La protection de l'authentification à deux facteurs peut devenir une porte qui vous enferme dans certaines situations.

L'authentification à deux facteurs renforce considérablement la sécurité du compte, c'est indéniable. Mais sa logique de conception exige que vous fournissiez un certificat d'authentification que vous seul pouvez obtenir lors de la connexion, généralement un code sur votre téléphone ou un code dynamique généré par une application d'authentification. Ce concept a un point de faiblesse caché. Si ce canal de vérification unique rencontre un problème, comme un téléphone perdu, l'absence de sauvegarde de l'application d'authentification lors d'un changement de téléphone, une carte SIM désactivée, ou si le téléphone lui-même est endommagé, votre accès au compte peut disparaître. Dans cette situation, la conception sécurisée de l'authentification à deux facteurs peut devenir un mécanisme qui vous garde à l'extérieur de votre compte. Les codes de secours existent précisément pour cette situation : ce sont des codes à usage unique générés lors de l'activation de l'authentification à deux facteurs sur votre compte. Ils servent de dernier certificat de connexion lorsque toutes les autres méthodes d'authentification sont inutilisables.

Comment fonctionnent les codes de secours?

La plupart des plateformes vous fourniront un ensemble de codes de secours lorsque vous activerez l'authentification à deux facteurs. Il s'agit généralement de huit à dix codes à usage unique, chaque code ne pouvant être utilisé qu'une seule fois et devenant invalide après utilisation. Lorsque votre méthode d'authentification principale n'est pas disponible, sélectionnez une autre méthode d'authentification ou l'option utilisant le code de secours sur la page de connexion, entrez l'un des codes de secours, et vous serez alors authentifié et pourrez accéder à votre compte. Après cette connexion, il est conseillé de vérifier immédiatement les paramètres de l'authentification à deux facteurs, de rétablir une méthode d'authentification principale fonctionnelle et de générer un nouvel ensemble de codes de secours pour remplacer ceux déjà utilisés.

Où trouver les codes de secours sur différentes plateformes?

Google Accédez à myaccount.google.com, sélectionnez Sécurité et trouvez la section des paramètres de l'authentification à deux facteurs. Faites défiler vers le bas pour trouver l'option des codes de secours et cliquez sur afficher ou générer les codes. Instagram Accédez aux paramètres, sélectionnez Compte, puis Authentification à deux facteurs, et trouvez l'option des codes de secours. Instagram fournit cinq codes de secours à huit chiffres. Facebook Accédez aux paramètres, sélectionnez Sécurité et connexion, trouvez les paramètres d'authentification à deux facteurs et dans cette section, trouvez l'option des codes de secours. Telegram Dans les paramètres d'authentification à deux facteurs de Telegram, il n'y a pas de codes de secours au sens traditionnel, mais vous pouvez définir une adresse e-mail de secours pour la réinitialisation si vous oubliez le mot de passe d'authentification à deux facteurs. Apple ID La fonction de clé de récupération d'Apple ID est similaire au concept de code de secours, mais une fois activée, Apple cesse de fournir d'autres aides à la récupération. Il est crucial de bien comprendre sa logique de conception avant de l'utiliser.

Infographie expliquant les moments d'utilisation des codes de secours et trois façons de les conserver en toute sécurité.

La question la plus importante concernant les codes de secours : où les conserver?

La manière de conserver les codes de secours doit satisfaire à deux conditions : ils devraient être accessibles lorsque vous en avez besoin, et ils ne doivent pas être stockés au même endroit que votre compte. Prendre une capture d'écran des codes de secours et la stocker dans l'album photo de votre téléphone est la méthode la plus courante, mais elle présente un problème évident : si votre téléphone est perdu ou endommagé, vous ne pourrez pas non plus accéder à vos codes de secours, et c'est précisément à ce moment-là que vous en aurez besoin. Stocker les codes de secours dans le service cloud du compte sur lequel vous vous connectez, par exemple en enregistrant les codes de secours Google sur Google Drive, ne vous permettra pas de les récupérer si vous ne pouvez pas vous connecter à votre compte. Une méthode de conservation plus fiable :

  • Imprimer et placer dans un endroit sûr physique, comme un dossier fixe à la maison
  • Les conserver dans un gestionnaire de mots de passe, qui est indépendant du compte protégé
  • Les conserver dans un autre compte de confiance auquel vous avez également accès, comme une autre adresse e-mail

Aucune méthode de conservation n'est parfaite, mais chacune est meilleure que de ne pas les conserver.

Les questions les plus courantes des utilisateurs concernant les codes de secours.

Que se passe-t-il si quelqu'un voit mon code de secours ? Doit-il être immédiatement régénéré ?

Les codes de secours sont essentiellement une série de certificats permettant de se connecter à votre compte. Si quelqu'un obtient votre code de secours et connaît également votre adresse e-mail et votre mot de passe du compte, il peut se connecter, et l'authentification à deux facteurs ne peut pas fournir de protection dans ce cas-là. Si vous pensez que votre code de secours a pu être vu par quelqu'un, la mesure la plus directe est de vous connecter immédiatement à votre compte, accéder aux paramètres de l'authentification à deux facteurs, annuler le code de secours existant et générer un nouveau code, rendant ainsi l'ancien code invalide. La sécurité des codes de secours est directement liée à la protection de leur emplacement de stockage. Ils devraient être considérés comme des certificats de la même importance que le mot de passe du compte.

Que faire si j'ai épuisé mes codes de secours ? Existe-t-il d'autres moyens d'accéder à mon compte ?

Une fois les codes de secours épuisés, vous devez passer par le processus de récupération de compte officiel de la plateforme, qui nécessite généralement de vérifier la propriété du compte via une adresse e-mail de secours, un appareil de confiance ou en soumettant des documents d'identification. La faisabilité du processus de récupération dépend de la validité des informations de récupération que vous avez fournies lors de la configuration de votre compte, ainsi que de la quantité d'informations pouvant prouver à quel compte vous appartenez. C'est aussi pourquoi il est tout aussi important de vérifier régulièrement que les informations de récupération de votre compte sont à jour, au même titre que de conserver les codes de secours. Les deux sont des mécanismes de sécurité complémentaires, non pas substitutifs.

Les gestionnaires de mots de passe peuvent-ils stocker les codes de secours ? Est-ce sécurisé ?

Absolument, et c'est l'une des pratiques largement acceptées par la communauté de la cybersécurité. Les gestionnaires de mots de passe offrent généralement des fonctionnalités de notes sécurisées ou de stockage de documents qui peuvent être utilisées pour conserver le contenu textuel des codes de secours. Cela dit, cette méthode est valable à condition que le gestionnaire de mots de passe dispose d'une protection par mot de passe principale suffisamment robuste et que la sécurité du compte lui-même soit en bon état. Il est important de noter une situation limite : si votre gestionnaire de mots de passe utilise également l'authentification à deux facteurs avec le même compte, et que celle-ci échoue, vous pourriez être confronté à un dilemme. Il est conseillé d'utiliser un mot de passe principal indépendant pour le gestionnaire de mots de passe qui ne dépend pas des méthodes d'authentification d'autres comptes, en faisant en sorte qu'il puisse servir de ressource de récupération en cas d'urgence pour d'autres comptes.

Un point clé : Les codes de sauvegarde sont souvent la partie la plus négligée du design de l'authentification à deux facteurs. La plupart des gens ne les enregistrent jamais après avoir activé l'authentification à deux facteurs, mais leur but est d'être utiles au moment où toutes les autres méthodes échouent.