Pages

18.10.16

Qu'est-ce que la validation en 2 étapes ? Et sa limite !

Validation en 2 étapes
L'utilisation frauduleuse d'un de vos comptes, des achats faits en votre nom, vous pouvez en être
immédiatement alerté et même refuser l'achat.

Et cela d'une façon très simple.

A condition d'avoir mis en place préventivement votre système de validation en 2 étapes.
...... et que le canal de vérification ne soit pas facilement piratable !

Qu'est-ce que c'est et comment faire ?

Qu'est-ce que la validation en 2 étapes ?


Le principe de la validation en 2 étapes consiste à utiliser 2 canaux différents pour valider une demande.

Par exemple : 
Vous achetez un billet de train.
Le site d'achat, si vous avez enregistré votre numéro de téléphone, va vous envoyer un code par SMS.
Augmenter votre sécurité facilement
Vous devrez inscrire ce code pour valider votre commande.

Ainsi les 2 canaux étant indépendants, ils se valident mutuellement.

A quoi s'applique la validation en 2 étapes ?


A tous les comptes qui l'ont adoptés.
Elle permet aussi d'être averti dès que quelqu'un se connecte à votre compte hors de votre appareil habituel.


Validité et limite de la protection


Cette protection, avec son double canal indépendant, peut être à la fois pratique et sûre.

Mais il faudra réagir immédiatement, si votre compte est piraté ou que vous vous êtes fait voler votre smartphone.
Il faudra demander immédiatement son blocage et changer les mots de passe de vos comptes

Pour résumer, voici une dernière présentation dans un tutoriel de FrAndroid :

SAUF QUE ..... aux dernières nouvelles, on ne pourrait plus compter sur le contrôle téléphonique !

La double identification fonctionne le plus souvent avec un envoi de SMS.

Or, comme alerte le fameux blogueur Korben "Rien qu’avec un numéro de téléphone, il est possible de hacker la plupart des comptes web de quelqu’un (Twitter, Facebook, Whatsapp…etc)"

Une faille déjà ancienne permet de détourner les SMS et appels vers un autre numéro, celui du fraudeur.
Celui-ci peut donc valider à votre place une commande ou une ré-initialisation de mot de passe.

Pour l'instant, on ne peut rien faire d'autre que douter de l'efficacité du contrôle par SMS.

Seul un contrôle par un autre mail, (sur une autre adresse ?) ou une application spécifique de contrôle (comme Google Authenticator) serait sûr.

Gageons que tous les acteurs, très intéressés au développement du commerce en ligne et de la sécurisation des échanges vont trouver rapidement un autre moyen pour valider et sécuriser nos communications....   qu'il faudra appliquer le plus rapidement possible !