Double Facteur d’Authentification & Sécurité digitale !

Aussi appelée Validation en deux étapes, le Double Facteur d’Authentification est une notion dont tout le monde devrait se soucier… dès aujourd’hui.

Je suis toujours surpris quand je discute avec des gens qui n’utilisent aucun gestionnaire de mot de passe, et qui en sont encore à utiliser le même mot de passe pour tous leurs comptes en ligne ! Qu’ils se rassurent, s’ils n’ont jamais été piratés ça finira par arriver.

Au jour d’aujourd’hui un mot de passe d’un niveau de sécurité fort est absolument indispensable, mais même un mot de passe de 26 caractères avec chiffres et symboles comme celui-ci : iainMz8eQ)NWwHVK&64qjdN6bM n’est plus forcément suffisant.

C’est là qu’un deuxième facteur d’authentification (de connexion) entre en jeu, pour s’assurer que si quelqu’un pirate votre mot de passe, il ne puisse quand même pas se connecter à votre place et vous faire du mal.

Les seconds facteurs d’authentification sont le plus souvent un code envoyé par SMS ou un code temporaire généré par une application tierce telle Google Authenticator, Authy ou d’autres.

Pour commencer, activer le double facteur sur tous les emails:

En effet, sécuriser son ou ses comptes emails est essentiel puisque tous les services en ligne, en cas d’oubli du mot de passe ou de changement de mot de passe vont envoyer un lien de vérification dans votre boîte… mail.

Donc quelqu’un qui accède à une boîte mail peut potentiellement accéder à beaucoup de comptes simplement en cliquant sur le lien d’oubli du mot de passe, pensez aux comptes de réseaux sociaux ou à Paypal.

Tous les principaux fournisseurs d’emails possèdent l’option de double authentification, comme Gmail et Yahoo. 

Pour Gmail: la procédure s’effectue depuis les paramètres de compte google, car la sécurité concerne l’ensemble du compte et pas seulement la messagerie.

Pour Yahoo (en Anglais): allez dans Paramètres du Compte > Account Security et cliquez pour activer Two-step Verification.

Double facteur d’authentification avec code temporaire:

La double authentification (2FA) de type google authenticator à code temporaire fonctionne sur le même principe quel que soit l’appli utilisé.

Le service pour lequel on active la double authentification crée un QR code qu’il faut flasher, l’appli qui génère les codes temporaires est ainsi « liée » au compte utilisateur et fournit dorénavant et continuellement un mot de passe temporaire toutes les 30 secondes!

Comme il est facile de trouver sur la toile comment utiliser Google Authenticator avec un téléphone, je vais montrer comment faire la même chose avec 1Password depuis un Mac.

Pour flasher un code avec 1Password, allez sur l’Identifiant puis cliquez sur Édition, dans la partie Section appelez OTP une nouvelle étiquette puis appuyez deux fois sur Tab →, cliquez ensuite sur l’icône avec les trois petits points et dans le menu déroulant sélectionnez mot de passe à usage unique et cliquez sur l’icône du QR code. Cela ouvrira une petite fenêtre pour flasher le code barre.

Une fois le code barre flashé cliquez sur Enregistrer et les mots de passe à usage unique vont s’afficher dans 1Password.

L’avantage de cette méthode est qu’elle permet de garder tous les mots de passe — normaux et temporaires — dans la même appli, et comme 1Password est disponible sur toutes les plateformes et OS ils seront accessibles avec n’importe quelle machine.

Validation en deux étapes:

Apple ID:

Voilà un autre identifiant extrèmement important pour tous les utilisateurs de Mac ou même seulement d’iPhone, puisqu’il est lié au compte iCloud depuis lequel on peut notamment localiser un mac ou un iphone, le bloquer à distance et même effacer son contenu.

L’AppleID se gère non pas depuis le site de l’iCloud mais ici, sur un sous domaine d’Apple dédié à l’identifiant Apple.

Ceux qui possèdent un iPhone peuvent choisir de recevoir le code dans une notification de l’iPhone plutôt que par SMS.

Réseaux sociaux et stockage Cloud:

Tous les principaux réseaux sociaux offrent le 2FA: 

• Facebook : allez dans Paramètres > Sécurité > Approbations de connexion, rentrez votre numéro de téléphone puis dans Générateur de code pour activer les codes temporaires.
• pour Twitter : allez dans Paramètres > Sécurité et Confidentialité > Vérification de Connexion
• pour Linkedin : cliquez ici
• Dropbox : allez dans Paramètres > Sécurité
• Evernote : connectez vous dans un navigateur puis allez dans Paramètres > Récapitulatif de la Sécurité

La liste complète de tous les sites proposant le 2FA est disponible sur https://2fa.directory/.

Que se passe-t-il si on perd son téléphone?

En cas d’accès impossible au second moyen d’identification, et si aucun numéro de téléphone secondaire n’a été enregistré, il est possible d’utiliser les codes de sauvegarde d’urgence (ou codes de récupération), qui sont fournis pendant l’activation.

Il va sans dire qu’il faut garder ses codes dans un endroit sûr, idéalement une note sécurisée accessible depuis plusieurs machines, soit dans 1Password ou Lastpass, soit dans un fichier invisible depuis le Finder.

Les inconvénients (en fait avantages) de la double authentification:

A partir du moment où un compte est protégé par la validation en 2 étapes, toutes les applis qui se connectent à ce compte demandent un code d’accès que l’on génère soi même appelé mot de passe d’application, par exemple Fantastical pour accéder au calendrier iCloud.

Cela demande une procédure supplémentaire à chaque fois mais au moins cela permet de mieux réaliser quelles applis se connectent à quels comptes et donc d’avoir une meilleure idée de la liste des développeurs avec qui on partage ses données. A mon sens ce n’est donc pas vraiment un inconvénient, mais plutôt un moyen de mieux contrôler le partage de ses données.

Conclusion : n’attendez pas pour commencer

Toutes ces procédures sont chronophages mais elles en valent la peine, mieux vaut prévenir que guérir. Un bon moyen de gagner du temps est de recevoir ses sms directement sur le Mac pour copier/coller les codes de sécurité plus rapidement.