de passe unique et limité dans le temps sur votre application compatible TOTP. La seconde méthode ne nécessite pas que vous fournissiez votre numéro de téléphone et vos informations sont stockées sur votre smartphone. En revanche il est nécessaire de bien sauvegarder vos informations d’authentification en cas de vol ou de changement de votre smartphone.

Comme tout dispositif de sécurité, l’authentification à deux facteurs n’est pas parfaite3. En ce qui concerne les SMS A2F, il existe plusieurs types d’attaques. L’une des attaques les plus connues est l’attaque de la carte SIM (Sim Swapping4). L’attaquant peut faire en sorte que le SMS de sécurité soit renvoyé vers son téléphone, ce qui lui permet de contourner cette sécurité. Il utilisera pour cela des techniques d’hameçonnage et plus généralement, des techniques d’ingénierie sociale....

Conseils pratiques

Pour tous

 Assurez-vous de la sécurité de la page de paiement : dans la barre d’adresse, https doit apparaître (le s est un gage de sécurité) et une icône s’apparentant à un cadenas doit apparaître : images/HSRB16.png.

 Utilisez un coffre-fort de mots de passe pour générer et stocker facilement des mots de passe et autres informations relatives à vos comptes en ligne.

Keepass, Bitwarden

 Vous pouvez créer et tester un mot de passe grâce à l’outil dédié de la CNIL.

CNIL17

 Vérifiez vous-même si votre adresse mail ou votre numéro de téléphone ont été volés à l’occasion du piratage d’un site sur lequel vous étiez inscrit.

Have I Been Pwned ?18

 Privilégiez l’A2F basée sur l’algorithme TOTP. Pour cela, utilisez une application open source, indépendante des Big Techs. Surtout, pensez à sauvegarder les mots de passe de récupération de chacun de vos comptes enregistrés en cas de changement de smartphone et pensez à sauvegarder les jetons de connexion.

Ces applications conservent vos informations d’authentification localement sur votre smartphone : FreeOTP+19, Aegis Authenticator20

 Pour Aegis : Paramètres - Sauvegardes - Sauvegarder automatiquement le coffre-fort. Sélectionnez un dossier que vous penserez à copier ensuite sur un disque externe sécurisé.

 Soyez vigilant à ne pas scanner un QR code dont vous ne connaissez pas l’émetteur. En le scannant, vous pouvez potentiellement être redirigé vers un code informatique malveillant2122.

QR Scanner (privacy friendly)23

Cette application permet de prévisualiser le lien scanné pour éviter d’ouvrir...