/ Sécurité numérique / Authentification à deux facteurs (2FA) : pourquoi le SMS est-il moins sécuritaire qu’une application ?
Publié le 15 mars 2024

L’authentification par SMS (2FA), bien que populaire, est devenue une porte d’entrée risquée pour le vol d’identité au Québec en raison de sa vulnérabilité au piratage de carte SIM (SIM swapping).

  • Les applications d’authentification (comme Google Authenticator) génèrent des codes locaux sur votre téléphone, les rendant indépendantes du réseau cellulaire et donc beaucoup plus sûres.
  • Les clés de sécurité physiques (type YubiKey) offrent le plus haut niveau de protection, devenant une option accessible même pour les particuliers soucieux de leur sécurité.

Recommandation : Abandonnez dès aujourd’hui la 2FA par SMS pour vos comptes sensibles (bancaires, courriels, réseaux sociaux) et adoptez une application d’authentification dédiée pour une tranquillité d’esprit accrue.

Vous avez probablement déjà reçu ce message texte contenant un code à six chiffres pour vous connecter à votre compte bancaire ou à un réseau social. Ce processus, l’authentification à deux facteurs (2FA), est présenté comme le rempart ultime contre le piratage. Et pendant longtemps, il l’a été. L’idée est simple : même si un pirate vole votre mot de passe, il lui manque le deuxième facteur, votre téléphone, pour accéder à votre compte. Cette couche de sécurité supplémentaire est essentielle et bien meilleure que de n’utiliser qu’un simple mot de passe.

Cependant, le paysage de la cybersécurité évolue constamment. Les conseils d’hier ne sont plus les forteresses d’aujourd’hui. La méthode la plus répandue de 2FA, l’envoi d’un code par SMS, est désormais considérée par les experts comme la moins sécuritaire des options. Alors que nous sommes encouragés à activer la 2FA partout, peu d’entre nous prennent le temps de se demander si la méthode utilisée est la bonne. Cette question n’est plus réservée aux experts techniques; elle concerne chaque citoyen québécois soucieux de protéger son identité numérique.

Mais si la véritable clé n’était pas seulement d’activer la 2FA, mais de la considérer comme une forme d’hygiène numérique quotidienne ? Il ne s’agit pas d’ériger des murailles technologiques complexes, mais d’adopter des réflexes simples, accessibles et efficaces. Cet article va au-delà du simple constat « le SMS est dangereux ». Nous allons explorer concrètement *pourquoi* cette méthode est dépassée, quelles sont les alternatives robustes et pratiques adaptées à notre réalité québécoise, et comment vous pouvez, dès aujourd’hui, reprendre le contrôle de votre sécurité numérique sans devenir un expert en informatique.

Pour vous guider dans cette démarche, cet article est structuré pour répondre progressivement à toutes vos interrogations. Du choix d’une méthode de protection à la réaction en cas d’urgence, chaque section vous apportera des réponses claires et des actions concrètes.

Sommaire : Guide complet sur l’authentification à deux facteurs au Québec

YubiKey ou Google Titan : est-ce nécessaire pour un particulier non célèbre ?

Les clés de sécurité physiques, comme les YubiKey ou les Titan de Google, représentent le summum de la sécurité pour l’authentification. Elles fonctionnent comme une clé de maison numérique : pour entrer, il faut non seulement le mot de passe (la connaissance), mais aussi la clé physique (la possession). Contrairement aux SMS, elles sont immunisées contre l’hameçonnage et le piratage de carte SIM. L’efficacité de cette méthode est telle qu’après son déploiement, aucun des 85 000 employés de Google n’a été victime d’hameçonnage, une statistique qui parle d’elle-même.

Pendant longtemps, ces dispositifs étaient perçus comme des outils réservés aux développeurs, aux journalistes ou aux politiciens. Cependant, leur démocratisation est en marche. Au Québec, l’initiative de l’Université de Sherbrooke, qui a intégré ces clés dans la gestion des accès pour son personnel, montre que leur pertinence s’étend bien au-delà des géants de la tech. Pour un particulier, la question se pose : est-ce excessif ? La réponse dépend de votre profil de risque. Si vous gérez des actifs financiers importants, détenez des informations sensibles ou êtes simplement très soucieux de votre vie privée, investir 30 à 70$ dans une clé physique est une tranquillité d’esprit à faible coût.

Pour vous aider à y voir plus clair, voici une comparaison des options les plus populaires disponibles au Canada. Il est important de noter que toutes ne sont pas compatibles avec tous les appareils, notamment les iPhones plus anciens qui peuvent nécessiter des adaptateurs.

Comparaison des clés de sécurité physiques disponibles au Canada
Modèle Prix CAD Compatibilité Disponibilité au Canada
Google Titan USB-C/NFC 45-55 $ Android, iOS, Chrome Google Store Canada
YubiKey 5C NFC 70-85 $ Multi-protocoles FIDO2 Amazon.ca, revendeurs
YubiKey 5 NFC 60-75 $ USB-A + NFC Best Buy, Amazon.ca

L’adoption d’une clé physique est l’étape ultime, mais une application d’authentification reste une amélioration massive par rapport au SMS. Le plus important est de franchir le pas et de délaisser la méthode la moins sécuritaire.

Où stocker vos codes de récupération 2FA pour ne jamais perdre l’accès à votre compte Google ?

Lorsque vous activez une méthode de 2FA robuste comme une application, le système vous fournit une série de codes de récupération à usage unique. Ces codes sont votre filet de sécurité ultime : ils vous permettront de regagner l’accès à votre compte si vous perdez votre téléphone. La question cruciale devient alors : où stocker ces codes, qui sont littéralement les clés de votre royaume numérique ? Les laisser sur votre bureau ou dans un fichier non chiffré sur votre ordinateur est une très mauvaise idée.

La stratégie idéale repose sur le concept de redondance sécurisée : avoir plusieurs copies dans des lieux différents et sous des formes variées. Il ne s’agit pas de complexifier les choses, mais de se prémunir contre tout type d’incident (vol, incendie, perte). Pensez-y comme à un plan de secours pour votre identité numérique.

Vue macro d'une clé USB sécurisée et d'une plaque métallique gravée pour les codes de récupération

Comme le suggère cette image, combiner des solutions numériques et physiques est la meilleure approche. Voici une stratégie en plusieurs étapes, pensée pour le contexte québécois :

  • Le coffre-fort numérique : Utilisez un gestionnaire de mots de passe réputé et chiffré, comme 1Password (une entreprise canadienne) ou Bitwarden. Créez une note sécurisée pour y stocker les codes de récupération de chaque service. C’est votre copie la plus accessible.
  • La copie papier sécurisée : Imprimez ces codes et placez-les dans un lieu physiquement sûr, comme un coffre-fort à la maison ou, pour un niveau de sécurité supérieur, un coffret de sûreté dans une institution financière de confiance comme une Caisse Populaire Desjardins.
  • La redondance géographique : Pour parer à un sinistre local (incendie, inondation), confiez une copie papier, dans une enveloppe scellée, à un membre de votre famille de confiance vivant dans une autre ville ou, idéalement, une autre province.
  • La planification successorale : Mentionnez l’existence et l’emplacement de ces codes (sans les révéler) dans des instructions laissées à votre notaire ou dans votre testament. Cela facilitera la gestion de votre patrimoine numérique par vos héritiers, conformément aux lois québécoises.

En diversifiant les lieux et les formats de stockage, vous vous assurez de ne jamais être pris au dépourvu. C’est un petit effort d’organisation pour une immense tranquillité d’esprit.

Comment imposer le MFA à vos employés sans provoquer une révolte au bureau ?

Pour une entreprise québécoise, l’authentification multifacteur (MFA) n’est plus une option, mais une nécessité. Avec l’entrée en vigueur de la Loi 25 sur la protection des renseignements personnels, les organisations ont la responsabilité de mettre en place des mesures de sécurité robustes pour protéger les données de leurs clients et employés. Ne pas le faire expose à des sanctions sévères et à des risques de réputation importants.

Comme le souligne un guide de la Commission d’accès à l’information du Québec, l’instance qui supervise l’application de la loi, l’implantation du MFA est une mesure de diligence raisonnable. Dans ce contexte, la question n’est plus « faut-il le faire ? », mais « comment le faire accepter ? ».

L’implantation du MFA est une mesure de ‘diligence raisonnable’ pour éviter des sanctions selon la Loi 25.

– Commission d’accès à l’information du Québec, Guide sur la protection des renseignements personnels

Imposer un changement, même bénéfique, peut générer des frictions. La clé du succès réside dans une approche progressive, pédagogique et axée sur les bénéfices. Voici un plan de déploiement en plusieurs étapes, adapté à la culture de travail québécoise :

  • Phase de communication (Semaines 1-2) : Organisez des communications claires et bilingues (français/anglais) pour expliquer le « pourquoi » avant le « comment ». Mettez l’accent sur les exigences de la Loi 25, mais aussi sur la protection des données personnelles des employés eux-mêmes.
  • Phase de formation (Semaines 3-4) : Proposez des sessions de type « lunch and learn » (dîner-conférence), offertes par l’employeur. Faites des démonstrations pratiques sur comment installer et utiliser une application d’authentification. Rendez l’expérience concrète et simple.
  • Phase pilote (Semaines 5-6) : Identifiez des employés volontaires et à l’aise avec la technologie pour devenir des ambassadeurs du projet. Leur expérience positive et leur soutien à leurs collègues seront plus efficaces que n’importe quelle directive de la direction.
  • Phase de déploiement (Semaines 7+) : Procédez au déploiement par département, en assurant un support technique dédié et accessible en français. Célébrez les étapes franchies et restez à l’écoute des retours pour ajuster le processus.

En transformant une obligation légale en un projet d’amélioration collective, vous augmenterez l’adhésion et renforcerez la culture de sécurité de toute l’entreprise.

Face ID ou empreinte : quelle méthode est la plus difficile à falsifier sur un téléphone ?

La biométrie a transformé la sécurité de nos téléphones, rendant l’accès plus rapide et, en théorie, plus sûr qu’un simple code. Mais entre la reconnaissance faciale (comme Face ID d’Apple) et le lecteur d’empreintes digitales (Touch ID), laquelle offre la meilleure protection ? La réponse est nuancée et dépend de plusieurs facteurs, y compris le contexte très spécifique de l’hiver québécois.

Sur le plan purement technique, Face ID possède un avantage statistique. Apple revendique un taux de fausse acceptation de 1 sur 1 000 000, contre 1 sur 50 000 pour Touch ID. Cela signifie qu’il est statistiquement 20 fois plus difficile de tromper Face ID avec un visage aléatoire qu’un lecteur d’empreinte avec un doigt aléatoire. Cependant, les deux technologies sont extrêmement difficiles à contourner pour un voleur ordinaire.

Le véritable différenciateur au Québec apparaît en hiver. Des tests informels menés en conditions hivernales de -20°C montrent que Face ID conserve une excellente efficacité, même avec une tuque et un foulard, tandis que les capteurs d’empreintes peinent avec des doigts froids, secs ou gantés. Beaucoup d’utilisateurs finissent par taper leur code, annulant le bénéfice de la biométrie. C’est un parfait exemple où le confort d’utilisation influence directement le niveau de sécurité réel.

Le tableau suivant résume les forces et faiblesses de chaque méthode dans le contexte canadien, en incluant une protection souvent sous-estimée : votre propre mémoire.

Comparaison de la sécurité biométrique dans le contexte canadien
Méthode Taux de fausse acceptation Efficacité en hiver québécois Protection légale au Canada
Face ID (iPhone) 1 sur 1 000 000 Fonctionne avec tuque/foulard Peut être contraint par la police
Touch ID (empreinte) 1 sur 50 000 Difficile avec gants/doigts gelés Peut être contraint par la police
Code PIN mémorisé Variable Toujours fonctionnel Protection contre l’auto-incrimination

Un point légal crucial au Canada est à noter : les forces de l’ordre peuvent vous contraindre physiquement à déverrouiller votre téléphone avec votre visage ou votre doigt. En revanche, vous ne pouvez être forcé de révéler votre code PIN, qui est protégé par le droit contre l’auto-incrimination. En fin de compte, la méthode la plus sûre est celle que vous utiliserez systématiquement, mais connaître ces nuances permet de faire un choix éclairé.

L’erreur d’accepter une notification de connexion que vous n’avez pas demandée

Une nouvelle forme d’attaque, aussi simple qu’insidieuse, gagne en popularité : la fatigue par notification, ou « MFA Fatigue ». Le scénario est le suivant : un pirate a déjà obtenu votre mot de passe (via une fuite de données ou de l’hameçonnage). Il tente alors de se connecter à votre compte, ce qui déclenche une notification 2FA sur votre téléphone vous demandant « Approuver cette connexion ? ». Le pirate ne s’arrête pas là : il va déclencher cette notification en boucle, parfois des dizaines de fois en quelques minutes, espérant vous lasser.

Dans un moment d’inattention, de frustration ou en pensant à un simple bogue, vous pourriez cliquer sur « Approuver ». C’est tout ce dont le pirate a besoin. Il a désormais le contrôle total de votre compte. Cette technique de harcèlement psychologique exploite notre lassitude face aux alertes constantes. Les statistiques sur les fraudes par usurpation au Canada, bien que ne ciblant pas uniquement cette méthode, montrent l’ampleur du problème de l’ingénierie sociale; une enquête a recensé plus de 24 000 cas de fraudes par usurpation téléphonique entre 2019 et 2020.

Vue minimaliste d'un bureau avec plusieurs appareils montrant des notifications de sécurité

Face à ce « bombardement MFA », le seul bon réflexe est la vigilance. Chaque notification de connexion doit être traitée comme une alerte de sécurité critique. Si vous recevez une demande de connexion que vous n’avez pas initiée, voici le plan d’action immédiat à suivre :

  • Refusez systématiquement : N’approuvez jamais, au grand jamais, une connexion que vous n’avez pas sollicitée vous-même à l’instant T.
  • Changez votre mot de passe : Le fait même de recevoir cette alerte signifie que votre mot de passe est compromis. Changez-le immédiatement pour le service concerné.
  • Signalez l’incident : Contactez le Centre antifraude du Canada (1-888-495-8501) pour signaler la tentative d’intrusion.
  • Contactez votre banque : Si le compte visé est lié à vos finances, appelez sans délai le service de sécurité de votre institution (par exemple, Desjardins au 1-514-397-4610) pour les avertir.
  • Renforcez votre 2FA : Profitez-en pour passer à une méthode plus forte, comme une application d’authentification ou une clé de sécurité, si ce n’est pas déjà fait.

Votre première ligne de défense contre cette attaque n’est pas technologique, mais psychologique : ne jamais céder à la fatigue et traiter chaque alerte avec le plus grand sérieux.

Pourquoi ignorer ces 3 notifications de connexion est dangereux pour votre sécurité physique ?

Une notification de connexion suspecte sur votre téléphone peut sembler n’être qu’un problème numérique abstrait. Pourtant, l’ignorer ou la sous-estimer peut avoir des conséquences très concrètes et dangereuses pour votre sécurité physique. Un compte piraté peut devenir une fenêtre ouverte sur votre vie réelle pour des individus malveillants.

Étude de cas : Surveillance et cambriolage à Brossard

Un cas documenté à Montréal en 2023 illustre ce danger de manière glaçante. Des cambrioleurs ont réussi à pirater le compte Google d’une famille de Brossard. En accédant à l’historique de localisation de Google Maps, ils savaient précisément quand les membres de la famille quittaient le domicile et pour combien de temps. Forts de ces informations, ils ont pu cambrioler la maison à trois reprises en toute quiétude avant que le Service de police de l’agglomération de Longueuil n’arrête le groupe. Les notifications de connexion suspectes avaient été ignorées, considérées comme de simples bogues, comme le rapporte une analyse des techniques de piratage modernes.

Ce n’est qu’un exemple. Voici trois types de notifications de connexion qui devraient déclencher une alarme immédiate, car elles représentent un risque physique direct :

  1. Votre compte de covoiturage (Uber, Eva) : Un pirate qui accède à votre compte peut non seulement effectuer des trajets à vos frais, mais aussi utiliser votre identité pour se déplacer lors d’activités criminelles. Plus inquiétant, il peut voir votre historique de trajets, révélant votre domicile, votre lieu de travail et vos habitudes.
  2. Vos caméras de sécurité et domotique (Ring, Arlo, Google Nest) : C’est peut-être le risque le plus direct. Un accès à vos caméras permet à un cambrioleur de surveiller votre maison, de savoir qui est présent, d’étudier la disposition des lieux et même de désactiver les alarmes avant de passer à l’acte.
  3. Vos comptes de livraison de nourriture ou de magasinage (Uber Eats, Amazon) : Un pirate peut facilement obtenir votre adresse de domicile. Combiné à des informations glanées sur vos réseaux sociaux (par exemple, un message annonçant que vous partez en vacances), cela devient un signal clair que votre domicile est vide.

Chaque compte connecté est une pièce du puzzle de votre vie. Ne laissez jamais un pirate les assembler. Une notification suspecte n’est pas un désagrément, c’est un avertissement que votre sécurité physique pourrait être en jeu.

Empreinte, visage ou iris : quelle biométrie est la plus hygiénique en période de virus ?

La pandémie de COVID-19 a profondément modifié notre rapport à l’hygiène et au contact physique. Cette prise de conscience s’étend désormais au domaine de la technologie, notamment aux dispositifs de sécurité que nous touchons quotidiennement. Le choix d’une méthode d’authentification biométrique n’est plus seulement une question de sécurité ou de commodité, mais aussi de santé.

De ce point de vue, les méthodes sans contact ont un avantage écrasant. Les directives de santé publique québécoises post-pandémie sont claires : les solutions qui évitent le contact physique sont à privilégier pour limiter la transmission d’agents pathogènes. Une étude indique même que, dans les lieux publics, les méthodes sans contact réduisent de 90% le risque de transmission virale par rapport aux surfaces partagées.

Dans ce contexte, la hiérarchie est simple :

  • Niveau d’hygiène le plus élevé : La reconnaissance de l’iris et la reconnaissance faciale (Face ID) sont les championnes. Elles ne nécessitent aucun contact physique, éliminant ainsi le risque de contamination croisée.
  • Niveau d’hygiène intermédiaire : Le lecteur d’empreintes digitales, qu’il soit sur l’écran ou à l’arrière du téléphone, nécessite un contact direct. S’il s’agit de votre téléphone personnel, le risque est faible. Mais en entreprise, sur une pointeuse biométrique partagée par des dizaines d’employés, cela devient une surface à haut risque.

Même avec des appareils personnels, une bonne hygiène numérique et physique est recommandée. Voici quelques gestes simples à adopter :

  • Nettoyage du téléphone : Utilisez régulièrement des lingettes contenant au moins 70% d’alcool isopropylique (disponibles dans les pharmacies comme Jean Coutu ou Pharmaprix) pour désinfecter votre appareil, en insistant sur la zone du capteur d’empreintes.
  • Capteurs sans contact : Pour Face ID ou la reconnaissance de l’iris, un simple nettoyage de la caméra frontale avec un chiffon en microfibre suffit pour garantir son bon fonctionnement.
  • En entreprise : Si votre lieu de travail utilise des pointeuses à empreinte digitale, la direction devrait installer des distributeurs de désinfectant pour les mains juste à côté et encourager leur utilisation avant et après chaque pointage.

En fin de compte, la commodité de Face ID en hiver québécois s’aligne parfaitement avec les meilleures pratiques d’hygiène, en faisant un choix doublement judicieux dans notre contexte local.

À retenir

  • L’authentification par SMS est une méthode dépassée et vulnérable ; la remplacer par une application dédiée est la première étape essentielle pour sécuriser vos comptes.
  • La gestion des codes de récupération est aussi importante que la méthode 2FA elle-même ; une stratégie de stockage redondante (numérique et physique) est vitale.
  • Les notifications de connexion suspectes ne sont pas des bogues, mais des alertes critiques qui peuvent signaler un risque pour votre sécurité numérique et même physique.

Vol d’identité : que faire dans les 24 premières heures pour limiter les dégâts financiers ?

Le vol d’identité est l’un des crimes les plus anxiogènes de l’ère numérique. Si vous suspectez que vos informations personnelles ont été compromises, que ce soit par le piratage d’un compte ou la perte de votre portefeuille, le temps est votre pire ennemi. Les 24 premières heures sont absolument cruciales pour contenir les dégâts et reprendre le contrôle. Agir vite et méthodiquement peut faire la différence entre un simple désagrément et une catastrophe financière.

Le cas de la fuite de données massive chez Desjardins a servi d’électrochoc au Québec, mettant en lumière la rapidité avec laquelle une situation peut dégénérer. Il a aussi établi un standard de réponse, montrant l’importance de contacter immédiatement les agences de crédit et les institutions financières. Ne paniquez pas, mais agissez. Suivez cette checklist d’urgence, spécifiquement conçue pour le contexte québécois, en respectant l’ordre des priorités.

Votre plan d’action d’urgence en 24h au Québec

  1. Heures 0-1 (Agences de crédit) : C’est l’action la plus importante. Contactez les deux principales agences de crédit au Canada, Equifax (1-800-465-7166) et TransUnion (1-877-713-3393), pour placer une alerte à la fraude sur votre dossier. Cela obligera les prêteurs à prendre des mesures supplémentaires pour vérifier votre identité avant d’accorder un nouveau crédit.
  2. Heures 1-3 (Institutions financières) : Appelez immédiatement votre banque principale, votre caisse (ex: Desjardins au 1-514-397-4610) et vos compagnies de cartes de crédit. Signalez la fraude potentielle, demandez le gel de vos comptes et l’annulation de vos cartes.
  3. Heures 3-6 (Police) : Déposez une plainte auprès de votre service de police local (SPVM à Montréal, SPVQ à Québec, Sûreté du Québec en région). Obtenez un numéro de dossier. Ce rapport officiel sera indispensable pour vos démarches futures avec les créanciers et les assureurs.
  4. Heures 6-12 (Autorités Fédérales) : Signalez le vol d’identité au Centre antifraude du Canada (1-888-495-8501). Remplissez également leur formulaire de signalement en ligne pour documenter l’incident.
  5. Heures 12-24 (Papiers d’identité) : Si des pièces d’identité physiques ont été volées, contactez les organismes émetteurs : Service Canada pour votre Numéro d’Assurance Sociale (NAS), la SAAQ pour votre permis de conduire, et Passeport Canada.

Documentez absolument tout : notez les dates, les heures, les noms des personnes à qui vous avez parlé et les numéros de référence. Cette rigueur sera votre meilleure alliée pour résoudre la situation.

Pour protéger efficacement votre avenir financier et votre tranquillité d’esprit, l’étape suivante consiste à auditer et renforcer dès aujourd’hui la sécurité de vos comptes les plus importants. N’attendez pas une alerte pour agir.

Questions fréquentes sur l’authentification à deux facteurs

Que faire si je reçois une notification de connexion Uber/Eva que je n’ai pas initiée?

Refusez immédiatement, changez votre mot de passe, vérifiez l’historique des trajets et contactez le support client. Un pirate pourrait commander des courses à votre nom pour des activités illégales.

Comment les pirates utilisent-ils les caméras Ring/Arlo piratées?

Ils peuvent désactiver les alarmes avant un cambriolage, espionner vos habitudes ou même parler à travers les haut-parleurs pour du harcèlement.

Puis-je être tenu responsable d’activités criminelles via mon compte piraté?

Au Canada, vous devez prouver que vous n’étiez pas l’auteur. Documentez immédiatement tout piratage avec une plainte policière pour vous protéger légalement.

Rédigé par Marc-André Cloutier, Expert en cybersécurité et conformité numérique, certifié CISSP et CISA, avec 12 ans d'expérience auprès des PME québécoises. Il est spécialisé dans l'audit de réseaux, la protection des données selon la Loi 25 et la sécurisation des objets connectés (IoT).
Loi 25 au Québec : pourquoi votre PME risque 10 millions $ d’amende sans ce document ?
Dernières publications
Caméras dans les lieux publics : sommes-nous trop surveillés ou pas assez protégés au Québec ?
Trousse 72 heures : qu’est-ce qui vous a manqué le plus lors de la crise du verglas (et qu’il faut avoir maintenant) ?
Parents-Secours et surveillance de quartier : ces programmes existent-ils encore et sont-ils efficaces ?
911, 811 ou 311 : quel numéro composer pour une urgence non vitale au Québec ?
Le Québec est-il sécuritaire : comparaison des taux de criminalité avec les autres provinces canadiennes ?
Articles similaires
Vol d’identité au Québec : le plan d’action en 24h pour stopper l’hémorragie financière
Pare-feu matériel ou logiciel : lequel est indispensable pour une entreprise de moins de 10 employés ?
Pourquoi vos employés sont-ils la plus grande faille de sécurité de votre entreprise ?
Rançongiciel : devez-vous payer les pirates si toutes vos données sont chiffrées ?