2FA ou l’Authentification Double Facteur est une technique imposée par plusieurs organismes (Banques, Administrations, Impôts, EDF…) et services en lignes (Cloud, Streaming, Hébergeurs Web, Réseaux sociaux…) afin de sécuriser l’accès à des comptes d’utilisateurs depuis le web ou depuis les applications sur smartphones.
En plus de votre nom d’utilisateur (l’identifiant) et le mot de passe, un prestataire du service ou un réseau social tel que Facebook ou Twitter, vous demande d’activer l’authentification à deux facteurs afin de renforcer encore plus la protection de votre compte. Une fois activée, vous devrez choisir un moyen secondaire d’identification en plus de votre identifiant et mot de passe. Vous pouvez par exemple choisir d’utiliser différents moyens pour cette d’authentification double facteur secondaire.
Par exemple :
– Le choix de recevoir un code unique par SMS sur votre numéro de téléphone inscrit chez le prestataire
– Le choix de recevoir un code utilisable pendant une période limitée (TOTP)
– Le choix d’utiliser une application d’authentification sur votre téléphone pour confirmer votre identité (généralement utilisée par des banques, des assurances ou PayPal)
– La reconnaissance faciale, vocale ou par empreinte digitale.
Et par conséquent, cette technique rend la tâche plus difficile aux pirates et les utilisateurs malveillants de votre entourage ou du web en générale d’accéder à vos comptes et vos données personnelles.
C’était une définition de 2FA ou Authentification Double Facteur sur papiers, mais en réalité vous allez changer d’avis immédiatement car on apprend que la technique n’a pas échappé aux hackers dans le cas de Facebook et c’est à cause d’un bug dans ce système.
Selon un chercheur en informatique, un certain Gtm Mänôz, Facebook n’avait pas imposé de limites de tentatives de connexion avec le code reçu par SMS via l’authentification à double facteur, ce qui aurait permis aux hackers de contourner le système et d’effectuer plusieurs tentations pour entrer le code, grâce à des combinaisons de chiffres générées à l’infini à l’aide d’un programme tier.
Une fois l’hacker obtient le bon code 2FA, il relie le compte Facebook à son numéro de téléphone et puis je vous laisse imaginer la suite et la galère pour récupérer votre compte !
Enfin Facebook a assuré que l’incident a été résolu quelques jours plus tard.