La double authentification sur les sites internet
Avec la participation précieuse de Jacques Hirschfeld.
Pour contrer l’usurpation d’identité sur internet, les organismes de sécurité et bancaires mettent en place des dispositifs d’authentification pour s’assurer que vous êtes bien la personne à l’origine de la transaction.
Ne pas confondre authentification et identification
- L’identification est une phase qui consiste à établir l’identité de l’utilisateur. Elle permet de répondre à la question : « Qui êtes vous ? ». L’utilisateur utilise un identifiant (que l’on nomme « Compte d’accès », « Nom d’utilisateur » ou « Login » en anglais) qui l’identifie et qui lui est attribué individuellement. Cet identifiant est unique.
- L’authentification est une phase qui permet à l’utilisateur d’apporter la preuve de son identité. Elle intervient après la phase dite d’identification. Elle permet de répondre à la question : « Êtes-vous réellement cette personne ? ». L’utilisateur utilise un authentifiant ou « code secret » ou « mot de passe » que lui seul connait. C’est une information personnelle qui ne doit en aucun cas être divulguée.
Les facteurs d’authentification
Dans le cas d’un individu, l’authentification consiste, en général, à vérifier que celui-ci possède une preuve de son identité ou de son statut, sous l’une des formes (éventuellement combinées) suivantes :
- ce qu’il sait (mot de passe, numéro d’identification personnel) ;
- ce qu’il possède (acte de naissance, certificat d’immatriculation, carte d’identité, droit de propriété, certificat électronique, diplôme, passeport, carte Vitale, une carte bleue, un chéquier, votre téléphone, une grille codée fournie par votre banque, une carte grise, etc.) ;
- ce qu’il est (photo, caractéristique physique, empreinte digitale, reconnaissance faciale, rétine, etc.) ;
- ce qu’il sait faire (geste, signature).
D’autres facteurs d’authentification peuvent parfois être utilisés comme les contraintes temporelles ou les capacités de localisation.
Les différents types d’authentification
L’authentification simple
L’authentification ne repose que sur un seul élément ou « facteur » (exemple : l’utilisateur indique son mot de passe).
De nombreux sites internet de e-commerce sont basés sur cette technique et utilisent le couple login ou identifiant/mot de passe. Cette option présente pourtant plusieurs contraintes puisque le mot de passe choisi par l’utilisateur est généralement très simple à retenir et ainsi facile à trouver par quelqu’un de malveillant. (cf article Qui n’a jamais perdu son mot de passe ICI)
Si vous utilisez cette authentification, créez donc des mots de passe complexes. (cf article La parenthèse numereek le bon mot de passe ICI)
La double authentification ou l’authentification forte
L’authentification repose sur deux facteurs ou plus. Elle nécessite l’enchaînement d’au moins deux facteurs d’authentification. Le concept est simple. Une fois activé, en plus de votre mot de passe, on vous demandera un code unique valide sur une durée limitée par exemple.
Quand on y pense, ce n’est pas une révolution.
Elle existait déjà avec le chèque et sa signature (chéquier possédé et signature, présentation de la CNI) ou le paiement par carte : (CB et code secret).
Cependant, depuis le 15 mai 2021, tous les achats en ligne sont soumis à une authentification forte. Lors du paiement, vous devez désormais valider deux critères de sécurité.
Par exemple, lors d’un achat en ligne, après avoir renseigné vos informations bancaires, vous recevez une notification sur votre téléphone portable qui vous invite à vous authentifier dans l’application bancaire de votre banque. Vous vous authentifiez ensuite soit en tapant un code (comme votre code d’accès à vos comptes bancaires en ligne), soit en posant votre doigt sur le capteur biométrique intégré au téléphone.
Cette procédure porte un nom commercial différent pour chaque banque : BREDSecure à la Bred, Certicode à la Banque postale, Clé digitale chez BNP Paribas, Sécuripass au Crédit agricole, etc.
BON À SAVOIR Pour les clients qui n’auraient pas de smartphone ou un modèle ancien, les banques proposent des solutions alternatives comme l’utilisation d’un SMS à usage unique couplé à un mot de passe connu par le client, ou encore l’utilisation d’un dispositif physique dédié.
L’authentification complexe
Parfois, les sites vous imposent
- certaines configurations de mots de passe : 8 caractères minimum comportant 3 ou 4 types de caractères (majuscules, minuscules, chiffres et caractères spéciaux (par exemple ?, ! ou §);
- de cliquer sur un pavé numérique qui change de configuration à chaque connexion;
- de compléter un « captcha » (cf article Captcha, Kesako ? ICI) il faut cliquer alors sur des images selon la consigne ou reproduire une suite de lettres/chiffres complètement déformé;
- une temporisation d’accès à votre compte après plusieurs échecs de connexion;
- un verrouillage du compte après un certain nombre d’échecs. Il vaut mieux cliquer sur « Mot de passe oublié » avant d’en arriver là. Vous redonnerez votre adresse mail. Le site vous enverra un mot de passe provisoire ou un lien pour vous connecter et renouveler votre mot de passe.
Les conseils du Geek
- Toujours protéger son smartphone, son PC, qui deviennent des éléments de paiement.
- Être à l’origine de la transaction : ne pas cliquer sur un lien reçu sans être sûr de son origine.
- Ne pas communiquer son mot de passe à autrui.
- Ne pas stocker ses mots de passe dans un fichier en clair, sur un papier ou dans un lieu facilement accessible par d’autres personnes.
- Ne pas enregistrer ses mots de passe dans son navigateur sans mot de passe maître.
- Utiliser des mots de passe n’ayant pas de lien avec soi (nom, date de naissance, etc.).
- Ne pas utiliser le même mot de passe pour des accès différents.
- Ne pas conserver les mots de passe par défaut, les changer dès que possible.
- Ne pas s’envoyer par e-mail ses propres mots de passe.
0 commentaires