L’authentification à deux facteurs est une mesure de sécurité essentielle qui utilise votre téléphone pour aider à empêcher l’accès non autorisé à votre compte. Elle rend plus difficile l’accès à votre compte si vous perdez votre téléphone, mais c’est aussi un peu le but. Heureusement, vous n’êtes pas sans options si vous ne pouvez pas trouver le seul appareil que vous utilisez pour vérifier que vous êtes bien vous.
Ce navigateur ne prend pas en charge l’élément vidéo.
L’authentification à deux facteurs, par sa nature même, est conçue pour empêcher l’accès à vos comptes si vous n’avez pas accès à votre téléphone (ou autre dispositif d’authentification). Par conséquent, il n’y a pas beaucoup de moyens de contourner cette exigence après coup. En revanche, il existe de nombreux moyens d’éviter que ce problème ne se produise. N’attendez donc pas de perdre votre téléphone pour les mettre en place.
Publicité
(Si vous êtes actuellement bloqué, vous pouvez passer directement à la dernière section.)
Si vous vous débarrassez volontairement de votre téléphone….
Publicité
Si vous savez que vous allez changer de téléphone, assurez-vous de passer à un autre appareil pour l’authentification à deux facteurs (ou à aucun, temporairement) avant de vous débarrasser de votre ancien téléphone. Pour un accès facile, voici quelques liens vers les endroits où vous pouvez modifier vos paramètres d’authentification à deux facteurs si vous l’avez déjà activée pour certains services courants (ou apprendre comment le faire). Notez que ces liens ne fonctionneront probablement que si vous êtes connecté à votre compte.
- Dropbox
- LastPass : Ouvrez LastPass sur le web, cliquez sur Paramètres > Options multifacteurs
- 1Password
- Discord
- Twitch
Le processus diffère d’un service à l’autre, mais le principe de base est le même. Vous installez une application sur votre nouvel appareil, scannez un code-barres ou entrez un code provenant du site web en question, et confirmez que vous êtes en possession de l’appareil. Dans la plupart des cas, les anciens authentificateurs cesseront de fonctionner, alors assurez-vous d’être sûr avant d’échanger.
Publicité
Si vous utilisez les SMS, changer de téléphone ne devrait pas avoir d’importance. Il suffit d’activer votre nouveau téléphone et les codes arriveront sur votre numéro de téléphone. Si vous utilisez une application d’authentification (nous recommandons Authy, dont nous parlerons dans un instant), vous pouvez probablement échanger votre dispositif d’authentification via les paramètres de votre compte.
Publicité
Toujours noter vos codes de sauvegarde à usage unique
Publicité
On ne le dira jamais assez. Notez vos codes de secours. Si jamais vous vous retrouvez bloqué de votre compte pour une raison quelconque, y compris le fait que vous avez oublié de désactiver votre authentificateur avant de le donner (ou que vous ne pouviez pas, si votre téléphone a été volé), les codes de sauvegarde sont le meilleur moyen et le plus simple de retrouver l’accès à votre compte. Vous pouvez ensuite configurer un nouvel authentificateur, probablement générer de nouveaux codes de sauvegarde, et être aussi sûr qu’avant.
Vous avez probablement entendu dire que vous ne devriez pas écrire votre mot de passe, mais ces codes à usage unique sont une exception. Vous devez absolument les imprimer ou ou les écrire et les conserver dans un endroit où vous pourrez les retrouver. Idéalement, ils devraient être séparés de votre téléphone, peut-être dans une boîte ignifuge ou un coffre-fort avec d’autres documents papier importants. Ne vous contentez pas de les enregistrer dans un document Word sur votre ordinateur portable, car si ce dernier venait à mourir (ou à être volé), vous n’auriez pas de chance.
Publicité
Contrairement à vos codes d’authentification, ces codes à usage unique ne changent pas. La plupart des sites vous indiqueront également quand ils ont été utilisés, ou au moins les rayer des listes de codes utilisables. Par exemple, Google propose dix codes de sauvegarde. Lorsque vous en utilisez un, la liste des codes passe de dix à neuf (ils ne sont pas réapprovisionnés immédiatement), et vous recevez un e-mail indiquant que le code a été utilisé. Cela signifie que même si quelqu’un trouve vos codes de sauvegarde et les utilise pour accéder à votre compte, il lui serait difficile de le faire sans être détecté.
Publicité
Utilisez une appli d’authentification tierce, comme Authy
Publicité
Comme nous en avons parlé précédemment, Authy est une excellente appli pour gérer vos comptes à deux facteurs sur l’iPhone, Android et même votre ordinateur. Non seulement cela vous donne un appareil de « sauvegarde » au cas où vous perdriez votre téléphone, puisque vos jetons se synchronisent entre vos différents appareils, mais cela rend également très facile la migration de vos jetons d’un appareil à un autre (disons, si vous obtenez un nouveau téléphone). Il suffit de synchroniser le nouvel appareil et de désautoriser l’ancien.
Publicité
Pour configurer des jetons synchronisés sur vos appareils, vous devrez d’abord configurer Authy comme votre application principale d’authentification à deux facteurs. Si vous utilisez actuellement Google Authenticator ou une autre application pour obtenir vos codes, vous devrez passer par vos comptes et configurer Authy, probablement à l’aide d’un code QR que vous devrez scanner, comme si vous passiez à un tout nouvel appareil. Ensuite, suivez ces étapes pour synchroniser Authy sur un deuxième appareil :
- Ouvrez les paramètres dans Authy sur votre appareil principal et appuyez sur Devices.
- Activez « Allow Multi-device. »
- Sur votre deuxième appareil, installez Authy.
- Lorsque vous ouvrez l’application pour la première fois, elle vous demandera un numéro de téléphone. Entrez le numéro de téléphone de votre appareil principal.
- Dans la fenêtre contextuelle qui dit « Obtenir la vérification du compte via », appuyez sur « Utiliser un appareil existant ».
- Sur votre appareil principal, vous recevrez une notification qui vous demande de vérifier l’ajout d’un nouvel appareil. Appuyez sur « Accepter. »
- Tapez « OK » dans la boîte qui vous invite à vous assurer que vous approuvez cette décision.
- Retournez dans les paramètres de votre appareil principal et appuyez à nouveau sur « Appareils ».
- Désactivez « Autoriser le multiappareil. » Cela empêche l’ajout de tout appareil supplémentaire, tandis que vos appareils connectés existants restent actifs.
Publicité
C’est aussi une bonne idée d’activer un code PIN (ou un verrouillage par empreinte digitale/visage) pour tous les appareils que vous avez connectés à Authy. (Vous devrez le faire pour chaque appareil individuellement dans Mon compte > Sécurité). De cette façon, même si quelqu’un obtient un accès physique à votre appareil, il lui sera plus difficile de voir vos codes.
Publicité
Pour ceux qui s’inquiètent de la sécurité de cette méthode : tous vos jetons d’authentification sont cryptés localement (à l’aide d’un mot de passe complexe, et non du code PIN à quatre chiffres qui protège l’app elle-même), donc ni les serveurs d’Authy, ni un tiers fouineur en cours de route ne devraient pouvoir accéder aux jetons.
Publicité
Obtenez un téléphone de remplacement pour les codes d’authentification SMS de secours
Publicité
Alors que certaines méthodes d’authentification nécessitent une appli, presque toutes offrent au moins l’utilisation d’un code SMS comme option de secours. Ce n’est pas une solution aussi sûre qu’une appli d’authentification dédiée ou qu’un jeton matériel, mais si vous perdez votre téléphone, obtenir un appareil de secours et l’activer auprès de votre opérateur vous permettra d’envoyer des messages texte au numéro de téléphone attaché à votre compte.
L’inconvénient ? Les messages texte sont beaucoup plus piratables même si quelqu’un n’a pas accès à votre appareil, y compris la redoutable attaque par sim-swap. Bien sûr, un attaquant aura également besoin de votre mot de passe pour faire quoi que ce soit avec un compte spécifique, mais l’authentification par texto reste une méthode moins sûre que l’authentification à deux facteurs, puisque celle-ci nécessite qu’ils aient un accès physique à votre dispositif d’authentification afin de s’introduire dans vos comptes.
Publicité
Que faire si vous êtes bloqué (et que vous ne vous êtes pas préparé)
Publicité
Bien que vous ayez plusieurs façons de vous préparer au pire, des choses arrivent. Votre téléphone est tombé dans un puits, vous avez perdu votre note autocollante avec les codes de sauvegarde, et il se trouve qu’aujourd’hui est le jour où votre compte Google vous a demandé de vous revérifier. Pas de chance.
Vous pouvez parfois encore appeler ou envoyer un message à la société qui gère le service auquel vous essayez d’accéder. La mauvaise nouvelle est qu’un processus de récupération de compte peut souvent prendre plusieurs jours ouvrables à réparer, en supposant que la société puisse le faire. D’autres entreprises (comme Discord) vous diront que si les options de sauvegarde échouent, elles ne pourront pas vous donner accès à votre compte. Vous devrez créer un tout nouveau compte, ce qui n’est pas une solution idéale.
Publicité
C’est pourquoi il est important de rester au courant de vos options de sauvegarde. Cependant, au cas où le pire se produirait, voici quelques liens avec des informations sur comment (ou si) vous pouvez récupérer l’accès à votre compte pour divers services :
- Dropbox
- LastPass
- 1Password
Comme toujours, un peu de prévention vaut la peine de se démener et d’avoir le cœur brisé en essayant de retrouver l’accès à tous vos comptes critiques après avoir perdu votre dispositif d’authentification.
Publicité
Cette histoire a été initialement publiée le 19/12/14 et a été mise à jour avec des informations plus récentes le 18/10/19.
Publicité
.