En septembre 2016, un constat s’impose dans mon travail d’architecte: le mot de passe, tout seul, ne suffit plus. Les fuites de données s’accumulent, des millions de mots de passe traînent dans la nature, pis on apprend que beaucoup de gens réutilisent le même partout. L’identité demande maintenant une preuve de plus. C’est l’arrivée en force de l’authentification à deux facteurs.

L’idée est simple à expliquer. Prouver qui on est, ça repose sur trois catégories: quelque chose qu’on connaît (un mot de passe), quelque chose qu’on possède (un téléphone, une clé), pis quelque chose qu’on est (une empreinte). Le mot de passe seul, c’est une seule catégorie. Ajouter une deuxième preuve, c’est rendre le vol d’identité beaucoup plus dur.

Pourquoi une seule preuve ne tient plus

Le problème du mot de passe seul, c’est qu’une fois volé, il donne tout. Pis voler un mot de passe, en 2016, c’est devenu facile: hameçonnage, fuite de base de données, réutilisation. La deuxième preuve coupe l’attaque même quand le mot de passe est compromis.

flowchart TD
    A[Attaquant vole le mot de passe] --> B{2e facteur exige?}
    B -->|Non| C[Acces complet: c'est foutu]
    B -->|Oui| D[Il faut aussi le telephone]
    D --> E{L'attaquant a le telephone?}
    E -->|Non| F[Acces bloque malgre le mot de passe vole]
    E -->|Oui| G[Cas rare: attaque ciblee]

Ce que j’aime de cette approche, c’est son rapport coût-bénéfice. C’est un des gestes de sécurité les plus payants qui existent. Pour un effort modéré — entrer un code reçu sur son téléphone — on bloque l’immense majorité des attaques automatisées qui misent sur les mots de passe volés en lot. Pour protéger les accès de mes dealers, c’est une évidence.

Le frottement, le vrai enjeu

Mais comme toujours, je regarde le terrain. La sécurité parfaite qui rend l’usage insupportable se fait contourner. Si on demande une preuve de plus à chaque clic, les gens vont chercher des raccourcis dangereux, ou pire, abandonner.

Le point délicat, c’est aussi la récupération. Si quelqu’un perd son téléphone — sa deuxième preuve — il faut un chemin de retour sûr, sinon on se barre soi-même dehors. Mal pensé, ce chemin de récupération devient justement la porte que les attaquants visent. Mon travail, c’est d’équilibrer la solidité pis l’usage réel.

Ce que je retiens

En septembre 2016, l’identité demande une preuve de plus, pis c’est une bonne chose. Le mot de passe seul ne tient plus la route dans un monde où ils fuient par millions. L’authentification à deux facteurs est un des gestes de sécurité les plus payants: un effort modéré pour un gain énorme.

Mais comme architecte, je garde l’œil sur le frottement. Une sécurité qui paralyse l’usage se fait contourner pis devient inutile. Le bon dosage, c’est d’exiger la preuve supplémentaire aux moments qui comptent, de se souvenir des appareils de confiance, pis de prévoir une récupération solide. Protéger sans étouffer: c’est exactement le genre d’équilibre que j’aime trouver pour mes dealers.