Heartbleed : adoptez la validation en deux étapes

Sécurité

De plus en plus de services web offrent une méthode plus sécuritaire de vous authentifier. Pourquoi courir le risque de ne pas l’activer?

Depuis la semaine dernière, Heartbleed se retrouve sur toutes les lèvres. La faille qui se retrouve au cœur d’OpenSSL, le protocole de sécurité en source libre utilisée par une panoplie de services web, a heureusement été rapidement colmatée par la communauté.

Cela signifie qu’une personne malintentionnée désirant accéder à votre compte devra avoir non seulement votre nom d’utilisateur et votre mot de passe, mais également accès à votre téléphone mobile.

Cette nouvelle est devenue le prétexte pour parler de sécurité informatique, ce qui en soi est une bonne chose. Peut-être avez-vous déjà changé la plupart de vos mots de passe sur les principaux sites affectés par Heartbleed. Bien que l’utilisation de mots de passe plus complexes soit toujours une bonne idée, cette stratégie s’avère inefficace dans le cas qui nous préoccupe ces derniers jours (lire la vulgarisation de Benoît Gagnon à ce sujet), contrairement à l’authentification avec validation en deux étapes.

Afin de réduire les risques qu’un pirate puisse détourner l’un de vos comptes, nous vous invitons à employer cette méthode plus sécuritaire. Une connexion avec validation en deux étapes est une mesure de sécurité qui ajoute une couche supplémentaire d’authentification lorsqu’un internaute tente de se connecter à un site web. Par exemple, après avoir inscrit votre nom d’utilisateur et votre mot de passe, un service utilisant ce type de connexion vous transmet un code spécial par messagerie texte afin de valider votre identité. La seconde étape consiste à fournir le code en question afin d’accéder à votre compte.

Comme vous l’aurez compris, cela signifie qu’une personne malintentionnée désirant accéder à votre compte devra avoir non seulement votre nom d’utilisateur et votre mot de passe, mais également accès à votre téléphone mobile.

Vendredi dernier, le Wall Street Journal a publié un article incitant ses lecteurs à adopter la validation en deux étapes offerte par de populaires services web : Google, Facebook (approbation de connexion), Twitter (vérification de connexion), Yahoo, Apple, Microsoft, LinkedIn et Paypal (clé de sécurité).

Soulignons que dans le contexte de Heartbleed, les internautes qui utilisaient déjà ce type de connexion ont pu bénéficier d’une protection efficace contre le risque de voir leur compte être détourné par autrui. Cependant, rappelons qu’aucun internaute n’a été à l’abri de la divulgation de renseignements personnels par le biais de la faille en question (à moins d’avoir été totalement hors ligne depuis des lunes).

  • Tentacle-Sama

    Et en cas de perte de téléphone, on perd son compte? Probablement une longue procédure avec demande au service à la clientèle.
    Plus les frais de messages textes à chaque connexion pour plusieurs, pas pratique pour les services accédés souvent.

    • https://branchez-vous.com/ Laurent LaSalle

      Quelqu’un paie encore pour des messages textes à la pièce? Si tu perds ton téléphone, tu ne stresses pas outre mesure auprès de ton fournisseur afin d’éviter que quelqu’un fasse 128 interurbains en Pologne? Voyons…

      • Tentacle-Sama

        Ça dépend des forfaits et fournisseur, c’est pas tout le monde qui sont des gros utilisateurs de texto.

        Et pour la perte du téléphone, c’est surtout que sans le code, tu ne peux plus te connecter à ton compte.

        • https://branchez-vous.com/ Laurent LaSalle

          La perte d’un téléphone reste une situation exceptionnelle. Si tu considères que le est risque trop élevé et que tu crains que l’accès à ton compte soit compliqué (mais j’ai souvenir que Google fournit un code d’urgence comme le mentionne Guillaume), tu peux aussi : ne pas activer la validation en deux étapes. Boom!

    • Guillaume Gadbois Gervais

      Tu as des codes d’accès à utilisation simple que tu met dans ton porte feuille et tu va désactivé temporairement l’authentification en 2 étapes. Il existe une une application sur android et p-e les autres systèmes aussi qui te donne le numéros de sécurité. Pas besoin de sms… anyway les sms recu son facturable?

  • http://schultzter.ca Schultzter

    Tu parle de code via texto, mais dans l’image au debut il y a un telephone intelligent avec le logo du app Google Authenticator. Tres utile, et a conseiller puisque c’est beaucoup plus vite (et moins bruyant) qu’attendre un texto.