Qu’est-ce que la 2FA ?
L’authentification à deux facteurs (2FA, ou multi-facteurs MFA) est un schéma de sécurité qui exige la combinaison de deux preuves d’identité distinctes pour accéder à un compte. Les trois familles de facteurs définies par NIST SP 800-63B sont :
- Ce que vous savez : mot de passe, PIN, réponse à question secrète.
- Ce que vous avez : téléphone (SMS OTP, app TOTP), clé matérielle FIDO/WebAuthn.
- Ce que vous êtes : empreinte digitale, reconnaissance faciale, scan rétinien.
La 2FA combine deux facteurs de familles différentes — typiquement « ce que vous savez » + « ce que vous avez ».
Implémentations courantes
OTP par SMS : code à 6 chiffres envoyé par message texte. Le moins sûr (vulnérable au SIM swapping) mais le plus accessible.
TOTP par app (Google Authenticator, Authy, Microsoft Authenticator) : code basé sur le temps généré par l’app, sans dépendance réseau. Plus sûr.
Notifications push (Duo, Microsoft Authenticator) : approbation tap dans une notification push.
Clés matérielles FIDO/WebAuthn : YubiKey, Titan Security Key. La plus sûre — résistante au phishing.
Pertinence pour les votes
Les concours à fort enjeu (G2, Reddit avec serveurs sensibles, Discord) peuvent imposer la 2FA pour l’inscription. Cela élève significativement le coût de chaque compte du pool, parce que la 2FA exige une infrastructure de réception (SIM physique pour SMS, ou appareil exécutant l’app TOTP avec persistance d’état) gérée par le service de votes.
Notre infrastructure inclut une ferme de SIM gérée pour les OTP SMS et un orchestrateur d’apps TOTP pour les comptes utilisant l’auth par app. Cela permet de soutenir l’inscription 2FA sur les plateformes qui l’exigent.
