2FA (authentification à deux facteurs)

2FA, abréviation d'authentification à deux facteurs, est un schéma d'authentification qui exige que l'utilisateur présente deux facteurs de preuve indépendants avant que l'accès soit accordé. La taxinomie classique des facteurs d'authentification comprend :

• Quelque chose que vous connaissez — un mot de passe, un PIN ou une phrase mémorisée
• Quelque chose que vous avez — un téléphone, un jeton matériel, une carte à puce ou un appareil enregistré
• Quelque chose que vous êtes — une caractéristique biométrique telle qu'une empreinte digitale, un visage ou une voix

Un schéma 2FA combine deux facteurs provenant de catégories différentes. Le déploiement le plus courant dans les logiciels grand public associe un mot de passe (quelque chose que vous connaissez) à un OTP livré via SMS ou généré par une application authenticatrice (quelque chose que vous avez). Les combinaisons moins courantes mais plus fortes incluent mot de passe + clé matérielle (FIDO2 / WebAuthn) ou mot de passe + notification push.

La prémisse de sécurité de la 2FA est que compromettre les deux facteurs simultanément est beaucoup plus difficile que d'en compromettre un seul. Si un attaquant usurpe l'identité d'un mot de passe, il a toujours besoin d'un accès physique ou distant à l'appareil du second facteur de l'utilisateur. Si un attaquant vole un téléphone, il a toujours besoin de connaître le mot de passe.

En pratique, les canaux de livraison de 2FA varient considérablement en termes de sécurité réelle :

• OTP livré par SMS est l'option la plus faible parmi les solutions grand public. Les attaques par échange de SIM, l'interception SS7 et les compromissions côté opérateur peuvent tous rediriger le second facteur vers un attaquant.
• TOTP via une application authenticatrice (Google Authenticator, Aegis, 2FAS) est considérablement plus fort car le code est généré localement sur un appareil que l'attaquant ne possède pas.
• 2FA basée sur les notifications push (Duo, Microsoft Authenticator) est pratique mais sensible aux attaques de fatigue des notifications, où l'utilisateur approuve accidentellement une demande malveillante.
• Les clés matérielles (YubiKey, Feitian, SoloKey) constituent le second facteur le plus fort couramment disponible, offrant une résistance à l'usurpation d'identité via des défis cryptographiques liés à l'origine.

La 2FA n'est pas la même chose que l'MFA (authentification multifacteur), qui peut nécessiter trois facteurs ou plus. Dans l'usage courant, les termes sont souvent interchangeables. La 2FA est également distincte de la vérification en deux étapes, qui historiquement désignait des processus en deux étapes pouvant utiliser deux fois le même facteur (comme un mot de passe suivi d'un code envoyé par e-mail), bien que cette distinction se soit estompée dans l'usage moderne.

Malgré ses faiblesses, l'activation de la 2FA sur les comptes importants réduit considérablement le taux de réussite des attaques opportunistes. Les études du secteur rapportent régulièrement que la 2FA bloque bien plus de 99 % des tentatives d'usurpation d'identité par bourrage d'identifiants automatisé.