Qu'est ce que l'authentification a deux facteurs (2FA) ?

L authentification a deux facteurs (2FA) est un processus de connexion qui exige deux preuves d identite independantes avant d accorder l acces a un compte. Le premier facteur est generalement quelque chose que l utilisateur sait (un mot de passe). Le second facteur est quelque chose que l utilisateur possede (un smartphone avec une application TOTP, une cle de securite materielle comme YubiKey, un code SMS, une notification push) ou quelque chose que l utilisateur est (empreinte digitale, scan du visage). Meme si un attaquant vole le mot de passe via phishing, fuite de donnees ou credential stuffing, il ne peut pas se connecter sans controler aussi le second facteur. Google a publie en mai 2019 que l ajout d un numero de recuperation bloque 100 pour cent des attaques bot, 99 pour cent du phishing de masse et 90 pour cent des attaques ciblees. Microsoft a publie en 2019 que les comptes utilisant la 2FA sous n importe quelle forme sont 99,9 pour cent moins susceptibles d etre compromis.

Comment fonctionne la 2FA ?

L utilisateur saisit identifiant et mot de passe. Le serveur valide puis demande le second facteur via :

• TOTP : code a 6 chiffres qui change toutes les 30 secondes (RFC 6238, 2011). Apps : Google Authenticator, Microsoft Authenticator, Authy, 1Password, Bitwarden.
• Notification push : Duo Mobile, Microsoft Authenticator, Okta Verify.
• SMS : pratique mais vulnerable au SIM swap. NIST SP 800 63B Rev 3 deconseille.
• E-mail : code a une adresse verifiee.
• Cle materielle : YubiKey, Google Titan, Feitian, Nitrokey (FIDO U2F ou WebAuthn / FIDO2).
• Biometrie : empreinte, visage, iris via Touch ID, Face ID, Windows Hello.
• Codes de secours : codes uniques imprimes au setup.

Difference entre 2FA et MFA

MFA est le terme generique. 2FA est exactement deux facteurs. PSD2 (banques) et l Executive Order 14028 (mai 2021, federal US) exigent parfois trois facteurs.

Quelle methode 2FA est la plus sure ?

1. Passkeys / WebAuthn / FIDO2 materiel : resistant au phishing par construction. Recommande par CISA, NIST, Google.
2. Apps TOTP : solide, hors ligne, gratuit. Risque : phishing en temps reel.
3. Push : risque MFA fatigue. Incident Uber 2022.
4. SMS : SIM swap. Victimes comme Jack Dorsey (aout 2019).
5. E-mail : aussi solide que la boite aux lettres.

Que sont les Passkeys ?

Evolution sans mot de passe de WebAuthn, normalisee par la FIDO Alliance, supportee par Apple (iOS 16, septembre 2022), Google (Chrome 108, octobre 2022) et Microsoft (Windows 11). Cle privee dans un enclave securise (Apple Keychain, Google Password Manager, Windows Hello). Login par biometrie, immunise contre le phishing. WordPress via plugins comme Two Factor ou Passkeys for WordPress (2024).

Comment activer la 2FA dans WordPress ?

• Two Factor (gratuit, plus de 40 000 installations) : TOTP, e-mail, FIDO U2F, codes de secours.
• Wordfence Login Security (gratuit) : TOTP, reCAPTCHA.
• WP 2FA de Melapress : forcer par role.
• miniOrange Google Authenticator.
• Jetpack via compte WordPress.com.

Etapes avec Two Factor :

1. Installer et activer le plugin.
2. Ouvrir Utilisateurs » Profil et trouver Two Factor Options.
3. Activer TOTP, scanner le QR, entrer le code.
4. Activer les codes de secours, imprimer.
5. Optionnel : enregistrer une YubiKey.
6. Se deconnecter et tester.

MFA fatigue

• TOTP ou cles materielles pour les comptes critiques.
• Activer number matching (Microsoft Authenticator depuis fevrier 2023).
• Verrouiller apres plusieurs refus.
• Former les utilisateurs.

Standards de 2FA

Erreurs frequentes

• Stocker les codes de secours dans le meme gestionnaire que le mot de passe.
• Meme SIM pour SMS 2FA et e-mail de recuperation.
• Pas de seconde cle materielle de secours.
• Reset de mot de passe par e-mail sans 2FA.
• 2FA non obligatoire pour les administrateurs WordPress.

Comment InspectWP aide pour la 2FA ?

InspectWP detecte si un site WordPress expose /wp-login.php sans defi 2FA visible.