Sécurité sur Internet : la double authentification

Les différentes méthodes d'authentification

Le premier mode de double authentification qui semble l'un des plus sécurisés est l'envoi d'un code par SMS. D'ailleurs encore très utilisé lors des transactions bancaires, le SMS semble sûr, car le téléphone et surtout le numéro de mobile sont réputés uniques : lorsque l'on envoie un texto à un mobile, seul celui qui détient la carte SIM correspondante le recevra. C'est bien entendu vrai dans la très grande majorité des cas, mais il faut savoir que les protocoles gérant le transfert des SMS datent des années 1980 et n'ont jamais évolué ! Ainsi les textos sont envoyés non cryptés de bout en bout, et des hackers ont démontré il y a quelques années qu'il était possible de détourner des SMS en détournant le protocole SMS « Signaling System 7 ». Le système a-t-il été modifié pour autant ? Il n'en est rien, et il y a peu de chance que les choses évoluent. C'est pourquoi il est important d'utiliser un autre moyen de communication que les SMS pour les comptes sensibles. Et on ne parle même pas du « social hacking » ou des malfaiteurs parviennent à obtenir une copie de votre SIM en dupant un conseiller clientèle au téléphone et en se faisant passer pour vous.

Pour valider son identité lorsque l'on se connecte à un site depuis un endroit inhabituel, l'envoi d'un email comportant un code de confirmation est une autre option. Est-ce efficace ? Si le pirate est assez futé pour avoir découvert l'identifiant et le mot de passe du site, il est plausible que celui du compte email soit également compromis, surtout Si vous êtes du genre à utiliser le même mot de passe un peu partout. Pour nous, même si c'est mieux que rien, cette méthode de validation est sans doute la plus faible de toutes.

Certains appareils et systèmes d'exploitation proposent une protection de type biométrique. Que ce soit par le biais de ses empreintes digitales ou son visage, il est possible de déverrouiller un smartphone comme l'accès à une application sensible comme un gestionnaire de compte en banque. Que vaut cette protection ? Malheureusement, elle sera inefficace pour un pirate situé sur Internet, et ne servira qu'en cas de vol du terminal. En effet, les lois des grands pays comme celles concernant la protection des données RGPD interdisent le stockage d'informations biométriques dans un cadre commercial.

Ce stockage est généralement strictement encadré, et réservé aux états. Ainsi, lorsque l'on renseigne ses empreintes pour déverrouiller son smartphone, celles-ci resteront sur l'appareil et non dans le cloud.

Il existe un quatrième moyen de double authentification, qui est souvent associé au terme lui-même : le mot de passe valide pour un temps donné. Concrètement, une fois mis en place, il s'agira de fournir en plus du mot de passe traditionnel un jeton d'authentification qui se présente sous la forme d'une série de six chiffres. Ce jeton est généralement généré par une application tierce, qui aura été paramétrée à l'aide du site sous la forme d'un QR-Code ou une série de chiffres. Chose importante : cette méthode d'authentification est basée sur un protocole bien connu et reconnu de tous : le TOTP (Time- based One-time Password). Il est possible de générer des tokens sans accès Internet ni réseau, ce qui est plus que pratique face à une authentification par mail ou SMS. Pour la mettre en place, il faudra en règle générale télécharger une application gestionnaire de token, comme Google Authenticator, Microsoft Authenticator, ou Authy. Peu importe le choix de l'application, les tokens seront générés de la même manière. Ainsi on peut très bien utiliser l'application de Google pour se connecter aux services de Microsoft, et vice versa. L'idée étant tout de même de n'avoir qu'une application pour des raisons pratiques, même si certains services tels que Steam imposent d'utiliser la leur.

Comment sont générés les jetons et pourquoi sont-ils si difficiles à pirater ? Pour simplifier, le serveur et le client, c'est-à-dire le site web et l'application TOTP, échangent un mot de passe lors de l'activation de la double authentification. Ce mot de passe va être encrypté suivant un algorithme en rajoutant la date et l'heure actuelle sous forme de hash. Passées trente secondes, un nouveau jeton sera généré avec la nouvelle date et heure, rendant inutilisable le précédent jeton. Ainsi, même si le pirate arrive à subtiliser le jeton en lui-même ou sous forme de hash, il n'aura que 30 secondes pour s'en servir ou le décrypter, ce qui est impossible.

Cet article vous a plus ? Partagez le !

je suis reparateur

jemepropose

aladom montevrain