Tous les services internet ne sont pas aussi avancés en matière de double authentification. Pour ceux permettant différents moyens de s’identifier, mieux vaut prendre ses précautions afin d’éviter les soucis en cas de perte de son smartphone, par exemple…
Il faut dire que les possibilités de mettre en place une double authentification pour sécuriser un compte internet sont nombreuses. Les méthodes les plus rustiques reposent sur la réception d’un code par SMS ou par courriel uniquement, comme certains réseaux sociaux exotiques moins avancés en la matière…
Multiplier les possibilités et les appareils
A l’image de Google, les entreprises les plus avancées permettent de multiples possibilités en plus du mail ou des SMS. On citera notamment l’authentification par une notification dans une autre application, une clé d’accès (passkey) créée et conservée sur un ou plusieurs appareils ou l’utilisation d’une application tierce permettant de générer des codes…
Concernant ce type d’application, signalons notamment Google Authenticator, Microsoft Authenticator, Proton Authenticator, Adobe Account Access, etc. Les plus avancées peuvent être synchronisées par internet avec un autre appareil, comme celle de Google, notamment…
Prévoir des solutions de secours
Il est donc possible d’obtenir ses codes d’authentification pour de multiples applications sur plusieurs smartphones ou tablettes, de quoi éviter les mauvaises surprises si l’on casse son mobile. Dans certains cas, il est possible de télécharger des codes de secours, comme sur X, plutôt limité d’ailleurs en la matière…
Dans tous les cas, il peut être très utile d’être connecté simultanément sur plusieurs appareils — smartphone, ordinateur ou tablette — afin d’augmenter les possibilités d’accès. De manière générale, il faut par ailleurs composer avec les limites de certains services.
Les bugs et les limites
Sur Microsoft, par exemple, il semble que la possibilité de synchroniser ses informations de connexion sur le nuage pose parfois des problèmes, selon différentes pages d’aide. Par ailleurs, elle ne fonctionne pas entre les écosystèmes Android et Apple. Incroyable en 2026! Du Microsoft pur sucre…
Parfois, en raison de différentes limitations, il peut être compliqué de changer d’application de double authentification. Enfin, du côté de Google, on doit parfois composer avec d’étranges doublons de ses comptes dans l’application, sans pouvoir faire le ménage…
Courage et bonne chance!
Xavier Studer
En savoir plus sur Le blog high-tech & telecom de Xavier Studer
Subscribe to get the latest posts sent to your email.
– Bien qu’il ne soit pas parfait, le TOTP est suffisamment sûr pour la plupart des gens, et lorsque les clés de sécurité matérielles ne sont pas prises en charge, les applications d’authentification restent une bonne option.
§§
– FIDO2 et WebAuthn présentent des propriétés de sécurité et de confidentialité supérieures à celles de toute autre méthode MFA.
§§
– Gestionnaire de mots de passe
– Sauvegarde : règle du 3-2-1 (3 copies de vos données, 2 supports différents, 1 copie en hors site)
§§
https://www.privacyguides.org/fr/basics/multi-factor-authentication/?h=totp
https://www.privacyguides.org/fr/basics/multi-factor-authentication/
https://www.01net.com/actualites/cyberattaques-ia-google-revele-hackers-trouve-moyen-contourner-double-authentification-premiere.html
en premier, afin de vérifier que l’on se trouve au bon endroit:
https://www.ebas.ch/fr/controle-du-certificat-du-navigateur/
*****
un système bien sympa afin d’éviter le Natel intelligent (vraiment pas sérieux en matière de sécurité… car, en Suisse, les personnes du marketing aiment être de véritables gros ignorants en matière de sécurité informatique):
https://www.postfinance.ch/fr/assistance/login-parametres/connexion-securite/lecteur-de-postfinance-card.html –> cliquer sur « Instructions pour se connecter »
*****
une série de clefs de sécurité bien fonctionnelles:
https://help.agov.ch/index.php?c=descseckey&l=fr
mais, alors, ne suivez pas le conseil indiqué sur cette page au sujet de la recherche…
allez en premier sur vos sites marchands préférés et ensuite faites votre emplette, car il existe tellement de faux sites Web dans tous les sens que d’utiliser un moteur de recherche grand public pour en trouver une me semble vraiment un peu étrange.
– Le contournement de la 2FA via des attaques Man-in-the-Middle (MITM), aujourd’hui souvent appelées Adversary-in-the-Middle (AITM), est une menace majeure et courante. Contrairement au vol simple de mot de passe, ces attaques utilisent un serveur proxy malveillant pour intercepter et relayer en temps réel les identifiants et les codes 2FA entre l’utilisateur et le service légitime, rendant la 2FA inefficace contre des codes SMS ou des notifications push.
– Seules les clés de sécurité physiques (U2F/FIDO2) offrent une protection robuste, car elles sont liées cryptographiquement au domaine du site légitime et ne peuvent pas être utilisées sur un site de phishing, même si les identifiants sont volés.
@ MMM
au sujet de l’Homme du milieu…
un certificat TLS EV (oui, c’est plus onéreux et plus administratif):
https://de.wikipedia.org/wiki/Extended-Validation-Zertifikat
avec le petit panda et sa visualisation des certificats TLS:
https://support.mozilla.org/fr/kb/certificats-authentification-pour-sites-web-securises
qu’en penses-tu?
tout en rajoutant ce petit truc:
https://www.ubs.com/ch/fr/help/e-banking/process.html#accesscard
« The Slow Death of the Power User »
https://fireborn.mataroa.blog/blog/the-slow-death-of-the-power-user/
au sujet de la version par SMS:
https://www.01net.com/actualites/microsoft-met-fin-double-authentification-sms-source-fraude.html
et même avec…
https://www.blick.ch/fr/suisse/arnaque-des-mails-frauduleux-piegent-votre-carte-de-credit-id21971346.html
on s’amuse, on s’amuse…
https://www.generation-nt.com/actualites/fbi-alerte-kali365-microsoft-2076009
comme quoi, il faut toujours et encore prendre son temps et faire fonctionner à plein régime sa matière grise (le gros organe se trouvant entre ses deux oreilles).