Ce processus de sécurité simple permet de protéger ses comptes sur les réseaux sociaux ou sa boîte mail grâce à son numéro de téléphone. Le Figaro vous donne le mode d'emploi.
Même Mark Zuckerberg n'est pas à l'abri d'un piratage. Le PDG de Facebook s'est fait pirater plusieurs de ses comptes sur les réseaux sociaux la semaine dernière. Ses profils Pinterest, Twitter et LinkedIn partageaient tous les trois le même mot de passe: «dadada». Mark Zuckerberg aurait pu éviter cette situation en respectant quelques règles élémentaires de sécurité en ligne, comme avoir un mot de passe complexe et différent pour chaque compte. Il aurait surtout dû activer la double authentification. Le Figaro fait le point sur ce processus de sécurité simple et efficace pour se protéger des piratages en ligne. Car ce qui est bon pour Mark Zuckerberg l'est aussi pour vous.
● Qu'est-ce que la double authentification?
La double authentification est aussi appelée validation en deux étapes ou authentification à deux facteurs. Il s'agit d'un processus qui permet d'ajouter un niveau de sécurité supplémentaire à un compte sur un réseau social ou sur un site, généralement grâce à votre numéro de téléphone portable. Une fois activée, la double authentification protège vos données en deux fois: en vous demandant votre mot de passe, comme d'habitude, puis en vous demandant de renseigner un code unique que vous recevez directement sur votre téléphone.
Même si vous êtes piraté par des personnes ayant eu accès à votre mot de passe, elles ne pourront pas pénétrer dans votre compte sans renseigner cet élément supplémentaire. Cela signifie également qu'à chaque connexion à un nouvel appareil, vous devrez renseigner un code. En cas de tentative d'intrusion depuis une machine inconnue (par une personne ayant votre mot de passe mais pas de code), le site vous informe par mail ou par SMS et vous invite à changer votre mot de passe.
● Est-ce que cela m'évitera tous les piratages?
Il n'existe aucune mesure de sécurité en ligne complètement sûre. Il est possible qu'un pirate puisse accéder à votre compte protégé par une double authentification, en récupérant à la fois votre mot de passe et en prenant le contrôle de votre smartphone. Ce genre d'attaque est complexe, mais possible: en 2012, le bloggueur spécialiste en cybersécurité Brian Krebs décrivait le cas d'une boîte mail hackée suite au piratage de la boîte vocale de son propriétaire. Néanmoins, il est plus efficace de protéger votre compte de deux barrières que d'une seule.
● Comment la mettre en place?
La validation en deux étapes se généralise petit à petit sur les grandes plateformes en ligne. Elle est disponible pour les services de Google, de Microsoft ou d'Apple, Facebook, Tumblr, Amazon, Twitter, Dropbox ... La plupart du temps, cette option se trouve dans les paramètres du compte concerné. Voici un mode d'emploi précis pour l'activer sur Google, Apple et Facebook.
Sur Google:
Rendez-vous sur votre compte Google. Il est accessible via l'URL myaccount.google.com. Cliquez sur la catégorie «Connexion et sécurité». Dans le chapitre «se connecter à Google», choisissez «validation en deux étapes». Renseignez votre mot de passe puis votre numéro de téléphone. Vous pouvez choisir d'obtenir vos codes par SMS ou par appel téléphonique. Une fois cette étape passée, Google teste le service en vous envoyant un message ou en vous appelant. Il vous invite ensuite à choisir une option de secours, au cas où vous n'auriez pas votre téléphone sur vous. Vous pouvez choisir d'imprimer des codes de secours, d'utiliser une application dédiée, de renseigner un numéro de téléphone secondaire ou d'utiliser une clé de sécurité.
Sur Apple iCloud:
Apple propose une authentification en deux étapes lors des connexions sur ses services (iCloud, iMessage, Game Center, FaceTime, iTunes Store, Apple Store et iBooks Store) depuis un mobile ou un ordinateur. Pour l'activer, connectez-vous sur la page de votre identifiant Apple, disponible à l'adresse appleid.apple.com et cliquez sur le lien «Modifier» dans la section «Sécurité» pour dérouler les options disponibles, et les réglages de validation en deux étapes, tout en bas. Avant de valider l'opération, Apple demande de répondre aux questions de sécurité préalablement renseignées. Le code de validation de quatre chiffres sera ensuite envoyé sur l'appareil de confiance Apple que vous utilisez, ou par SMS. Il est conseillé d'imprimer et de conserver en lieu sûr la clé de secours de 14 caractères fournie par ailleurs, qui permettra d'accéder à son compte en cas, si vous ne pouvez plus mettre la main sur ces appareils.
Sur Facebook:
Rendez-vous dans vos paramètres puis dans rubrique sécurité. Cliquez sur «approbations de connexion» puis sur «demander un code de sécurité lors de l'accès à mon compte à partir de navigateurs non reconnus». Renseignez votre numéro de téléphone puis le code d'essai envoyé sur votre téléphone. Vous disposez de deux autres options si vous n'avez pas votre téléphone ou que vous ne recevez pas le SMS: des codes temporaires que vous pouvez imprimer ou un générateur automatique. Ce dernier se trouve sur l'application mobile de Facebook, dans les paramètres.
● Je n'ai pas envie de donner mon numéro de téléphone à une entreprise...
Les sites utilisant la double authentification précisent dans leurs règles qu'ils n'exploiteront pas votre numéro à d'autres fins que celui de l'envoi de code. La réception de ces messages est par ailleurs gratuite. Surtout, on gardera en tête que ces plateformes n'ont pas besoin de ces numéros de mobile pour tout savoir ou presque de nos contacts. Leurs applications mobile demandent généralement l'accès à notre répertoire avant de les télécharger. Elles peuvent aussi nous contacter grâce à des notifications ou des alertes. Donner son numéro pour améliorer la sécurité de son compte est certes une concession à faire, mais plutôt faible au regard de tous les désagréments qu‘elle peut éviter.
