La double authentification est devenue un mécanisme essentiel pour protéger ses données en ligne contre le piratage. SMS, email et surtout jetons de temps permettent de surprotéger ses comptes dont la faille est souvent le mot de passe. Découvrons comment elle fonctionne et comment l'utiliser chez les GAFAM
Même avec un mot de passe complexe, personne n'est à l'abri d'un piratage. Que ce soit par le biais d'un keylogger qui enregistrera la frappe des touches d'un clavier, ou le piratage d'une base de données en ligne comportant des informations sensibles (parfois même chez de grands noms comme Adobe ou Sony il y a quelques années), il est impossible de se fier au fameux couple identifiant/mot de passe pour protéger ses accès et ses données. Heureusement, depuis quelques années, l'identification par mot de passe est épaulée par des moyens d'authentification supplémentaires : on parle alors de double authentification, A2F (Authentification double facteur), 2FA (Two-factor authentification), ou 2SV (Two-step vérification). C'est une contrainte, mais c'est rudement efficace.
Source : PC Update 111
Les différentes méthodes d'authentification
Le premier mode de double authentification qui semble l'un des plus sécurisés est l'envoi d'un code par SMS. D'ailleurs encore très utilisé lors des transactions bancaires, le SMS semble sûr, car le téléphone et surtout le numéro de mobile sont réputés uniques : lorsque l'on envoie un texto à un mobile, seul celui qui détient la carte SIM correspondante le recevra. C'est bien entendu vrai dans la très grande majorité des cas, mais il faut savoir que les protocoles gérant le transfert des SMS datent des années 1980 et n'ont jamais évolué ! Ainsi les textos sont envoyés non cryptés de bout en bout, et des hackers ont démontré il y a quelques années qu'il était possible de détourner des SMS en détournant le protocole SMS « Signaling System 7 ». Le système a-t-il été modifié pour autant ? Il n'en est rien, et il y a peu de chance que les choses évoluent. C'est pourquoi il est important d'utiliser un autre moyen de communication que les SMS pour les comptes sensibles. Et on ne parle même pas du « social hacking » ou des malfaiteurs parviennent à obtenir une copie de votre SIM en dupant un conseiller clientèle au téléphone et en se faisant passer pour vous.
Pour valider son identité lorsque l'on se connecte à un site depuis un endroit inhabituel, l'envoi d'un email comportant un code de confirmation est une autre option. Est-ce efficace ? Si le pirate est assez futé pour avoir découvert l'identifiant et le mot de passe du site, il est plausible que celui du compte email soit également compromis, surtout Si vous êtes du genre à utiliser le même mot de passe un peu partout. Pour nous, même si c'est mieux que rien, cette méthode de validation est sans doute la plus faible de toutes.
Certains appareils et systèmes d'exploitation proposent une protection de type biométrique. Que ce soit par le biais de ses empreintes digitales ou son visage, il est possible de déverrouiller un smartphone comme l'accès à une application sensible comme un gestionnaire de compte en banque. Que vaut cette protection ? Malheureusement, elle sera inefficace pour un pirate situé sur Internet, et ne servira qu'en cas de vol du terminal. En effet, les lois des grands pays comme celles concernant la protection des données RGPD interdisent le stockage d'informations biométriques dans un cadre commercial.
Ce stockage est généralement strictement encadré, et réservé aux états. Ainsi, lorsque l'on renseigne ses empreintes pour déverrouiller son smartphone, celles-ci resteront sur l'appareil et non dans le cloud.
Il existe un quatrième moyen de double authentification, qui est souvent associé au terme lui-même : le mot de passe valide pour un temps donné. Concrètement, une fois mis en place, il s'agira de fournir en plus du mot de passe traditionnel un jeton d'authentification qui se présente sous la forme d'une série de six chiffres. Ce jeton est généralement généré par une application tierce, qui aura été paramétrée à l'aide du site sous la forme d'un QR-Code ou une série de chiffres. Chose importante : cette méthode d'authentification est basée sur un protocole bien connu et reconnu de tous : le TOTP (Time- based One-time Password). Il est possible de générer des tokens sans accès Internet ni réseau, ce qui est plus que pratique face à une authentification par mail ou SMS. Pour la mettre en place, il faudra en règle générale télécharger une application gestionnaire de token, comme Google Authenticator, Microsoft Authenticator, ou Authy. Peu importe le choix de l'application, les tokens seront générés de la même manière. Ainsi on peut très bien utiliser l'application de Google pour se connecter aux services de Microsoft, et vice versa. L'idée étant tout de même de n'avoir qu'une application pour des raisons pratiques, même si certains services tels que Steam imposent d'utiliser la leur.
Comment sont générés les jetons et pourquoi sont-ils si difficiles à pirater ? Pour simplifier, le serveur et le client, c'est-à-dire le site web et l'application TOTP, échangent un mot de passe lors de l'activation de la double authentification. Ce mot de passe va être encrypté suivant un algorithme en rajoutant la date et l'heure actuelle sous forme de hash. Passées trente secondes, un nouveau jeton sera généré avec la nouvelle date et heure, rendant inutilisable le précédent jeton. Ainsi, même si le pirate arrive à subtiliser le jeton en lui-même ou sous forme de hash, il n'aura que 30 secondes pour s'en servir ou le décrypter, ce qui est impossible.
En cas de casse du téléphone
Avec ce système de double authentification, on se rend compte que le Smartphone sur lequel est installée l'application de gestion des jetons devient plus qu'important : sans lui, impossible de générer des tokens et donc de se connecter à ses sites favoris ! Que faire alors en cas de panne, perte ou vol de son smartphone ? Premièrement, lors de l'activation de la double authentification, des codes de secours sont généralement créés afin de pallier ces mésaventures. Deuxièmement, nous vous conseillons de toujours garder une session ouverte sur les sites protégés depuis un PC de confiance.
A partir de celui-ci, il sera toujours possible de désactiver. la double authentification. Enfin, il existe des applications comme Authy qui permettent la sauvegarde et la synchronisation dans le cloud de ses comptes TOTP. En cas de changement de Smartphone, il faudra impérativement utiliser une application possédant ce genre de possibilité, ou désactiver temporairement la double synchronisation (site par site !) pour la réactiver avec le nouvel appareil (c'est notamment le cas avec Google Authenticator). Quoiqu'il en soit, nous vous conseillons plus que fortement de sauvegarder et d'imprimer les clefs de secours, véritable sésame pour accéder à un compte bloqué pour diverses raisons
Authy : l'un des meilleurs gestionnaire 2FA
Il existe des dizaines d'applications supportant le protocole TOTP capable de générer des tokens de double authentification. Heureusement, ce protocole est très répandu et reconnu de tous les grands noms, ce qui permet de n'utiliser qu'une application pour l'ensemble des sites activés en sécurité renforcée. Google comme Microsoft par exemple proposent leur application, mais celles-ci se contentent généralement du minimum. Notre préférence revient à la solution nommée Authy, qui possède de nombreux avantages face à ses concurrents. La première force d'Authy est sans doute le fait qu'il fonctionne sur de nombreuses plateformes, celles-ci étant toutes synchronisées. Authy est ainsi disponible sur les systèmes d'exploitation Android, iOS, mais aussi Windows, Linux et macOS, chose rare pour un gestionnaire TOTP. Il est alors possible de générer des tokens depuis son téléphone, sa tablette ou son ordinateur, ce qui est plus que pratique et permet de s'authentifier plus facilement lorsque son smartphone est éloigné ou perdu. En cas de vol, un tour sur l'application permettra de supprimer l'appareil dérobé. Ainsi Authy ne fonctionnera plus sur celui-ci. Pour bénéficier de cette synchronisation, Authy dispose d'une plateforme dans le cloud où les sauvegardes de chaque dispositif sont encryptés.
Pour ajouter un nouvel appareil, il faudra s'authentifier à l'aide de plusieurs méthodes : envoi d'un code par SMS, appel téléphonique, ou acceptation à partir d'un appareil possédant déjà Authy. Ainsi, il n'existe pas de concept d'identifiant et de mot de passe, ce qui s'avère pratique pour les utilisateurs et renforce la sécurité, à moins de s’être fait voler son smartphone. Autre avantage d'Authy : la société est vraiment focalisée sur le TOTP, contrairement aux nombreuses sociétés qui proposent ce type d'application comme un accessoire. Cela s'en ressent au niveau du support technique : en cas de perte totale de son compte, les utilisateurs bénéficient d'un processus de secours qui mettra sur le papier moins de 24h pour retrouver ses informations. Cela peut paraitre anodin, mais lorsque l'on met tous ses œufs dans le même panier, il est préférable que celui-ci soit solide ! Enfin, pour les applications mobiles, Authy s'intégre parfaitement avec les systèmes d'exploitation à la manière de Google Authenticator ou DUO. Pour chaque demande de token d'une application tiers, Authy sera automatiquement lancé et le jeton communiqué.
Cerise sur le gâteau, Authy est totalement gratuit. Mais alors, comment la société se rémunère-t-elle ? Il n'existe en effet pas de publicités, ni d'achat d'options, ou de revente des données personnelles de ses utilisateurs. En réalité, Authy fait payer aux développeurs d'application tiers l'accès à leur API, qui peut se résumer concrètement à une interface simplifiée de communication entre applications. Gratuit, simple, efficace, et intuitif avec notamment les icônes qui permettent de différencier les différents services activés avec le TOTP, Authy est sans doute à notre avis la meilleure application de gestion de double authentification qui permet de sauter le pas pour activer ce service partout où cela est possible.
Apple
Une fois n'est pas coutume, la pomme californienne a décidé de ne pas utiliser le protocole TOTP universel pour implémenter la double authentification sur ses appareils et ses services. Elle se base sur l'envoi de SMS et l'échange de codes entre appareils connectés avec le même compte si l'utilisateur dispose de différents matériels Apple. Attention à l'activation de cette option : Apple a supprimé la possibilité de revenir en arrière sur certains ID Apple créés dans iOS 10.3 ou macOS 10.12.4 et versions ultérieures ! Pour activer la double authentification, le plus simple est de se rendre à l'adresse https://appleid.apple.com avec un navigateur web. Après avoir rentré ses identifiants, il suffit de se laisser guider par la procédure d'activation : la première étape consiste à envoyer un code de vérification à l'un des appareils Apple liés au compte. Ensuite, il faudra rentrer son numéro de téléphone qui sera vérifié via un SMS. Une fois ces vérifications établies, la double authentification est en place. Une clef de secours sera également générée, celle-ci pouvant servir en cas de problèmes. Apple a fait le choix d'intégrer son mécanisme de double authentification à ses OS. Même si cette intégration est assez bien faite, on regrette le fait que son activation soit irréversible et qu'on ne puisse pas dépendre d'une application tierce indépendante du compte. Dans le cas d'une perte ou d'un vol de ses appareils, le compte Apple sera perdu à moins de bien sauvegarder sa clef de secours.
Amazon
Le géant du e-commerce propose une double authentification classique, en support aùx méthodes de protection par défaut comme l'envoi d'un SMS lors de la connexion aux services avec un nouveau navigateur. Cette authentification est essentielle : elle permet de protéger sa carte bancaire lorsque celle-ci est renseignée pour les achats rapides, mais aussi couvre l'ensemble des services proposés par Amazon comme Prime Video. Pour activer la double authentification, il est nécessaire de se rendre dans le menu Comptes et listes, Votre Compte, et cliquer sur Connexion et sécurité. Dans les Paramètres de vérification en deux étapes (2SV), Amazon nous propose deux méthodes de double authentification : le token pourra être obtenu soit par SMS, soit par une application classique compatible TOTP.
Les appareils pouvant se connecter aux services d'Amazon étant multiples et hétéroclites, il se peut que la double authentification ne soit pas bien implémentée voire pas du tout. Pour pallier ce problème, il est alors possible d'ajouter le token TOTP à la suite de son mot de passe classique dans le même champ. Pour récupérer son compte en cas de problème, il n'est pas possible de bénéficier de codes de récupération, mais l'utilisation de SMS de vérification est alors utilisée.
Facebook
La double authentification sur Facebook est bien entendu présente. Les utilisateurs du fameux réseau social étant particulièrement visés par les hackers de tous types, il est fortement conseillé de l'activer. Il est possible d'utiliser une authentification par SMS ou par une application gérant le protocole TOTP.
Les paramètres de compte Facebook sont depuis de nombreuses années assez difficiles à appréhender. A l'aide de son navigateur web favori, il faudra cliquer sur l'icône en haut à droite pour accéder au menu de son profil, paramètres et confidentialité, Paramètres, et enfin Sécurité et connexion. En cliquant sur « Utiliser l'authentification à deux facteurs », Facebook nous propose le choix entre une application d'authentification ou les textos. Le réseau social nous propose ensuite le fameux QR Code ou la série de chiffres à renseigner dans son application TOTP favorite.
Une fois la double authentification activée, Facebook nous propose alors des codes de récupération, mais également l'utilisation d'une clef U2F pour se connecter par USB ou NFC.
Instagram
Instagram, le réseau social à la mode racheté par Facebook en 2012, dispose d'un système de double authentification bien caché dans ses paramètres. Que ce soit sur l'application mobile Android ou iOS, Instagram propose une double authentification basée sur les SMS ou sur le protocole TOTP.
Pour l'activer, il faudra bien entendu se rendre dans l'application, dans son profil via la petite bulle en bas à gauche, Sélectionner le menu symbolisé par 3 traits en haut à droite, puis Paramètres à l'aide de la roue crantée située en bas à droite. Le réglage de l'Authentification à deux facteurs se trouve dans la rubrique Sécurité. En activant « App d'authentification », l'application nous propose de télécharger Duo Mobile ou Google Authenticator. Si celui-ci a l'avantage de s'intégrer avec Instagram, il est inférieur en fonctionnalité face à Authy. Pour utiliser celui-ci, il faudra sélectionner « Configurer d'une autre façon », copier la série de codes et l'intégrer à Authy qui générera un token à renseigner dans Instagram. Une fois ceci fait, le tour est joué !
En cas de problèmes, Instagram propose des codes de récupération. A partir des réglages de l'authentification à deux facteurs de l'application, il faudra recopier ces codes à usage unique, ou faire une copie d'écran et la sauvegarder à un endroit protégé.
Microsoft
Pour la firme de Redmond, la sécurité de ses utilisateurs est bien entendu une des préoccupations majeures, d'autant plus que depuis Windows 10 les comptes Microsoft sont liés avec le système d'exploitation. Microsoft propose différents types d'authentification : SMS, appel téléphonique, email, et bien entendu le protocole TOTP via Microsoft Authenticator, qui peut être remplacé par n'importe quelle application TOTP.
Les paramètres d'authentification sont accessibles notamment par le site https://account.microsoft.com. Dans le menu Sécurité / Options de sécurité avancées, on retrouve les méthodes pour prouver qui l'on est. Il est alors conseillé de faire un sérieux ménage, surtout si le compte est très âgé, et d'ajouter une autre méthode de vérification. On choisira alors « Sélectionner une application », « configurer une autre application d'authentification » à moins d'utiliser l'application Microsoft Authenticator, et l'on obtiendra le fameux QR Code nécessaire aux applications TOTP.'
Attention une fois que le TOTP est activé, il n'est pas obligatoire pour se connecter, mais peut être choisi parmi toutes les méthodes renseignées comme vérification par SMS ou email. Il est alors recommandé de conserver un nombre minimum de données personnelles afin de restreindre les portes d'entrée.
Google
On peut dire que chez Google la sécurité est un point fort, de par la robustesse de son infrastructure, mais aussi par les nombreuses options de sécurité dont certaines activées par défaut pour ses utilisateurs. Bien évidemment, la firme américaine propose la double authentification avec le protocole TOTP, en poussant l'utilisation de son application Google Authenticator, dont l'utilisation reste optionnelle si on lui préfère une autre application comme Authy.
A partir d'un navigateur web et connecté à un des services Google comme Gmail, il faudra se rendre dans les paramètres de sécurité via la page « Gérer votre compte » accessible en cliquant sur l'avatar de l'utilisateur situé en haut à droite. Ensuite, il faudra cliquer sur « Validation en deux étapes » pour lancer le processus d'activation. Après avoir renseigné le mot de passe du compte, validé son smartphone et son numéro de téléphone, il suffira de cliquer sur Configurer dans la rubrique « Application Google Authenticator » pour accéder au fameux QR code ou taper la série de chiffres afin de générer les tokens. Bien entendu, il est tout à fait possible d'utiliser une autre application comme Authy.
Une fois la double authentification activée, il sera possible de récupérer des codes de secours, ou de configurer une clef de sécurité hardware de type Bluetooth ou USB qui permet d'éviter de taper la valeur d'un jeton.
