Votre navigateur n'est plus à jour et il se peut que notre site ne s'affiche pas correctement sur celui-ci.

Pour une meilleure expérience web, nous vous invitons à mettre à jour votre navigateur.

Déjà inscrit ou abonné ? Connectez-vous ici

Accédez à cet article gratuitement

Il suffit de vous inscrire à nos infolettres

Vous recevrez maintenant nos infolettres par courriel. Sachez que vous pouvez vous désabonner en tout temps en suivant le lien "Me désabonner" dans le bas d'une infolettre.

Comment activer l’authentification à deux facteurs dans vos comptes en ligne

Par Frédéric Perron Mise en ligne : 09 Décembre 2019  |  Magazine : 01 Janvier 2020 Shutterstock.com

authentification-deux-facteurs Shutterstock.com

Aujourd’hui, pour protéger l’accès à vos comptes en ligne, un simple mot de passe n’est pas assez. Pour plus de sécurité, configurez l’authentification à deux facteurs, aussi appelée validation en deux étapes. Voici comment procéder pour vos comptes Google, Microsoft, Apple, Dropbox et Facebook.

ligne-vide

Comparatif des 4 modes d’authentification
Comment activer l’authentification à deux facteurs dans les services de Google
Comment activer l’authentification à deux facteurs dans les services de Microsoft
Comment activer l’authentification à deux facteurs dans les services d’Apple
Comment activer l’authentification à deux facteurs sur Facebook
Comment activer l’authentification à deux facteurs sur Dropbox

Le vol d’identifiants, comme les adresses courriel et les mots de passe, est un phénomène très répandu sur le Web. Le site Have I Been Pwned?, qui répertorie ces violations de données, dénombre plus de 400 sites attaqués et plus de huit milliards de comptes compromis depuis 2012. Sur le site, une boîte de recherche permet de vérifier si votre courriel est associé à des comptes piratés. Dans mon cas, elle est liée à 10 incidents, y compris sur des sites majeurs comme Adobe, Dropbox et LinkedIn. Ouch! 

Évidemment, si votre compte a été compromis, la première chose à faire est d’aller changer votre mot de passe sur le site concerné ainsi que dans tous les comptes où vous utilisez ce même mot de passe. Idéalement, vous devez éviter d'employer le même mot de passe sur différents sites, sinon un pirate qui mettrait la main dessus pourrait accéder à plusieurs de vos comptes.

Une barrière supplémentaire

L’authentification à deux facteurs (aussi appelée validation en deux étapes) permet d’ajouter une couche de sécurité à vos comptes. Une fois configurée, elle requiert que vous fournissiez, en plus de votre mot de passe, un code qui vous est envoyé par texto sur votre téléphone, par exemple. 

Mais rassurez-vous : si vous optez pour l’authentification à deux facteurs, vous n’aurez pas à entrer un code chaque fois que vous vous connecterez à vos comptes. En général, un code sera requis seulement lors de votre première connexion à partir d’un nouvel appareil. Ainsi, même si un pirate vole votre mot de passe, il ne pourra pas accéder à votre compte s’il n’a pas votre téléphone. 

Voici comment activer l’authentification à deux facteurs pour vos comptes Apple, Dropbox, Facebook, Google et Microsoft. N’ayez crainte : c’est plus simple que ça en a l’air!

Comparatif des 4 modes d’authentification

En général, quand vous configurez la validation en deux étapes sur un site, vous pouvez choisir l’option d’authentification complémentaire au mot de passe. Voici les quatre méthodes les plus courantes. À l’exception de celle de la clé de sécurité, elles requièrent toutes un téléphone cellulaire

texto-1

1- Un code envoyé par texto

Très simple, cette solution devrait convenir à la plupart des gens. Il faut toutefois savoir que la vulnérabilité du texto comme méthode d’authentification est bien démontrée. Des malfrats qui possèdent suffisamment d’information sur vous pourraient appeler votre fournisseur de téléphonie mobile et tenter de faire transférer votre numéro de téléphone sur une carte SIM en leur possession, après quoi ils pourraient récupérer vos codes d’authentification. En anglais, cette manoeuvre s’appelle SIM swap (échange de carte SIM). 

«Ce genre d’opération est peu courante et demande beaucoup d’efforts, nuance Clément Gagnon, propriétaire de la firme de sécurité informatique Tactika. La cible est souvent une personne fortunée, à qui des criminels veulent soutirer de l’argent. Pour le commun des mortels, l’authentification par texto demeure une bonne mesure de sécurité à ajouter au mot de passe.»

Steve Waterhouse, consultant en sécurité informatique, est du même avis : «Pour que les gens l’adoptent, l’authentification à deux facteurs doit être aussi conviviale que possible, dit-il. En ce sens, le texto est l’option la plus simple.»

Si vous optez pour l’authentification par texto, n’oubliez pas que le code ne pourra vous être envoyé que si vous êtes connecté au réseau cellulaire. Si vous passez beaucoup de temps dans des zones avec connexion Internet mais sans connectivité mobile, par exemple en voyage ou à la campagne, il vaut mieux choisir une autre option. 

google-1

2- Un code généré par une application

Des applications pour téléphones intelligents telles que Google Authenticator ou Duo Mobile génèrent des codes un peu comme ceux qui sont envoyés par texto. Ces applications sécuritaires ont deux avantages par rapport au texto : elles ne requièrent pas d’accès au réseau cellulaire et ne sont pas vulnérables à la fraude par échange de carte SIM. 

«Par contre, comme dans le cas du texto, si vous perdez votre téléphone, vous perdez aussi votre générateur de code», précise Clément Gagnon. Pour contourner ce problème, la plupart des sites permettent d’imprimer ou de télécharger une série de codes de dépannage, au cas où vous auriez à vous connecter – sans votre cellulaire – sur un nouvel appareil.

google-2

3- Une notification 

Certaines entreprises, comme Google, proposent de vous envoyer une notification sécurisée sur votre téléphone. L’avantage : pour vous connecter une première fois à l’un de vos comptes en ligne sur un nouvel appareil, vous n’avez qu’à répondre «oui» à la notification reçue plutôt que de devoir entrer un code sur le site. De plus, cette méthode n’est pas vulnérable à la fraude par échange de carte SIM.

cle-securite

4- Une clé de sécurité

Des entreprises, comme Google et Yubico, vendent des clés de sécurité physiques qui servent de méthode d’authentification quand on les connecte à un ordinateur ou à un téléphone, par exemple par port USB ou USB-C, ou encore sans fil par Bluetooth ou NFC. 

Les clés de Yubico, vendues sous le nom de YubiKey, se détaillent autour de 25 à 65$. De son côté, Google vend un ensemble de deux clés pour 65$. «Pour l’utilisateur moyen, c’est un peu complexe à activer et à utiliser», souligne toutefois Clément Gagnon. Ces clés peuvent cependant être une option intéressante si vous n’avez pas de téléphone cellulaire. Pour en savoir plus, voyez notre essai des clés de sécurité Titan de Google : pv.ca/googletitan.

tableau

 

COMMENT ACTIVER L’AUTHENTIFICATION À DEUX FACTEURS

Dans les services de Google (Gmail, Google Drive, etc.)

google-3

1- Dans le navigateur web de votre ordinateur, rendez-vous à l’adresse www.google.com/landing/2step/, cliquez sur Premiers pas, puis sur Démarrer. Entrez votre mot de passe, puis cliquez sur Suivant

2- Par défaut, Google propose l’authentification par notification. Vous pouvez sans hésiter opter pour cette méthode en cliquant sur Essayer maintenant. Si vous préférez choisir une autre forme de validation, en utilisant un code fourni par un générateur de code par exemple, cliquez sur Choisissez une autre option

3- Sur votre appareil mobile, vous recevrez alors une notification vous posant la question «Essayez-vous de vous connecter à partir d’un ordinateur?». Répondez oui.

4- Dans le navigateur web de votre ordinateur, Google vous invite à sélectionner une option de secours, «si vous perdez votre téléphone ou si votre deuxième étape n'est pas disponible». Vous pouvez y inscrire le numéro de téléphone d’un proche pour y recevoir une authentification par texto si vous perdez votre propre téléphone. 

Vous pouvez aussi cliquer sur Utiliser une autre option de sauvegarde. Imprimez ou téléchargez la série de codes que Google vous a fourni; conservez-la dans votre portefeuille ou votre ordinateur, par exemple. Cliquez sur Suivant, puis sur Activer.

Dans les services de Microsoft (Outlook.com, OneDrive, etc.)

1- Dans le navigateur web de votre ordinateur, rendez-vous à l’adresse account.microsoft.com  et connectez-vous à votre compte. 

2- Sous Mettre à jour vos informations de sécurité, cliquez sur Mise à jour. Ensuite, sous Autres options de sécurité, cliquez sur Explorer

3- Vous devez alors confirmer votre identité à l’aide d’un code que vous recevrez par texto ou par courriel, au choix. Entrez le code de sept chiffres à l’écran et appuyez sur Vérifier

4- Sous Vérification en deux étapes, cliquez sur Configurer la vérification en deux étapes, puis sur Suivant

5- Microsoft vous invite alors à télécharger son application Microsoft Authenticator sur votre téléphone, mais vous pouvez très bien utiliser une autre application d’authentification comme Google Authenticator en cliquant sur configurez une autre application d’authentification

microsoft-1

6- Lisez le code QR qui s’affiche sur votre ordinateur à l’aide de l’application d’authentification installée sur votre téléphone, entrez le code fourni par l’appli puis appuyez sur Suivant.

7- Microsoft confirme que la vérification en deux étapes est activée et vous donne un code de récupération qui sera utile si vous perdez votre téléphone. Imprimez-le et mettez-le en lieu sûr, par exemple dans votre portefeuille. Appuyez ensuite sur Suivant.

8- Pour certains appareils et applications comme la Xbox 360 et les applications de bureau Outlook, vous devrez également définir un mot de passe d’application. Si vous utilisez ces appareils ou applications, appuyez sur découvrez comment les configurer. Sinon, cliquez sur Terminer.

Dans les services d’Apple (iCloud, App Store, etc.)

Configuration à partir d’un iPhone, iPad ou iPod touch

apple-1

1- Accédez à Réglages > [votre nom] > Mot de passe et sécurité

2- Touchez Activer l’identification à deux facteurs.

3- Touchez Continuer.

4- Saisissez le numéro de téléphone que vous souhaitez utiliser pour recevoir les codes de validation lorsque vous vous connectez. Vous pouvez choisir de recevoir les codes par texto ou par appel téléphonique automatique.

Lorsque vous touchez Suivant, Apple envoie un code de validation au numéro de téléphone que vous avez fourni.

Saisissez le code de validation pour confirmer votre numéro de téléphone et activer l’identification à deux facteurs.

Configuration à partir d’un Mac

1- Accédez au menu Pomme > Préférences Système > iCloud > Détails du compte.

2- Cliquez sur Sécurité.

3- Cliquez sur Activer l’identification à deux facteurs

Sur Facebook

1- Dans le navigateur web de votre ordinateur, rendez-vous à l’adresse www.facebook.com et connectez-vous à votre compte. En haut à droite de la page, cliquez sur le triangle, puis sur Paramètres.

facebook-1

2- Dans la colonne de gauche, cliquez sur Sécurité et connexion. À droite d’Utiliser l’authentification à deux facteurs, appuyez sur Modifier

3- Cliquez sur Démarrer. Par défaut, Facebook propose d’utiliser une application d’authentification, ce qui est une excellente option. Si vous préférez, vous pouvez choisir de recevoir des codes par texto. Cliquez ensuite sur Suivant

4- Un code QR s’affiche à l’écran. Lisez ce code à l’aide de votre application d’authentification. Sur votre ordinateur, appuyez sur Suivant. Entrez le code à six chiffres fourni par votre application, puis appuyez sur Terminer. 

5- Facebook confirme que l’authentification à deux facteurs est activée. Vous pouvez ajouter une option de rechange, par exemple des codes de récupération à conserver dans votre portefeuille ou votre ordinateur, une option utile au cas où vous perdriez votre téléphone.

Sur Dropbox

1- Dans le navigateur web de votre ordinateur, rendez-vous à l’adresse www.dropbox.com et connectez-vous à votre compte.

2- En haut à droite, cliquez sur votre image de profil (à droite de la cloche) > Paramètres > Sécurité.

dropbox-1

3- À droite de Validation en deux étapes, cliquez sur le bouton pour activer ce mode d’authentification, puis appuyez sur Commencer.

4- Entrez votre mot de passe, puis cliquez sur Suivant.

5- Par défaut, Dropbox propose d’utiliser des SMS. Pour un niveau de sécurité plus élevé, vous pouvez opter pour une application d’authentification.

6- Balayez le code QR qui s’affiche à l’écran de votre ordinateur avec une application d’authentification. Cliquez sur Suivant, entrez le code fourni par l’application, puis cliquez à nouveau sur Suivant.

7- Dropbox vous invite à fournir un numéro de téléphone secondaire (le cellulaire d’un proche, par exemple), utile si vous perdez votre téléphone. Cliquez sur Suivant.

8- Dropbox vous donne aussi des codes de sauvegarde, également utiles si vous perdez votre téléphone. Notez-les et gardez-les dans un endroit sûr. Cliquez sur Suivant, puis de nouveau sur Suivant.

Et mes autres comptes?

La plupart des médias sociaux (Twitter, LinkedIn, etc.) et certaines institutions financières (Desjardins, CIBC, etc.) offrent aussi la vérification à deux facteurs. Vous pouvez habituellement l’activer dans les réglages de sécurité de votre compte. 

Ajouter aux favoris
Ajouter aux favoris

Pour suivre toutes les mises à jour et nouveautés sur cet article, vous devez être connecté.

Technologie

Commentaires 3 Masquer

L'envoi de commentaires est un privilège réservé à nos abonnés.

  • Par NADINE BELOIN | 02 Février 2020

    J'ai activé cette fonctionnalité, mais l'application Duo Mobile a été effacée sur mon cellulaire. Je ne sais pas si c'est par erreur ou lors d'une mise à jour. Je n'arrive plus à me connecter à Facebook. C'est un cauchemar! Je lis les directives sur le site de Duo Mobile, mais c'est comme du chinois. Quelle mauvaise expérience!

  • Par DANIEL BOURQUE | 24 Décembre 2019

    La caisse populaire a débuté 2FA via SMS ou via un code envoyé au téléphone (en tout cas, c’est visible et fonctionnel sur mon compte) mais l’interface manque beaucoup de polissage. On dirait plus un mode test qu’un mode en production mais c’est fonctionnel

  • Par LUC MARTIN | 26 Décembre 2019

    Ce n'est pas un vrai 2 facteurs sécuritaire si l'on accède le site en question de son téléphone. Si un pirate compromet le téléphone, il aura accès au compte et au texto. Du 2 facteurs sécuritaires exige des canaux totalement distincts, ce qu'un téléphone unique n'est pas