Les codes à usage unique et l'authentification à deux facteurs
(2FA)
Édito : La majorité des sites,
propose la double authentification (2FA), avec l'utilisation
d'un code a usage unique (OTP) pour protéger efficacement
contre le vol de compte. Si vous recevez un tel code ou une
demande de saisie de ce code alors que vous êtes pas connecté,
il s'agit d'une tentative de piratage de votre compte. Nous
allons vous expliquer pourquoi vous le recevez, que faire si
vous le recevez et comment vous protéger !
Vous pouvez venir sur notre groupe pour en débattre : entraide
informatique Sud-Gironde.
Des codes d'authentification sans l'avoir demandé, nous en
recevons régulièrement venant de Facebook. Nous ne prenons
jamais cela à la légère ! Nous signalons que cela n'est pas
nous, et nous... lisez notre article pour savoir le reste :)
Un peu d'histoire
Au cours des dernières années, nous avons pris l’habitude de
nous connecter à des applications et sites Internet
indispensables, comme celles et ceux des banques en ligne, en
utilisant à la fois un mot de passe et un autre moyen de
vérification. Il peut être question d’un mot de passe à usage
unique (OTP) envoyé par SMS, email ou notification push, d’un
code provenant d’une application d’authentification, ou même
d’un périphérique USB spécial, aussi appelé « jeton ».
Ce mode de connexion, appelé authentification à deux facteurs
(2FA), complique considérablement le piratage : le fait de
voler ou de deviner un mot de passe ne suffit plus pour pirater
un compte. Mais que faire si vous n’avez essayé de vous
connecter nulle part et que vous recevez soudain un code à usage
unique ou une demande de saisie de ce code ?
Les 2 raisons pourquoi vous recevez un code à usage unique
(OTP)
-
Une tentative de piratage. Des pirates
informatiques ont découvert, deviné ou volé votre mot de
passe, et essaient maintenant de l’utiliser pour accéder à
votre compte. Vous recevez donc un message authentique de la
part du service auquel ils essaient d’accéder.
-
Une préparation en vue d’un piratage. Des
pirates informatiques ont découvert votre mot de passe ou
essaient de vous pousser à le révéler. Dans ce cas, le
message contenant un mot de passe à usage unique (OTP) est
une forme de phishing. Le message est faux, même s’il peut
beaucoup ressembler à un message authentique.
Comme vous pouvez le voir, ce message peut cacher une intention
malveillante. Mais la bonne nouvelle est qu’à ce stade, il n’y a
pas de dommages irrémédiables et qu’en prenant les mesures
nécessaires, vous pouvez éviter un quelconque problème.
Que faire si vous recevez une demande de code ?
Surtout, ne cliquez pas sur le bouton de
confirmation si le message est de type « Oui/Non », ne
vous connectez pas n’importe où et ne
partagez pas les codes que vous recevez avec qui que ce soit.
Si le message contenant une demande de code contient des liens,
ne les suivez pas.
Il s’agit des règles les plus importantes à suivre. Tant que
vous ne confirmez pas votre connexion, votre compte est
sécurisé. Cependant, il est très probable que le mot de passe de
votre compte soit connu des pirates informatiques. Par
conséquent, la première chose à faire est de modifier le mot de
passe de ce compte. Pour contacter le service concerné,
saisissez son adresse Internet manuellement. Ne suivez pas de
lien. Saisissez votre mot de passe, obtenez (et ce point est
important !) un nouveau code de confirmation et
saisissez-le. Ensuite, rendez-vous dans les paramètres liés au
mot de passe et définissez un
nouveau mot de passe fort (on évite le
123456-aZerty, Pas$w0rd, 123-Soleil). Si vous utilisez le même
mot de passe pour d’autres comptes, vous devrez également
modifier le mot de passe pour ces comptes. Assurez-vous
néanmoins de créer un mot de passe unique pour chaque compte.
Nous savons qu’il peut être difficile de mémoriser autant de
mots de passe, c’est pourquoi nous vous recommandons de les
stocker dans un gestionnaire
de mots de passe.
Cette étape (c’est-à-dire la modification de vos mots de passe)
n’est pas nécessairement urgente. Il n’est pas question de le
faire dans la précipitation, mais ne remettez pas non plus la
chose à plus tard. Pour les comptes importants (comme ceux liés
aux banques), les pirates informatiques peuvent tenter
d’intercepter le mot de passe à usage unique (OTP) s’il est
envoyé par SMS. Pour ce faire, ils procèdent à un échange de
carte SIM, c’est-à-dire qu’ils enregistrent une nouvelle carte
SIM associée à votre numéro, ou ils lancent une attaque via le
service en réseau de l’opérateur en exploitant une faille dans
le protocole de communication SS7. Par conséquent, il est
important de modifier votre mot de passe avant que les pirates
informatiques ne tentent une telle attaque. En général, les
codes à usage unique envoyés par SMS sont moins fiables que les
applications d’authentification et les jetons USB. Nous vous
recommandons de toujours utiliser la méthode 2FA la plus
sécurisée parmi celles qui vous sont proposées.
Comment vous protéger ?
Dans ce cas, le meilleur moyen de défense consiste à garder une
longueur d’avance sur les malfaiteurs !
C’est là que la solution de sécurité intervient.
Elle détecte les fuites de vos comptes liées à la fois aux
adresses email et aux numéros de téléphone, y compris sur le
Dark Web. Vous pouvez ajouter les numéros de téléphone et les
adresses email de tous les membres de votre famille, et si les
données d’un compte deviennent publiques ou sont découvertes
dans des bases de données divulguées, Kaspersky
Plus ou Eset Ultime vous alertera.
Dans le cadre de votre abonnement, Password Manager
(qui est inclus dans la version Plus! ) vous mettra également en
garde contre les mots de passe compromis et vous aidera à les
modifier, générant ainsi de nouveaux mots de passe impossibles à
pirater. Vous pouvez également y ajouter des jetons
d’authentification à deux facteurs ou les transférer facilement
depuis Google Authenticator en quelques clics. Le stockage
sécurisé de vos documents personnels sauvegardera sous forme
chiffrée vos documents et fichiers les plus importants, comme
les scans de passeport ou les photos personnelles, afin que vous
seul puissiez y accéder.
De plus, vos identifiants, mots de passe, codes
d’authentification et documents enregistrés seront accessibles
depuis n’importe lequel de vos appareils (ordinateur, smartphone
ou tablette). Ainsi, même en cas de perte de votre téléphone,
vous ne perdrez ni vos données ni vos accès, et vous pourrez
facilement les restaurer sur un nouvel appareil. Et pour accéder
à toutes vos données, il vous suffit de retenir un seul mot de
passe, le principal, qui n’est stocké que dans votre tête et qui
sert à chiffrer les données AES selon les normes bancaires.
En savoir plus...
Vous pouvez nous contacter sur les réseaux sociaux, depuis
notre site internet dans l'espace contact et suivre également
l'une de nos formations
en
à votre domicile avec le SERVICE A LA PERSONNE !