Le courrier électronique est l'un des moyens les plus utilisés pour partager des données entre professionnels. C'est pourquoi les pirates informatiques sont également devenus des experts en matière de récupération de données en violant la sécurité du courrier électronique. Le problème se pose lorsque les entreprises n'accordent pas beaucoup d'attention à la mise à jour de leurs méthodes de sécurité du courrier électronique et finissent par se faire escroquer. L'authentification multifactorielle par courriel est une méthode qui permet d'authentifier un utilisateur en utilisant plus d'une méthode. Elle est couramment utilisée pour sécuriser les opérations bancaires en ligne et d'autres transactions financières, mais elle est également utile pour tout ce qui nécessite une connexion sécurisée à laquelle il est impossible d'accéder avec le seul mot de passe.
Comme l'indique le Internet Crime Reporten 2020, 19 369 plaintes ont été déposées au sujet du Business Email Compromise (BEC). Elles ont entraîné des pertes ajustées dépassant 1,8 milliard de dollars.
L'authentification à deux facteurs est conçue pour sécuriser les comptes de messagerie en ajoutant une couche de sécurité au nom d'utilisateur et au mot de passe. La deuxième couche de sécurité peut être une empreinte digitale, un code ou un jeton de sécurité. Il existe plusieurs types de systèmes d'authentification multifactorielle - certains utilisent l'authentification à deux facteurs tandis que d'autres déploient une approche multicouche de la vérification de l'expéditeur - mais ils ont tous un point commun : ils sont conçus pour s'assurer que seuls les utilisateurs autorisés peuvent accéder au service qu'ils tentent de fournir.
Voici un guide qui explique comment mettre en place l'authentification à deux facteurs pour les e-mails et pourquoi il est important de sécuriser vos comptes.
Points clés à retenir
- La sécurité du courrier électronique est primordiale en raison de l'évolution des menaces telles que le Business Email Compromise (BEC), qui coûte des milliards par an.
- L'authentification multifactorielle (MFA), y compris l'authentification à deux facteurs (2FA), renforce considérablement la sécurité en exigeant plusieurs facteurs de vérification (par exemple, quelque chose que vous savez, quelque chose que vous avez, quelque chose que vous êtes).
- Les méthodes MFA/2FA les plus courantes sont les codes SMS, les applications d'authentification (comme Google Authenticator), la biométrie et les jetons matériels, qui offrent des niveaux de sécurité et de commodité variés.
- La mise en œuvre de MFA/2FA est cruciale sur les principales plateformes telles que Gmail, Microsoft 365 et Zoho Mail, avec des étapes de configuration spécifiques pour chacune d'entre elles.
- La combinaison du MFA/2FA avec des protocoles d'authentification des courriels tels que DMARC offre une protection complète contre les accès non autorisés, le phishing et l'usurpation de domaine.
Qu'est-ce que l'authentification à deux facteurs ?
L'authentification multifactorielle (AMF) est une mesure de sécurité qui exige plus qu'un simple mot de passe pour accéder à un appareil ou à un système, en vérifiant l'identité de l'utilisateur à l'aide d'au moins deux formes d'identification différentes. L'authentification à deux facteurs (2FA) est un type spécifique d'AMF, une méthode de sécurité du courrier électronique qui exige des utilisateurs qu'ils fournissent deux facteurs d'authentification différents pour vérifier leur identité. Elle est utilisée pour renforcer la sécurité du courrier électronique en plus d'un mot de passe fort. Elle ajoute un code généré de manière aléatoire au processus de connexion, que vous devez ajouter à chaque fois avant de vous connecter à votre compte. Dans la plupart des cas, il s'agit d'un élément physique, comme un numéro de téléphone ou une empreinte digitale (quelque chose que vous avez ou que vous êtes), mais aussi d'un élément numérique, comme un jeton qui stocke des informations dans une application sur votre téléphone (comme Google Authenticator). Il est également utilisé pour l'authentification dans les situations où le mot de passe de l'utilisateur est compromis, par exemple dans le cadre d'attaques par hameçonnage.
Une fois le code activé, vous pouvez accéder à vos comptes de messagerie en le saisissant. Cette authentification à deux facteurs protège vos comptes de messagerie associés ainsi que d'autres applications. Même si quelqu'un d'autre connaît votre mot de passe, il ne peut pas se connecter sans le code.
Simplifiez l'authentification à deux facteurs avec PowerDMARC !
Fonctionnement de l'authentification à deux facteurs (2FA)
Voici comment fonctionne généralement le 2FA :
- La première chose à faire est de saisir votre nom d'utilisateur et votre mot de passe. Il s'agit de la forme d'authentification la plus courante. Elle implique quelque chose que l'utilisateur connaît.
- Une fois le nom d'utilisateur et le mot de passe saisis et vérifiés, le système demande un deuxième facteur. Il s'agit généralement d'un élément que l'utilisateur possède (comme un téléphone recevant un message texte ou une notification push, ou un jeton matériel) ou d'un élément que l'utilisateur est (comme une empreinte digitale ou un balayage du visage).
- Choisissez la méthode qui vous semble la plus appropriée. Saisissez ensuite le code de votre téléphone, le jeton matériel ou approuvez la notification push. Si le mot de passe et le deuxième facteur sont tous deux corrects, le système accorde l'accès à l'utilisateur. Dans la plupart des cas, vous devrez utiliser deux formes de vérification différentes pour compléter l'inscription ou la connexion.
Méthodes 2FA courantes
Voici quelques méthodes courantes utilisées pour le 2FA :
- SMS Message texte : Un code est envoyé à votre téléphone par message texte à l'aide d'une API de vérification par SMS qui automatise la livraison sécurisée.
- Application d'authentification : Les applications telles que Google Authenticator génèrent un code qui change toutes les quelques secondes.
- Vérification biométrique : Elle utilise vos empreintes digitales, votre visage ou votre iris pour vérifier votre identité.
- Vérification par courriel : Un code est envoyé à votre adresse électronique.
- Jeton matériel : Un petit dispositif génère un code que vous pouvez utiliser pour vous connecter.
- Notification push : Une notification est envoyée à votre smartphone et vous approuvez la connexion en appuyant sur un bouton.
Permettre l'authentification multifactorielle sur différentes plateformes
La mise en place de l'AFM permet de s'assurer que seules les personnes autorisées peuvent accéder à vos comptes. Vous trouverez ci-dessous des guides pour l'activer sur les plateformes les plus courantes.
Activation de l'authentification à deux facteurs pour les e-mails de Gmail Google Workspace
Voici un guide simple mais complet sur activer la vérification en deux étapes (2FA) (également appelé Vérification en 2 étapes par Google) pour vos comptes Gmail.
Étape 1 : Ouvrir la page de vérification en deux étapes
- Ouvrez un navigateur sur votre ordinateur et accédez à la page de vérification en deux étapes.
- Connectez-vous à votre compte Google.
- Lisez les instructions données et cliquez sur "Get Started" pour continuer.
Étape 2 : Choisir une méthode de vérification
- Les options de configuration de la vérification en deux étapes dans Gmail s'affichent.
(par le biais de messages texte/appels téléphoniques, d'invites Google, d'une application d'authentification ou d'une clé de sécurité)
- Google propose généralement d'utiliser d'abord les invites Google si vous disposez d'un smartphone compatible connecté.
- Cliquez sur "Afficher plus d'options" si vous préférez une autre méthode ou si vous souhaitez configurer d'autres méthodes.
Étape 3 : Mise en place d'une vérification téléphonique (texte/appel)
- Si vous choisissez la vérification par message texte ou par appel téléphonique, vous recevrez un code à six chiffres chaque fois que vous vous connecterez à votre Gmail sur un nouvel appareil ou après avoir supprimé les cookies.
- Saisissez votre numéro de téléphone portable. Choisissez de recevoir les codes par message texte ou par appel téléphonique. Cliquez sur "Suivant".
Étape 4 : Terminer la procédure de vérification
- Vous recevrez un code sur votre téléphone via la méthode choisie.
- Saisissez le code reçu et cliquez à nouveau sur "Suivant".
Étape 5 : Activer l'authentification à deux facteurs
- Après avoir vérifié avec succès la méthode choisie, vous pouvez activer la procédure de vérification en deux étapes.
- Cliquez sur "Activer" pour l'activer.
Étape 6 : Configurer les invites Google
- Les invites de Google affichent un écran d'approbation sur votre smartphone ou tablette de confiance lorsque vous vous connectez.
- S'il n'a pas été configuré initialement, sélectionnez "Google prompt" dans les options de vérification.
- Assurez-vous d'être connecté à votre compte Google sur un appareil Android ou iOS compatible (avec l'application Google ou l'application Gmail installée). Google détectera automatiquement les appareils éligibles. Suivez les invites à l'écran pour confirmer.
Étape 7 : Utiliser une clé de sécurité
- Une clé de sécurité est un dispositif physique (USB, NFC ou Bluetooth) qui fournit une authentification forte.
- Sélectionnez "Clé de sécurité" dans les options de vérification (vous pouvez la trouver sous "Afficher plus d'options").
- Cliquez sur "Suivant" et suivez les instructions pour enregistrer votre clé en l'insérant ou en l'approchant de votre appareil.
Vous pouvez également utiliser l'application Google Authenticator ou des codes de sauvegarde comme méthodes supplémentaires ou alternatives.
Comment désactiver la fonction 2FA pour Gmail
Pour désactiver la vérification en deux étapes pour votre compte Google :
- Accédez à votre compte Google.
- Dans le panneau de navigation de gauche, sélectionnez "Sécurité".
- Dans la section "Comment se connecter à Google", recherchez et sélectionnez "Vérification en deux étapes". Il se peut que vous deviez vous reconnecter ici.
- Sélectionnez "Éteindre".
- Confirmez votre choix en appuyant à nouveau sur "Désactiver".
- Détruisez ou supprimez tous les codes de sauvegarde que vous avez enregistrés pour ce compte afin de vous assurer qu'ils ne peuvent pas être utilisés.
Ces étapes permettent de s'assurer que le système 2FA est complètement désactivé et que toutes les méthodes d'accès de secours sont supprimées.
Configuration de Gmail 2FA sur les appareils Android ou iOS
Configuration de l'authentification à deux facteurs sur Android ou iOS est similaire à la procédure pour les ordinateurs de bureau, mais elle est initiée via les paramètres de l'appareil ou l'application Gmail.
Étape 1 : Accéder aux paramètres du compte Google
- Sur Android : Accédez à Paramètres > Google > Gérer votre compte Google.
- Sur iOS : Ouvrez l'application Gmail, appuyez sur votre photo de profil dans l'angle supérieur droit, puis sur "Gérer votre compte Google". (Vous pouvez également utiliser l'application Google ou visiter le site myaccount.google.com dans un navigateur).
Étape 2 : Naviguer vers les paramètres de sécurité
- Passez la souris ou tapez sur l'onglet "Sécurité".
- Faites défiler la page jusqu'à la section "Comment vous connecter à Google" et appuyez sur "Vérification en deux étapes".
- Appuyez sur "Démarrer". Il se peut que l'on vous demande de vous connecter à nouveau.
Étape 3 : Suivre les instructions d'installation
- Google vous proposera probablement d'abord des invites Google, en fonction de l'appareil que vous utilisez. Appuyez sur "Continuer".
- Il vous demandera de choisir une option de sauvegarde. Indiquez votre numéro de téléphone et choisissez de recevoir les codes par texte ou par appel. Appuyez sur "Envoyer".
Étape 4 : Saisir le code de vérification
- Saisissez le code envoyé sur votre téléphone et appuyez sur "Suivant".
Étape 5 : Activer 2FA
- Passez en revue les paramètres et appuyez sur "Activer" pour activer la vérification en deux étapes.
Après l'avoir activée, vous pouvez ajouter d'autres méthodes comme les applications Authenticator ou les clés de sécurité via la page des paramètres de vérification en deux étapes.
Comment configurer l'authentification multifactorielle par courriel pour Microsoft 365 ?
Étape 1: Assurez-vous que vous disposez des privilèges administratifs nécessaires (par exemple, administrateur global) pour gérer les paramètres MFA.
Étape 2: Microsoft recommande l'utilisation de Security Defaults ou de Conditional Access policies au lieu de l'ancien MFA par utilisateur. Si l'option Security Defaults est activée :
- Connectez-vous au centre d'administration Microsoft 365.
- Naviguez vers le centre d'administration Azure Active Directory (vous pouvez le trouver sous Afficher tout > Centres d'administration > Azure Active Directory).
- Dans le centre d'administration Azure AD, sélectionnez Azure Active Directory > Propriétés.
- Cliquez sur Gérer les valeurs par défaut de la sécurité.
- Mettez l'option "Activer les valeurs par défaut de la sécurité" sur Oui.
- Cliquez sur Enregistrer. (Remarque : cela permet d'activer les fonctions de sécurité de base, y compris le MFA pour les administrateurs et, à terme, pour tous les utilisateurs).
Pour un contrôle plus précis, il est également possible d'utiliser des politiques d'accès conditionnel (licence Azure AD Premium P1 ou P2 requise).
Étape 3: Si vous utilisiez auparavant l'AMF par utilisateur et que vous passez aux valeurs par défaut ou à l'accès conditionnel, il se peut que vous deviez d'abord la désactiver.
- Dans le centre d'administration Microsoft 365, allez dans Utilisateurs > Utilisateurs actifs.
- Cliquez sur Authentification multifactorielle en haut de la page.
- Sélectionnez les utilisateurs et modifiez leur statut MFA en Désactivé si nécessaire.
Étape 4: Les utilisateurs seront invités à s'inscrire à l'AMF lors de leur prochaine connexion après l'activation des paramètres de sécurité par défaut ou des politiques d'accès conditionnel pertinentes. Ils utiliseront généralement l'application Microsoft Authenticator.
Comment configurer l'authentification multifactorielle par courriel pour Zoho Mail ?
Étape 1: Connectez-vous aux paramètres de votre compte Zoho (accounts.zoho.com).
Étape 2: Dans le menu de gauche, cliquez sur Sécurité, puis sélectionnez Authentification multifactorielle.
Étape 3: Choisissez la méthode d'AMF que vous préférez. Les options sont généralement les suivantes :
- Application Zoho OneAuth : (Recommandé) Téléchargez l'application (disponible pour iOS et Android). Vous pouvez la configurer pour les notifications push, la numérisation de codes QR ou les mots de passe à usage unique basés sur le temps (TOTP). Suivez les instructions à l'écran pour relier l'application à votre compte, souvent en scannant un code QR.
- Authenticator App (TOTP) : Utiliser d'autres applications comme Google Authenticator ou Microsoft Authenticator. Sélectionnez cette option, scannez le code QR fourni avec l'application de votre choix et saisissez le code affiché dans l'application pour vérifier.
- SMS/appel vocal : Saisissez votre numéro de téléphone et vérifiez-le à l'aide d'un code envoyé par SMS ou par appel.
- Clé de sécurité (YubiKey) : Enregistrez une clé matérielle conforme à U2F/FIDO2.
Étape 4: Suivez les instructions d'installation spécifiques à la méthode choisie pour l'activer.
Étape 5: Zoho fournit également des codes de vérification de sauvegarde et permet de configurer des navigateurs de confiance afin de réduire la fréquence des invites MFA sur les appareils familiers.
Google Authenticator
Une application de sécurité mobile, appelée Google Authenticator, est utilisée pour renforcer la protection des applications de messagerie et des sites web par une authentification à deux facteurs. Elle génère des mots de passe à usage unique aléatoires (TOTP) sur l'appareil mobile de l'utilisateur. Ces codes fournissent une deuxième couche de sécurité pour la vérification, renforçant ainsi la sécurité globale.
Google Authenticator ne dépend pas des SMS ou de la connectivité réseau après la configuration initiale. Il génère un code unique basé sur le temps qui est stocké localement sur l'appareil de l'utilisateur à des fins de connexion. Il s'agit d'une approche décentralisée visant à réduire l'accès non autorisé au compte de messagerie, notamment par rapport aux codes SMS potentiellement interceptables.
Avantages de 2FA/MFA
Les avantages de 2FA/MFA sont les suivants :
- Sécurité supplémentaire : L'AMF ajoute une couche de sécurité supplémentaire, rendant l'accès à votre compte beaucoup plus difficile pour les utilisateurs non autorisés, même s'ils disposent de votre mot de passe.
- Réduction de l'impact de la fraude et du phishing : Il permet d'éviter les accès non autorisés à partir d'informations d'identification volées (par exemple, par hameçonnage), réduisant ainsi le risque d'usurpation d'identité, de fraude financière et d'atteinte à la protection des données. Il empêche les pirates d'utiliser de simples attaques par force brute sur des mots de passe faibles.
- Relativement facile à utiliser : Une fois mise en place, l'utilisation de l'AFM est souvent simple. Les méthodes telles que les notifications push ne nécessitent qu'une simple pression, tandis que les applications d'authentification fournissent des codes facilement accessibles.
Inconvénients de 2FA/MFA
Les inconvénients de l'utilisation de 2FA/MFA sont les suivants :
- Inconvénients: Il ajoute une étape supplémentaire à la procédure de connexion, qui peut être légèrement plus lente, en particulier lorsque l'on accède fréquemment à des comptes.
- Dépendance à l'égard des appareils: Si votre deuxième facteur est lié à un appareil spécifique (comme un smartphone pour les codes d'application ou les SMS), la perte, la casse ou la batterie déchargée de cet appareil peut vous empêcher d'accéder à votre compte, à moins que vous n'ayez configuré des méthodes de sauvegarde. Il est important de noter que si quelqu'un vole votre téléphone ou votre carte SIM, il peut avoir accès à votre deuxième facteur.
- Questions techniques: Des retards dans la réception des codes SMS, des problèmes de synchronisation de l'heure de l'application d'authentification ou des problèmes avec les notifications push peuvent occasionnellement se produire, entravant les tentatives de connexion.
- Complexité de l'installation : Bien que généralement simple, la configuration initiale peut sembler décourageante pour les utilisateurs les moins avertis.
Importance de la sécurité du courrier électronique
Il est important d'investir dans la sécurité des communications par courrier électronique. Alors que le MFA/2FA sécurise l'accès au compte, d'autres couches sont nécessaires pour se protéger contre les différentes menaces. La sécurité du courrier électronique permet d'identifier et de filtrer les courriels malveillants ou les spams, qui peuvent contourner les filtres anti-spam standard. DMARC est l'une de ces couches de sécurité supplémentaires qui empêche les attaques par hameçonnage et les abus de domaine non autorisés en vérifiant l'authenticité de l'expéditeur. Les principaux fournisseurs de services de messagerie électronique, tels que Gmail, Outlook et Zoho Mail, recommandent aux propriétaires de domaines d'activer les protocoles d'authentification des courriels tels que DMARC pour se protéger contre les attaques par usurpation d'identité, par hameçonnage et par ransomware perpétrées au moyen de faux courriels. Une approche de sécurité multicouche, comprenant à la fois une authentification forte comme MFA et une vérification de l'expéditeur comme DMARC, aide les organisations à maintenir leur productivité et à protéger leurs données, même lorsque les menaces par courrier électronique prévalent.
L'usurpation d'identité et l'hameçonnage constituent des menaces importantes pour les données échangées par courrier électronique et peuvent propager des logiciels malveillants. Les entreprises peuvent réduire le risque de compromission des informations d'identification et des données personnelles par le biais de diverses attaques en mettant à jour leur système de sécurité du courrier électronique de sécurité des courriels, notamment en mettant en œuvre le MFA et en configurant DMARC, SPF et DKIM.
Pour activer l'authentification de vos emails avec DMARC :
- S'inscrire sur un analyseur DMARC portail.
- Enregistrez vos domaines sur le tableau de bord.
- Générer les enregistrements SPF, DKIM et DMARC nécessaires (souvent avec l'aide d'un expert ou d'outils fournis par le service).
- Publiez ces enregistrements dans votre DNS.
- Surveillez les rapports DMARC via le portail pour analyser le trafic de courrier électronique, identifier les sources légitimes et frauduleuses et appliquer progressivement une politique plus stricte(p=rejet ou quarantine) pour bloquer les courriels non autorisés.
Conclusion
L'utilisation de mots de passe pour se connecter aux comptes de messagerie n'est plus suffisante pour se protéger contre les cybermenaces sophistiquées. Il est important de renforcer la sécurité des comptes de messagerie en utilisant toutes les méthodes disponibles.
Une méthode essentielle est l'authentification multifactorielle (AMF), souvent mise en œuvre sous la forme d'une authentification à deux facteurs (2FA), qui fournit une couche de sécurité supplémentaire en exigeant plus qu'un simple mot de passe pour la connexion. Qu'il s'agisse de codes SMS, d'applications d'authentification, de méthodes biométriques ou de jetons matériels, l'AMF garantit que même si votre mot de passe est compromis, votre compte et vos informations restent nettement plus sûrs.
La mise en œuvre de l'AMF sur vos plateformes de messagerie (Gmail, Microsoft 365, Zoho, etc.) et sa combinaison avec des protocoles d'authentification de messagerie robustes tels que DMARC créent une défense solide contre les accès non autorisés, le phishing et le spoofing. Faites de l'AMF une pratique standard et encouragez les autres à faire de même, afin de favoriser un environnement en ligne plus sûr pour tout le monde. N'oubliez pas que dans le paysage numérique actuel, un petit effort supplémentaire en matière de sécurité permet de protéger ce qui compte le plus.
- Compromission des courriels des fournisseurs (VEC) : comment stopper les attaques provenant de fournisseurs de confiance - 3 juillet 2025
- Les e-mails marketing n'atteignent pas les boîtes de réception des clients - 2 juillet 2025
- Étude de cas DMARC MSP : Comment S-IT a automatisé la gestion de l'authentification des courriels avec PowerDMARC - 29 juin 2025