La plupart des utilisateurs optent pour des mots de passe faibles et faciles à deviner par paresse. Cependant, même les mots de passe robustes ne sont pas infaillibles : ils peuvent être volés, interceptés ou exposés lors de fuites massives de données.
C'est pourquoi l'authentification à deux facteurs (2FA) a connu un essor fulgurant ces dernières années. Un simple mot de passe est trop vulnérable ; ajouter une seconde couche de protection renforce significativement la sécurité de vos comptes.
Mais la 2FA n'est pas exempte de failles. Elle peut même se retourner contre vous si vous n'y prenez garde. Voici trois inconvénients souvent négligés.
L'authentification multifacteur (MFA) exige plusieurs preuves (ou "facteurs") pour vérifier votre identité. Sans tous les facteurs requis, l'accès au compte est refusé.
La 2FA n'utilise que deux facteurs. Ces derniers se divisent généralement en trois catégories principales :
À première vue, cela semble idéal. Pourtant, des problèmes potentiels émergent rapidement.
Rien ne garantit la disponibilité de vos facteurs d'authentification au moment critique. Une seule défaillance peut vous bloquer l'accès à vos comptes.
Prenons les codes SMS : efficaces au quotidien pour vos comptes bancaires, mais inefficaces en cas d'ouragan coupant l'électricité, de tremblement de terre inondant votre téléphone, d'évacuation d'urgence ou de ransomware. Même une simple chute peut rendre votre appareil inutilisable.
Une clé USB peut se perdre ou être endommagée au lavage. Un PIN s'oublier. La biométrie échouer en cas d'accident.
Les victimes des ouragans Harvey et Irma (2017) ont été privées d'accès à leurs comptes faute de recharge possible pour leurs téléphones.
La récupération est possible mais chronophage, surtout pour de multiples comptes. Heureusement, certains services fournissent des codes de secours : enregistrez-les impérativement en lieu sûr.
La 2FA améliore la sécurité, mais son efficacité est souvent surestimée. Contrairement à une idée répandue, un compte 2FA n'est pas impénétrable.
La 2FA a ses limites.
Les procédures de récupération de compte, conçues pour vous, sont exploitables par les pirates. Si vous pouvez réinitialiser sans facteur, eux aussi. Des géants comme Apple limitent désormais ces options, au risque de pertes définitives de comptes.
Certains services implémentent la 2FA de manière incomplète. En 2014, la "Clé de sécurité PayPal" pouvait être contournée facilement, comme rapporté par Ian Dunn. La même année, des failles ont touché Google, Instagram, Amazon et Apple.
Vous pouvez tout faire parfaitement et voir votre compte compromis quand même. La 2FA offre une sécurité relative, pas absolue.
Ironie du sort : un pirate peut activer ou modifier la 2FA pour vous exclure de vos propres comptes.
Un utilisateur Reddit l'a vécu avec son compte Apple : piraté, vidé de centaines de dollars, puis verrouillé par une 2FA sur l'appareil du hacker.
La 2FA peut être trop efficace contre son propriétaire légitime.
Avec des protocoles renforcés, activez-la dès maintenant sur vos comptes critiques, avant qu'un malveillant ne s'en charge.
La 2FA ajoute une friction à chaque connexion, mais le bénéfice l'emporte.
Ne laissez pas ces risques vous décourager : adoptez-la et anticipez les pièges.
Utilisez-vous la 2FA ? Dites-nous pourquoi dans les commentaires, et partagez d'autres risques potentiels !
