Il y a quelques jours, une amie a dû faire face à un problème de taille: quelqu’un s’est emparé de ses comptes Facebook et Twitter. Elle a finalement réussi à remettre la main dessus et a depuis décidé de les fermer à double tour. Comment a-t-elle fait pour s’assurer que cela ne reproduirait pas? En adoptant notamment l’authentification à deux facteurs.

Si vous n’avez absolument aucune idée de ce que peut être l’authentification à deux facteurs, ne paniquez pas. Commençons par une petite explication. La plupart du temps, quand vous vous connectez à votre compte Gmail, Facebook ou Twitter, il suffit de rentrer votre e-mail (ou votre pseudo) suivi de votre mot de passe pour vous connecter. Le problème, c’est que, si quelqu’un trouve votre mot de passe (ou que ce dernier n’est pas très complexe), rien ne l’empêche de prendre possession de votre compte. Vos e-mails étant souvent «la clé» pour accéder à tous les autres services (Facebook, Twitter…), il risque d’y avoir une sorte de réaction en chaîne. Rapidement, vous pouvez voir toute votre identité virtuelle s’effondrer devant vos yeux.

Car, une fois que quelqu’un a accès à cela, il lui suffit de se rendre sur Facebook –ou n’importe quel autre service–, et de faire une demande pour retrouver/modifier un mot de passe oublié. Puis d’attendre l’email de Facebook pour avoir accès à votre compte. Et ceci risque de marcher avec la totalité de vos autres comptes, s’ils sont reliés à la même adresse email (ce qui est souvent le cas).

L’idée consiste donc à barrer la route à toute personne qui voudrait faire ça en lui compliquant la tâche et en introduisant une nouvelle barrière en plus du mot de passe (aussi complexe soit-il): cela donne les deux fameux facteurs qu’il faut fournir au moment de la connexion. Attention, cela ne veut cependant pas dire que vous êtes hors d’atteinte.

Voici donc comment s’en sortir sur Google (et donc Gmail), mais aussi Facebook, Twitter et Instagram. L’authentification à deux facteurs demande peu d’efforts à mettre en place, et il en coûtera beaucoup plus à celui qui veut prendre le contrôle de vos comptes.

1.Google

Pour Google, cliquez sur ce lien et allez ensuite dans la partie «Connexion et sécurité». Descendez jusque dans la partie «Se connecter à Google», et dans le rectangle «Mot de passe et méthode de connexion», autorisez la validation en deux étapes. Après avoir à nouveau rentré votre mot de passe, vous allez tomber sur cette page.

Suivez les instructions, entrez votre numéro de téléphone et choisissez l’option SMS ou appels pour recevoir vos codes ensuite. Une fois terminée, vous devriez recevoir un e-mail de Google vous confirmant que vous venez d’activer la validation en deux étapes. Désormais, après avoir rentré votre mot de passe Google, vous tomberez sur une page de ce type, demandant un code envoyé à votre numéro de téléphone. Si vous vous connectez sur un appareil que vous utilisez régulièrement, vous pouvez cliquer sur le case «Ne plus me demander pour cet ordinateur», afin de ne pas avoir à re-rentrer votre combinaison email/mot de passe/code à chaque fois que vous quittez votre navigateur (Chrome/Firefox/Safari/Edge/Opera…).

Le petit problème maintenant, c’est que si vous n’avez plus accès à votre téléphone, et que vous devez vous connecter à votre compte sur un appareil où il n’est pas enregistré, cela risque d’être impossible. Google vous propose donc dix codes de secours que vous pouvez mémoriser (si vous êtes parano ou lanceur d’alerte –même si, dans ce cas-là, il vaut mieux changer d’hébergeur mail) ou les imprimer et les ranger quelque part où vous saurez les retrouver, en cas de problème. Vous pouvez également utiliser un numéro de téléphone secondaire pour cette deuxième étape.

2.Facebook

Sur Facebook, allez dans vos paramètres, puis cliquez sur l’onglet sécurité. Rendez-vous dans «approbations de connexion» et suivez les indications.

À la fin, vous devriez avoir quelque chose qui ressemble à ça:

Facebook vous envoie alors une confirmation par e-mail et vous pouvez alors faire un test en vous connectant dans une fenêtre de navigation privée, par exemple. Comme pour Google, vous pouvez utiliser des codes si vous n’avez pas votre téléphone sur vous.

On vous conseille par ailleurs de recevoir des alertes de connexion que le réseau social vous enverra par e-mail (ou téléphone) en plus des notifications. Pour cela, dans l’onglet sécurité de vos paramètres, cliquez sur «Alertes de connexion» (juste au-dessus) et demandez à recevoir des notifications sur Facebook et/ou par email. Vous pouvez également choisir d’en recevoir par téléphone.

3.Twitter

Pour Twitter, là encore, rendez-vous dans vos paramètres, puis dans l’onglet «Sécurité et confidentialité» et cochez la case «Vérifiez les demandes de connexion», si vous avez déjà rentré votre numéro de téléphone par le passé.

Sinon, Twitter va vous demander de le rentrer et ouvrira une pop-up pour vous indiquer que désormais vous devrez entrer un code reçu sur votre téléphone après avoir donné votre mot de passe.

Vous pouvez là aussi obtenir un code de secours –mais un seul– que vous pouvez garder quelque part, si vous venez à perdre votre téléphone.

4.Instagram

Chez Instagram, la possibilité d’utiliser l’authentification à deux facteurs date seulement de février 2016 (alors que le réseau social compte plus de 400 millions d’utilisateurs), mais ne semble cependant pas encore disponible pour tous (vérifiez cependant bien que votre application est à jour). Nous avons contacté le service pour plus de précisions sur ce décalage, mais n’avons pas encore eu de réponse.

Pour les chanceux qui y ont accès et veulent se rassurer quant à leur collection de photos, ce n’est pas très compliqué de l’activer. Dans l’application mobile, rendez-vous dans les paramètres, puis dans la catégorie «Compte», et appuyez sur «Authentification à deux facteurs» et activez l’option «Exigez un code de sécurité». Si vous n’avez pas déjà donné votre numéro de téléphone, l’application vous le demandera alors.

Instagram vous enverra ensuite un message pour confirmer cette activation (ainsi qu’un email) et une série de codes, au cas où vous veniez à perdre votre téléphone.

Pour les autres services, sachez que, très souvent, ils proposent une authentification à deux facteurs. Il suffit généralement de fouiller dans les paramètres de sécurité. Et si vous ne les trouvez pas, demandez à Google. En général, quelqu’un s’est déjà posé la même question, et avec un peu de chance, il existe déjà une réponse.