2FA authentication should always be used, when available, because it improves the security of an online account.
– BitDefender
Au fil des années, les méthodes qu’emploient les mauvais hackeurs – chapeaux noirs – deviennent de plus en plus performantes, à coût toujours plus réduit – que ça soit d’ordre physique ou logiciel – et davantage accessibles pour les novices. C’est pour cela que de nouvelles méthodes de protection ont vu le jour et l’une de ces méthodes est l’authentification à facteurs multiples (MFA), grâce à elle, plusieurs informations vous seront demandées afin de prouver votre identité.
De par sa définition, un hackeur est une personne cherchant à exploiter les failles d’un programme informatique. Le but recherché n’est pas toujours négatif mais peut aussi servir à débusquer et corriger ces exploits.
Les différents types d’hackeurs sont catégorisés en 6 groupes :
- Les chapeaux blancs vérifient la fiabilité du niveau de sécurité avec l’accord du client.
- Les chapeaux bleus sont chargés de tester et corriger toutes les failles.
- Les chapeaux gris s’infiltrent sans autorisation mais n’ont pas de mauvaises intentions.
- Les chapeaux noirs agissent dans le but de nuire.
- …1
Qu’est-ce que la double authentification ?
La double authentification (2FA) fait partie de la famille Authentification à facteurs multiples au même niveau que triple authentification, la seule différence réside au nombre d’éléments demandés pour pouvoir vous connecter.
Il existe trois types d’authentification :
- Ce que l’utilisateur connaît tel que son nom d’utilisateur combiné à son mot de passe, réponse à une question secrète, …
- Ce que l’utilisateur a tel que son compte e-mail, son téléphone, …
- SMS : réception d’un code à longueur variable – généralement de 4 à 6 chiffres -.
- Appel téléphonique : réception d’un message audio généré par ordinateur, le contenu du message audio est un code tel que reçu par SMS.
- E-mail : réception d’un lien ou d’un code.
- Confirmation hardware : nécessite un appareil comme un lecteur de carte – habituellement pour les banques en ligne -.
- Confirmation software : nécessite une application qui vous générera un lien ou un code.
- Ce que l’utilisateur est tel que son iris, son empreinte digitale, …
Une pléiade d’autres solutions existent comme les clés USB spécialement conçue pour s’identifier à un site en particulier, reconnaissance faciale, notification push, …
Afin de rendre la méthode – double authentification – plus efficace, elle ne se contentera pas de demander deux preuves d’identité mais de combiner deux types d’authentification.
Des inconvénients existent à cette méthode, si vous utilisez la vérification par :
- SMS et appel téléphonique et que vous n’avez plus de réseau, de batterie ou votre téléphone,
- E-mail et que vous n’avez plus de réseau, de batterie, de téléphone ou d’ordinateur,
- Confirmation hardware et confirmation software et que vous n’avez pas votre appareil (capteur biométrique ou téléphone),
cela vous empêcherait toute tentative de connexion mais fort heureusement, il existe des méthodes de secours. De plus, cela rallonge votre temps de connexion car vous devez chercher votre code de validation et vous empêche de partager votre compte.
Comment l’activer ?
L’activation de cette fonctionnalité nécessite la possession d’un compte validé – c’est-à-dire que le lien présent dans l’e-mail de confirmation d’inscription a été visité – sur un site compatible, un listing de ces sites – et les liens pour activer la 2FA – est présent plus loin dans l’article.
Dès que vous bénéficiez de l’essentiel, il vous faudra trouver les options de votre compte qui sont habituellement accessibles grâce au lien Paramètres en cliquant sur votre photo de profil ou en allant sur la page de votre compte, tout cela dépend évidemment du site auquel vous désirez obtenir une méthode d’authentification à deux étapes. Une fois dans vos paramètres, recherchez la section Sécurité où vous devriez trouver notre sujet.
Lors de l’activation, il vous sera probablement demandé de renseigner votre numéro de téléphone et ce, même si vous ne désirez pas la validation par SMS. Il arrive quelque fois qu’un site veuille d’abord cette validation avant de vous proposer les alternatives ! Concernant l’appel téléphonique, si cette option est disponible et que vous avez déjà ajouté votre numéro de téléphone, il ne faudra que cliquer sur un bouton pour l’activer et ce, sans effort supplémentaire.
La validation par e-mail sera aussi activable grâce à un bouton mais vous devrez toutefois retourner le code que l’on vous a envoyé afin de confirmer la bonne réception et mise en place.
La confirmation hardware entraînera un coût financier et son acquisition sera différente d’un site à un autre, trop différente pour l’expliquer de manière universelle. De l’autre côté, la méthode software est encore assez simple mais vous devrez pour cela télécharger comme son nom l’indique, une application.
Télécharger une application pour la confirmation software
Google Authentificator est le moyen le plus populaire pour confirmer votre identité grâce à la méthode de vérification software, simple à utiliser et ne nécessitant aucune connexion Internet pour son bon fonctionnement, vous ne devrez que scanner un QR Code pour enregistrer un code suivant l’algorithme TOTP – ce qu’utilise la majorité des sites -.
L’algorithme TOTP pour Time-based One-Time Password ou mot de passe unique basé sur le temps en français – oui, c’est moins sexy 😫 – se base sur une clé secrète qui sera ensuite modifié selon le facteur temps.
Pour une explication très simplifiée, si notre clé secrète est « 32 », qu’il est midi pile et que l’algorithme utilise une multiplication alors le code final pourrait être « 38400 » (= 32 * 1200).2
Une fois que le site a été enregistré correctement, un code de 6 chiffres se générera toutes les 30 secondes.
Installer
L’application la plus populaire est Google Authentificator et n’est disponible que sur smartphones et tablettes, elle n’est donc pas disponible en version bureau ni chez Windows Phone, voici les liens de téléchargement :
|
Google Authentificator
|
|
|---|---|
 |
 |
Si vous n’êtes pas fan des services Google, sachez qu’il existe de nombreuses alternatives dont FreeOTP que m’a conseillé 🔗 Julian « Spurius Julius Lupus » T., cette application est Open Source et supporté par Red Hat.
|
FreeOTP
|
|
|---|---|
|
|
Configurer
Une fois installé sur votre smartphone / tablette, le lancement de Google Authentificator sera accompagné de pages explicatives et il vous suffira de cliquer sur le bouton flottant – le cercle rouge en bas à droite de l’écran – et de cliquer sur Scanner un code-barres afin de lancer l’appareil photo, pointez-le ensuite vers le QR Code qu’aura généré le site.
En plus
Code de secours
Par précaution, dix codes seront générés à l’activation de la MFA afin de pouvoir vous connecter même lorsque vous ne possédez votre compte e-mail, téléphone, … ce sont vos codes de secours. Si vous venez à bout des dix codes, vous devrez en générer de nouveaux.
Machine de confiance
Si vous ne désirez plus avoir recours à la 2FA sur certains appareils, vous pourrez les annoter comme Appareil de confiance ou encore Machine certifiée à chaque connexion qui a été validée par votre méthode utilisée.
Listing des sites compatibles
| Nom de l’application | SMS | Appel téléphonique | Confirmation hardware | Confirmation software | Lien direct | |
|---|---|---|---|---|---|---|
| Communication | ||||||
| Basecamp |  |
|||||
| Discord | |
|
||||
| Gmail | |
|
|
|
🔗 | |
| MailChimp | |
|
🔗 | |||
| Outlook.com | |
|
🔗 | |||
| Skype |  |
|
||||
| Slack | |
|
🔗 | |||
| Telegram | |
|
|
|
||
| Yahoo Mail | |
|||||
| Divertissement | ||||||
| Google Play | |
|
|
|
🔗 | |
| Twitch | |
|
🔗 | |||
| YouTube | |
|
|
|
🔗 | |
| Finance | ||||||
| PayPal | |
|
|
🔗 | ||
| Paysafecard | |
|||||
| Skrill | |
|
||||
| Stripe | |
|
||||
| Jeux | ||||||
| Blizzard | |
|
|
🔗 | ||
| Guild Wars 2 | |
|
|
|
||
| Humble Bundle | |
|
🔗 | |||
| Origin | |
|
|
🔗 | ||
| Playstation Network | |
|||||
| Roberts Space Industries | |
|
🔗 | |||
| Steam | |
|
🔗 | |||
| Uplay | |
🔗 | ||||
| Xbox Live | |
|
|
🔗 | ||
| Lifestyle | ||||||
| Nest | |
|||||
| Outils | ||||||
| Dashlane | |
|
||||
| LastPass | |
|
||||
| Norton | |
|
|
|||
| Professionnel | ||||||
| OVH | |
|
🔗 | |||
| Productivité | ||||||
| Adobe ID | |
|
🔗 | |||
| Apple iCloud | |
|
||||
| Autodesk | |
|
|
|
||
| Dropbox | |
|
|
🔗 | ||
| Evernote | |
|
||||
| GitHub | |
|
|
🔗 | ||
| Google Drive | |
|
|
|
🔗 | |
| IFTTT | |
|
🔗 | |||
| Office 365 | |
|
|
🔗 | ||
| TeamViewer | |
🔗 | ||||
| Trello | |
|||||
| Réseaux sociaux | ||||||
| Bitly | |
|||||
| Buffer | |
|
🔗 | |||
|
|
|
🔗 | |||
| Google+ | |
|
|
|
🔗 | |
|
🔗 | |||||
| Kickstarter | |
|
|
🔗 | ||
|
🔗 | |||||
| Medium | |
|||||
| Snapchat | |
|
||||
| Tumblr | |
|
||||
|
|
🔗 | ||||
| WordPress.com | |
|
🔗 | |||
| Shopping | ||||||
| Amazon | |
|
||||
| Apple | |
|
||||
| eBay | |
|
||||
| Etsy | |
🔗 | ||||
Ce tableau a été réalisé en partie grâce au travail de 🔗 Two Factor Auth, si vous souhaitez contribuer à leur travail, ils ont un GitHub vous permettant d’ajouter de nouveaux sites ainsi que leur(s) moyen(s) d’authentification multiple.
Les cas particuliers (Blizzard, Steam, …)
Certains sites (Blizzard, Steam, …) n’utilisent pas l’algorithme TOTP pour la génération de clés uniques, cela veut dire que l’application Google Authentificator ne vous servira pas – étant donné qu’elle ne supporte que le TOTP standard – et qu’il vous faudra télécharger les applications « maisons ». En suivant ma méthode d’activation universelle, vous devriez obtenir facilement le lien de téléchargement de la-dite application.
Comment ajouter la double authentification à votre WordPress ?
Je vous recommande l’extension de sécurité français 🔗 SecuPress qui bénéficie d’une option vous permettant de vous connecter en ayant la double authentification activée, pour cela, il faut bien-sûr installer et activer le plugin sur votre site sous WordPress et vous rendre sur Modules > Utilisateurs & login > Authentification, attention, il s’agit d’une option disponible dans la version payante. Cette dernière ne vous demandera que votre adresse e-mail, il vous suffira de cliquer sur le lien que l’extension vous enverra par e-mail.
Utilisez-vous la double – voire la triple – authentification au quotidien ? Il y a-t-il des sites manquants dans le tableau ? Avez-vous déjà décelé d’autres méthodes d’authentification ?
1 🔗 Définition et catégories d’hackeurs selon Wikipédia
2 🔗 L’algorithme TOTP selon Wikipédia