Accueil>Newsletter>ACTU RGPD – mars 2022

ACTU RGPD

ACTU RGPD – Sécurité : Utilisez l’authentification multifacteur pour vos comptes !

Deux protections valent mieux qu’une ! Qu’est-ce que l’authentification multifacteur et pourquoi faut-il la privilégier lorsqu’elle est proposée ?

Banque, e-commerce, messagerie électronique, réseaux sociaux : tout le monde possède des comptes personnels sur de nombreux sites web. Sur chacun d’entre eux se trouvent des données personnelles dont certaines sont particulièrement sensibles.

Le plus souvent, l’accès à ces espaces personnels repose sur un mécanisme d’authentification destiné à vérifier que vous êtes bien la personne qui est en droit d’accéder à ce compte. Ce mécanisme d’authentification peut être simple (un mot de passe par exemple) ou multifacteur (un mot de passe et un code reçu par SMS par exemple).

Pourquoi éviter l’authentification simple ?

Le problème de l’authentification simple est que la sécurité repose sur un seul facteur. Si ce seul facteur d’authentification est compromis, un pirate pourra accéder librement à votre compte en ligne et aux données qu’il contient.

Ainsi, les premières cibles d’attaque des pirates informatiques sont les identifiants de connexion (par exemple votre adresse mail et votre mot de passe). Le fait de disposer de ces informations augmente leurs chances d’accéder à vos autres comptes, de voler vos données personnelles, notamment bancaires ou sensibles et d’usurper votre identité.

Pourquoi utiliser l’authentification multifacteur ?

L’authentification multifacteur permet de renforcer la sécurité de l’accès à vos comptes grâce à l’ajout d’un ou de plusieurs facteurs d’authentification, ce qui rend plus difficile le piratage d’un compte. Même si un pirate informatique parvient à se procurer votre identifiant et votre mot de passe, il ne pourra pas accéder à votre compte, faute de disposer du second facteur d’authentification.

Dans quels cas l’authentification multifacteur est-elle obligatoire ?

Depuis fin 2019[1], les banques et les prestataires de services de paiement doivent mettre en œuvre une authentification multifacteur pour la plupart des paiements à distance, l’accès au compte ainsi que les opérations sensibles (ajout de bénéficiaire de virements, commande de chéquier, changement d’adresse, etc.).

Quelles sont les limites de l’authentification multifacteur ?

Comme toute mesure de sécurité, l’authentification multifacteur reste vulnérable à certaines attaques telles que l’hameçonnage, l’interception des SMS contenant les codes d’authentification ou les attaques du type « SIM swapping[2] ».

Cependant, elle réduit significativement le risque de fuite ou de réutilisation de données personnelles par rapport à une authentification simple.

[1] Directive sur les services de paiement, dite DSP2 vise à harmoniser la réglementation sur les paiements au sein de l’Union européenne.
[1] En français « remplacement de carte SIM »
[2] En français « remplacement de carte SIM »
Source : www.cnil.fr