Comment activer l’authentification à deux facteurs dans vos comptes en ligne

Comparatif des 4 modes d’authentification
Comment activer l’authentification à deux facteurs dans les services de Google
Comment activer l’authentification à deux facteurs dans les services de Microsoft
Comment activer l’authentification à deux facteurs dans les services d’Apple
Comment activer l’authentification à deux facteurs sur Facebook
Comment activer l’authentification à deux facteurs sur Dropbox

Un site que vous consultez vous demande de vous connecter avec votre compte Google. Vous entrez votre nom d’utilisateur et votre mot de passe, comme à l’habitude. Tout se passe bien. Du moins, c’est ce que vous croyez. Pourtant, sans vous en apercevoir, vous venez d’être victime d’hameçonnage, c'est-à-dire qu'un pirate s’est fait passer pour Google afin d’obtenir vos informations. Bonne chance pour récupérer votre compte : celui-ci est probablement déjà entre les mains d’individus malveillants.

Le scénario n’est pas tiré par les cheveux. L’hameçonnage est en cause dans 93 % des attaques informatiques modernes, selon la firme de sécurité informatique Cofense. Et ce n’est pas le seul problème avec les mots de passe, qui peuvent aussi être obtenus lors de fuites informatiques, surtout si vous réutilisez les mêmes d’un site à l’autre. Heureusement, il existe un moyen pour vous protéger : l’authentification à deux facteurs (aussi appelée validation en deux étapes, ou 2FA).

Grâce à cette couche de protection supplémentaire, vous devrez fournir un second code – qui peut être reçu par texto ou via une application mobile – pour entrer dans vos comptes en ligne. Même si un pirate possède vos identifiants, il ne pourra pas les utiliser sans un accès physique à l’appareil que vous utilisez pour recevoir votre deuxième facteur, généralement votre téléphone.

Voici comment activer l’authentification à deux facteurs pour vos comptes Apple, Dropbox, Facebook, Google et Microsoft. N’ayez crainte : c’est plus simple que ça en a l’air!

Comparatif des 4 modes d’authentification

En général, quand vous configurez la validation en deux étapes sur un service en ligne, vous pouvez choisir parmi quelques options d’authentification complémentaire au mot de passe. Voici les quatre méthodes les plus courantes.

1- Un code envoyé par texto

C’est à la fois la plus simple, mais la moins sécuritaire des quatre options proposées. Un code envoyé par texto peut être configuré rapidement, puisqu’il suffit d’entrer son numéro de téléphone dans un formulaire et de confirmer la réception d’un code par la suite.

Il faut savoir que la vulnérabilité du texto comme méthode d’authentification est bien démontrée. Des malfrats qui possèdent suffisamment d’information sur vous pourraient appeler votre fournisseur de téléphonie mobile et tenter de faire transférer votre numéro de téléphone sur une carte SIM en leur possession, après quoi ils pourraient récupérer vos codes d’authentification. En anglais, cette manœuvre s’appelle SIM swap (usurpation de carte SIM). 

L’étendue du problème est difficile à évaluer avec précision, mais le quotidien The Globe and Mail a recensé dans une enquête plus de 24 000 cas de fraudes de numéros de téléphone entre août 2019 et mai 2020 au Canada (pour vous protéger, consultez l’article Comment éviter la fraude par usurpation de carte SIM). Les codes envoyés par texto sont une meilleure option que rien du tout, mais à cause de l’importance des fraudes, la police fédérale américaine, le FBI, ne recommande plus leur utilisation, privilégiant plutôt les autres méthodes mentionnées plus bas.

Les codes par texto ont d’ailleurs un autre inconvénient : si vous voyagez et que votre carte SIM ne fonctionne pas à votre destination (une situation assez fréquente à l’étranger, mais aussi parfois dans certaines régions du Québec), vous ne pourrez pas accéder à vos comptes.

2- Un code généré par une application

Des applications pour téléphones intelligents telles que Google Authenticator ou Microsoft Authenticator génèrent des codes, un peu comme ceux qui sont envoyés par texto. Ces applications sécuritaires ont deux avantages par rapport aux SMS : elles ne requièrent pas d’accès au réseau cellulaire et ne sont pas vulnérables à la fraude par échange de carte SIM. Il s’agit de la méthode à privilégier pour la plupart des gens (et donc celle mise de l’avant par Protégez-Vous dans la section Comment activer l’authentification à deux facteurs).

Attention cependant : si vous perdez votre téléphone, vous perdez aussi accès à l’application, d’où l’importance d’effectuer une copie de sauvegarde (voyez l’article Comment sauvegarder vos clés d’authentification à deux facteurs).

Il existe aussi des applications pour ordinateurs (comme WinAuth sur Windows et Authy sur MacOS), mais comme vous n’avez pas toujours votre ordinateur avec vous, le téléphone constitue une meilleure option.

Par souci de simplicité, utilisez la même application pour tous vos comptes. Notez toutefois que certaines entreprises (comme la Banque TD) forcent leurs clients à utiliser leur application maison pour générer des codes.

3- Une notification 

Certaines entreprises, comme Facebook et Google, proposent de vous envoyer une notification sécurisée sur votre téléphone. L’avantage : pour vous connecter une première fois à l’un de vos comptes en ligne sur un nouvel appareil, vous n’avez qu’à répondre « oui » à la notification reçue sur le téléphone plutôt que de devoir entrer un code sur le site. De plus, cette méthode n’est pas vulnérable à la fraude par échange de carte SIM. Elle requiert toutefois des efforts supplémentaires au moment de changer de téléphone, puisque vous devrez vous assurer que votre nouvel appareil puisse recevoir les notifications, une possibilité qui n’est pas toujours activée par défaut.

4- Une clé de sécurité

Des entreprises, comme Google et Yubico, vendent des clés de sécurité physiques qui servent de méthode d’authentification quand on les connecte à un ordinateur ou à un téléphone, par exemple par port USB ou USB-C, ou encore sans fil par Bluetooth ou NFC. 

Les clés de Yubico, vendues sous le nom de YubiKey, se détaillent autour de 30 à 100 $, selon le modèle. De son côté, Google vend ses clés de sécurité Titan pour 40 $ (USB-A) ou 50 $ (USB-C). C’est l’option la plus sécuritaire, mais aussi la plus encombrante, puisqu’elle requiert un dispositif supplémentaire. Voyez à ce sujet notre essai des clés de sécurité Titan de Google.

Et la connexion sans mots de passe?

Certaines entreprises, comme Microsoft, proposent désormais d’enlever le mot de passe de votre compte pour vous connecter à leurs services, une option plus simple que la validation en deux étapes, et tout de même sécuritaire. Avec cette façon de faire (passwordless, en anglais), vous devrez vous connecter avec l’une des méthodes plus sécuritaires énoncées ci-haut, comme une application d’authentification, mais vous n’aurez aucun mot de passe à entrer, puisqu’il n’existera plus.

COMMENT ACTIVER L’AUTHENTIFICATION À DEUX FACTEURS

Dans les services de Google (Gmail, Google Drive, etc.)

1- Dans le navigateur web de votre ordinateur, rendez-vous à l’adresse myaccount.google.com/security, et sous Connexion à Google, cliquez sur Validation en deux étapes. Cliquez ensuite sur Démarrer, et entrez votre mot de passe.

2- Par défaut, Google propose l’authentification par notification. Vous pouvez sans hésiter opter pour cette méthode en cliquant sur Continuer.

3- Google vous demandera alors de sélectionner une option de secours, comme l’envoi d’un code par téléphone. Entrez votre numéro et suivez les instructions à l’écran. Une fois l’option de secours enregistrée, sélectionnez Activer pour activer l’authentification à deux facteurs.

4- Pour utiliser une application d’authentification, sélectionnez Application Authenticator dans la section Ajouter d’autres deuxièmes étapes pour confirmer votre identité. Lancez votre application sur votre téléphone (ou téléchargez-en une, comme Google Authenticator) et cliquez sur Configurer une application d’authentification. Suivez les indications à l’écran pour ajouter le compte à votre application.

Dans les services de Microsoft (Outlook.com, OneDrive, etc.)

1- Dans le navigateur web de votre ordinateur, rendez-vous à l’adresse account.microsoft.com et connectez-vous à votre compte. 

2- Sous Sécurité, cliquez sur Tableau de bord de sécurité. Selon les paramètres de votre compte, vous devrez peut-être confirmer votre identité, par exemple en entrant votre adresse courriel de sauvegarde ou votre mot de passe.

3- Cliquez sur Options de sécurité avancées. Sous Sécurité supplémentaire et Vérification en deux étapes, cliquez sur Activer, puis Suivant.

4- Microsoft vous invite alors à télécharger son application Microsoft Authenticator sur votre téléphone pour activer la connexion sans mot de passe. Sélectionnez Configurez une autre application d’authentification si vous désirez en utiliser une autre, par exemple celle de Google, et lancez-la sur votre téléphone.

5- Lisez le code QR qui s’affiche sur votre ordinateur à l’aide de l’application d’authentification installée sur votre téléphone, entrez le code fourni par l’appli puis appuyez sur Suivant.

Dans les services d’Apple (iCloud, App Store, etc.)

Configuration à partir d’un iPhone, iPad ou iPod touch

1- Accédez à Réglages > [votre nom] > Mot de passe et sécurité. 

2- Touchez Activer l’identification à deux facteurs.

3- Touchez Continuer.

4- Saisissez le numéro de téléphone que vous souhaitez utiliser pour recevoir les codes de validation lorsque vous vous connectez. Vous pouvez choisir de recevoir les codes par texto ou par appel téléphonique automatique.

Lorsque vous touchez Suivant, Apple envoie un code de validation au numéro de téléphone que vous avez fourni.

Saisissez le code de validation pour confirmer votre numéro de téléphone et activer l’identification à deux facteurs.

Notez qu’Apple permet l’authentification à deux facteurs par texto, par appel téléphonique et par notification, mais pas avec une application.

Configuration à partir d’un Mac

1- Accédez au menu Pomme > Préférences Système > iCloud > Détails du compte.

2- Cliquez sur Sécurité.

3- Cliquez sur Activer l’identification à deux facteurs. 

Sur Facebook

1- Dans le navigateur web de votre ordinateur, rendez-vous à l’adresse www.facebook.com et connectez-vous à votre compte. En haut à droite de la page, cliquez sur votre photo de profil, puis sur Paramètres et confidentialité et ensuite sur Paramètres.

2- Dans la colonne de gauche, cliquez sur Sécurité et connexion. À droite d'Utiliser l’authentification à deux facteurs, appuyez sur Modifier. 

3- Cliquez sur Utiliser une application d’authentification. Si vous préférez, vous pouvez choisir de recevoir des codes par texto, en appuyant sur Utiliser les textos (SMS).

4- Un code QR s’affiche à l’écran. Lisez ce code à l’aide de votre application d’authentification. Sur votre ordinateur, appuyez sur Continuer. Entrez le code à six chiffres fourni par votre appli, puis appuyez sur Terminer. 

5- Facebook confirme que l’authentification à deux facteurs est activée. Vous pouvez ajouter une option de rechange, en sélectionnant Texto (SMS) ou Codes de récupération.

Sur Dropbox

1- Dans le navigateur web de votre ordinateur, rendez-vous à l’adresse www.dropbox.com et connectez-vous à votre compte.

2- En haut à droite, cliquez sur votre image de profil (à droite de la cloche) > Paramètres > Sécurité.

3- À droite de Validation en deux étapes, cliquez sur le bouton pour activer ce mode d’authentification, puis appuyez sur Commencer.

4- Entrez votre mot de passe, puis cliquez sur Suivant.

5- Par défaut, Dropbox propose d’utiliser des SMS. Pour un niveau de sécurité plus élevé, optez pour une application d’authentification.

6- Balayez le code QR qui s’affiche à l’écran de votre ordinateur avec une application d’authentification. Cliquez sur Suivant, entrez le code fourni par l’application, puis cliquez à nouveau sur Suivant.

7- Dropbox vous invite à fournir un numéro de téléphone secondaire (le cellulaire d’un proche, par exemple), utile si vous perdez votre téléphone. Cliquez sur Suivant.

>> À lire aussi : notre test d’antivirus