Photo :Franck / Unsplash

Quelles sont les meilleures applications de double authentification ?

Kevin
Kevin
Lecture : 7 min.

La double authentification est devenue un impératif pour sécuriser ses comptes en ligne. Le plus simple est d’utiliser une application mobile d’authentification 2FA. Cet article compare les meilleures applications, de Authy à Google Authenticator en passant par 2FAS.

Les meilleures applications de double authentification

1. Authy

Authy est probablement l’application mobile de double authentification la plus répandue, et s’est longtemps affichée comme une alternative de choix face à Google Authenticator.

Gratuite (mais pas open-source), elle est éditée par l’entreprise Twilio, qui agit dans le domaine du cloud et de la télécommunication.

Authy présente de sérieux atouts :

  • sauvegarde chiffrée et automatique des jetons de double authentification
  • synchronisation entre plusieurs périphériques
  • protection possible par mot de passe dans l’application

J’y vois surtout un avantage face à Google Authenticator : Authy est indépendant de votre compte Google (et donc de votre compte Gmail). Cela n’est pas forcément à négliger. L’adresse mail est en effet le clé de voute de sécurité des comptes. En effet, en cas de compromission de votre adresse mail, l’attaquant peut potentiellement réinitialiser tous vos mots de passe qui utilisent comme login cette adresse mail. La seule barrière restante est alors la double authentification activée sur ces comptes. Or si le compte Gmail devient compromis alors même qu’il possède les jetons de double authentification, ces derniers se retrouvent compromis par la même occasion.

En terme de sécurité, je recommande de paramétrer Authy de la manière suivante :

  • Installer idéalement l’application sur au moins 2 périphériques distincts (smartphone, tablette, etc.). En cas de panne d’un périphérique, cela permet d’avoir un autre périphérique avec Authy installé dessus
  • Désactiver ensuite le « allow multi-device » : personne ne pourra rajouter un autre périphérique (Authy utilisant notamment le numéro de téléphone, il serait possible en effet pour un pirate de récupérer vos jetons de double authentification par une attaque par SIM swap (qui consiste globalement à se faire passer pour vous, appeler votre opérateur mobile, et lui demander une nouvelle carte SIM suite à une soi-disant perte de la carte SIM actuelle)
  • Le jour où vous changez de smartphone, il faudra juste penser à réactiver l’option multi-device sur le téléphone existant le temps de faire la synchronisation sur le nouveau téléphone.
  • Gratuite
  • Sauvegarde automatique
  • Synchronisation multi-périphériques (avec gestion des périphériques)
  • Android, iOS
  • Pas open-source
  • Uniquement en anglais
  • Inscription via numéro de téléphone (ou email)

2. Google Authenticator

L’application de double authentification de Google est probablement la plus simple pour les utilisateurs novices.

Elle est également gratuite, mais bien évidemment pas open-source.

Le gros inconvénient de Google Authenticator était qu’elle ne permettait pas, par le passé, la sauvegarde et une utilisation multi-périphériques. Google a bien compris que cela était un frein pour les utilisateurs, puisqu’en cas de perte du smartphone, ou en cas de changement de smartphone, l’opération était un peu une galère pour migrer les jetons de double authentification.

Ce problème est désormais résolu, Google Authenticator permettant désormais une synchronisation des jetons 2FA par le cloud au travers du compte Google de l’utilisateur. Pour la simplicité d’utilisation, c’est vraiment très bien, mais avec une petite réserve néanmoins concernant la sécurité (voir paragraphe précédent : en cas de compromission de l’adresse Gmail, les jetons 2FA sont également compromis : toutes les barrières de sécurité se retrouvent ainsi compromises dans la même attaque). Dans tous les cas, il est préférable d’utiliser partout la double authentification même avec Google Authenticator, que de ne pas utiliser de double authentification.

Bien sûr, ce type d’application de la part de Google permet aussi à Google de renforcer sa collecte des données sur les utilisateurs, par la connaissance de ses comptes en ligne qu’il renseigne dans l’application.

  • Gratuite
  • Sauvegarde automatique (via le compte Google)
  • Synchronisation multi-périphériques
  • Android, iOS
  • Grande simplicité d’utilisation et disponible en français
  • Pas open-source
  • Absence des logos des sites web pour retrouver plus rapidement les jetons dans la liste des comptes
  • Inscription via le compte Google (pour des considérations de vie privée et données personnelles)

3. 2FAS

L’application de double authentification 2FAS a tout pour plaire. En effet, elle est open-source (et gratuite évidemment).

Vous l’aurez compris, elle s’oriente donc sur le respect de la vie privée de l’utilisateur. D’ailleurs, aucune inscription n’est requise pour l’utiliser.

Autre avantage à son actif : elle propose une extension pour navigateur internet, afin de l’utiliser sur ordinateur sans avoir besoin à rechercher un jeton 2FA sur son smartphone. Néanmoins, les jetons 2FA comportant entre 6 et 8 chiffres, cette fonction n’est pas indispensable, car il est facile de recopier sur l’ordi le jeton affiché sur son smartphone.

Il est également possible de synchroniser différents périphériques entre eux. L’application 2FAS propose en effet de passer par votre Google Drive pour réaliser cette synchronisation. Je trouve néanmoins un peu dommage de passer par le cloud de Google pour une application qui se veut respectueuse de la vie privée.

Il est également possible de sauvegarder (par export) les jetons 2FA, pour stocker la sauvegarde à l’endroit de son choix.

  • Gratuite
  • Open-source
  • Sauvegarde automatique (via Google Drive)
  • Possibilité de sauvegarde manuelle
  • Pas d’inscription nécessaire (ni mail ni numéro de téléphone
  • Disponible en français
  • Android, iOS
  • Extension de navigateur sur ordinateur
  • Pas grand chose à reprocher finalement (si ce n’est que les utilisateurs les plus débutants préfèreront probablement Google Authenticator pour sa plus grande facilité et l’intégration directe avec le compte Google)

Les applications de double authentification à éviter

Parmi les poids lourds restants, on peut citer Microsoft Authenticator.

En tant qu’acteur de 1er plan du numérique, Microsoft se devait aussi de proposer quelque chose en la matière (et récupérer des données personnelles au passage). Le problème avec Microsoft Authenticator, c’est qu’aussitôt installée, on a envie de la désinstaller tout de suite.

C’est tout simplement une usine à gaz. Microsoft s’est dit qu’ils allaient faire bien plus que gérer les jetons de double authentification, et au passage par exemple vous inciter à leur confier aussi vos mots de passe. C’est un peu dans la philosophie du nouvel Outlook en termes de collecte de données personnelles.

Parmi les autres applications existantes, on peut citer aussi Dashlane Authenticator. L’éditeur de gestionnaire de mots de passe avait créé une application de double authentification à part entière, mais a décidé récemment de l’arrêter.

Enfin, on peut citer l’application Duo (de Cisco), mais celle-ci s’adresse plutôt aux professionnels et entreprises, pour permettre à différents utilisateurs d’accéder à des jetons de sécurité communs (pour des comptes communs, etc.)

Tout savoir sur la double authentification

Qu’est-ce que la double authentification ?

La double authentification, aussi appelée authentification à deux facteurs (2FA), est un processus de vérification supplémentaire à l’identification normale (nom d’utilisateur et mot de passe) lors d’une connexion.

L’utilisateur doit ainsi fournir deux types distincts de données à sa connexion : ce qui est connu (un mot de passe) et ce qui est possédé (par exemple, un code SMS ou une clé USB).

Sur la majeure partie des sites, la double authentification prend la forme d’un code temporaire qui est généré en fonction de la date et heure précise (heure minute seconde). Une application de double authentification permet de générer ces codes temporaires.

Exemple de double authentification sur Microsoft : après avoir saisi un mot de passe, un 2nd facteur d’authentification est demandé. (Photo : Ed Hardie / Unsplash)

Pourquoi activer la double authentification ?

En complément d’un bon gestionnaire de mots de passe, la double authentification ajoute une couche supplémentaire de sécurité pour un pirate qui tenterait de se connecter au compte. Même si un pirate obtient votre mot de passe sur un compte (par exemple, grâce à une attaque par phishing, ou par une attaque par brute force), il ne pourra accéder à votre compte qu’en possédant également l’élément de double authentification.

L’activation de la double authentification est ainsi fortement recommandée dès lors qu’elle est proposée par un compte.

Si vous ne l’avez jamais fait jusqu’à présent, vous pouvez commencer par vos comptes les plus sensibles en termes de sécurité (mail, réseaux sociaux, comptes administratifs, bancaires, etc.).

Comment mettre en place la double authentification ?

Pas de secret, il faut se rendre sur chacun des comptes, généralement dans les options du compte, dans la rubrique sécurité.

Il suffit alors d’activer l’option lorsqu’elle est disponible :

  • le site demande de flasher un QR code à partir de l’application mobile
  • une fois flashé dans l’application, cette dernière génère les codes temporaires pour ce compte en fonction de la date et heure
  • le site demande la saisie du code temporaire, pour vérifier que tout s’est bien passé
  • enfin, le site fournit généralement des « codes de secours à usage unique » : stockez ces codes dans un endroit sûr, ils vous permettront d’accéder encore au compte si jamais vous perdez tout accès à votre application de double authentification (dans un scénario catastrophe par exemple : perte ou vol du périphérique, avec aucun autre périphérique synchronisé et impossibilité de se reconnecter sur l’application sur un nouveau périphérique)

Quelle application pour double authentification ?

La 1ère partie de l’article liste les meilleurs applications de double authentification à utiliser. Elles sont toutes gratuites.

Pour un utilisateur novice, Google Authenticator est l’application la plus simple à prendre en main, et permet des sauvegardes automatiques et synchronisation entre périphériques, directement à partir du compte Google de l’utilisateur.

Pour des utilisateurs plus avancés, Authy et 2FAS sont d’excellentes applications de double authentification. Authy n’est disponible qu’en anglais et non open-source, mais propose quelques fonctions de sécurité plus avancées que l’application de Google. 2FAS est open-source et français, elle est plus orientée sur le respect de la vie privée de l’utilisateur.

Au final, peu importe l’application que vous utiliserez, mais je vous recommande chaudement de mettre en place la double authentification sur vos comptes pour renforcer votre sécurité en ligne, si vous ne le faites pas déjà.

Sommaire [hide]
Kevin
Kevin
Fondateur et rédacteur de ce blog. Je suis un enthousiaste des nouvelles technologies et partage ici des conseils sur la high-tech au travers de guides d'achat, tests de produits et tutoriels.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici