L’authentification à deux facteurs (2FA) consiste à utiliser deux méthodes différentes pour se connecter à un compte numérique, permettant ainsi aux journalistes de mieux protéger les informations qu’il contient. Dans cet article, Reporters sans frontières (RSF) présente les différents types d’authentification à deux facteurs et explique comment elle peut renforcer la sécurité numérique des journalistes.
L’authentification à deux facteurs (2FA) est un paramètre de sécurité qui exige une deuxième étape de vérification pour se connecter à un compte numérique, en plus du mot de passe habituel, comme un code PIN envoyé par SMS ou par courriel. Cette protection est renforcée : même si quelqu’un a accès à votre mot de passe, il ne peut pas se connecter sans avoir effectué la deuxième étape de vérification.
Pour les journalistes, perdre l’accès à leurs comptes numériques peut signifier la perte de leur travail et de leurs preuves, et potentiellement compromettre la sécurité de leurs sources et autres contacts. Il est donc recommandé d’activer l’authentification à deux facteurs (2FA) pour tous les comptes numériques qui en disposent, y compris la plupart des services populaires comme Google, Facebook, Slack et Twitter.
En utilisant le 2FA en plus d’un gestionnaire de mots de passe, service qui simplifie grandement l’utilisation de mots de passe uniques et complexes, les journalistes peuvent atteindre un niveau de sécurité numérique très élevé. De plus, l’utilisation de différents types d’authentification à deux facteurs pour différents comptes numériques réduit également le risque de compromission d’une méthode. Vous trouverez ci-dessous les différents types de 2FA couramment utilisés :
1) Utiliser un numéro de téléphone pour recevoir un code de connexion par SMS
Il s’agit probablement du type d’authentification à deux facteurs le plus courant. Les services demandent un numéro de téléphone à l’utilisateur et, à chaque connexion avec son mot de passe, envoient un SMS contenant un code de vérification à ce numéro. Cela empêche toute personne n’ayant pas accès au téléphone de l’utilisateur de se connecter. Certains peuvent hésiter à communiquer leur numéro de téléphone à des applications et sites web, mais il s’agit d’une pratique courante. Sinon, il existe des applications de génération de code et des méthodes physiques pour activer la 2FA sans fournir de numéro de téléphone.
2) Utiliser l’application mobile des services pour vérifier l’utilisateur
Certains services, comme Google ou de nombreux services bancaires, proposent leur propre application. Si un journaliste a installé l’application mobile sur son téléphone et que quelqu’un tente de se connecter à son compte depuis un ordinateur, une notification apparaîtra sur son téléphone : l’authentification à deux facteurs (2FA) l’obligera à ouvrir l’application mobile pour confirmer que la tentative de connexion provient bien de lui.
3) Utiliser une application de génération de code
L’authentification à deux facteurs peut également prendre la forme d’un code QR à scanner lors de la connexion, qui redirige l’utilisateur vers une application de génération de codes sur son téléphone, avec un compte qui lui est propre. Ces applications, ou applications d’authentification, comme Google Authenticator ou LastPass, sont des outils qui génèrent en continu des codes PIN uniques et temporaires servant de deuxième identifiant après le mot de passe.
4) Utilisation d’une clé physique — « Universal Second Factor » (U2F)
Cette méthode est nouvelle et plus sécurisée. Les journalistes peuvent configurer une clé USB ou un appareil NFC (communication en champ proche) sans fil, comme une montre connectée ou un smartphone, pour utiliser l’authentification à deux facteurs (2FA). Appelée « Universal Second Factor » (U2F), cette méthode utilise la même technologie que les paiements sans contact, fonctionnant uniquement par contact de proximité avec une machine. Dans ce cas, la clé USB ou NFC doit être branchée ou à portée de l’utilisateur lors de la saisie de son mot de passe, sans quoi la connexion ne fonctionnera pas. Cette méthode n’est pas encore largement répandue, mais Google, Facebook et Dropbox la proposent.