Pleine confianceEst-ce vraiment toi ? C’est ce que vérifie la double authentification. Avoir le bon nom d’utilisateur et le bon mot de passe n’est plus suffisant.
Même si tu as ton nom d’utilisateur et ton mot de passe sous la main, on n’est toujours pas certain que c’est bien toi qui tente de te connecter à un service sur le web. Pourquoi ?
Les identifiants sont les données les plus convoitées par les criminels sur le web. À chaque fuite de données, et il y en a chaque jour, ce sont des millions d’identifiants additionnels qui s’ajoutent à la grande base de données des groupes de pirates.
🌘 Les APT, des groupes criminels étatiques, organisés comme de grandes entreprises
Qui sont ces groupes criminels ? De plus en plus, on parle de groupes APT, pour Advanced Persistent Threats, ou menaces persistantes et avancées. Ce sont des groupes techniquement sophistiqués (avancés) et subventionnés par des gouvernements, principalement la Russie, la Chine, l’Iran, Israël, la Corée du Nord, le Vietnam, la Turquie, l’Ouzbékistan et les États-Unis.
Ces groupes visent surtout les grandes entreprises, pas les petites entreprises. Mais, pourquoi alors est-ce que ça devrait te concerner ? Pour une raison bien évidente. Les grandes entreprises ont des petites entreprises comme client et elles sont beaucoup de données sur toi.
Comme ces groupes ont beaucoup de ressources et de moyens financiers, ils ont les moyens de passer à travers les listes de clients volées, de les croiser avec leurs bases de données de fuites d’identifiants, et de s’en prendre aux plus vulnérables.
Donc, en faisant un effort pour sécuriser ton entreprise, tu deviens moins attrayant pour ces groupes APT, et comme ils ont des millions de données sous la main, ils vont passer à un autre appel. Il te suffit donc d’être le moindrement au-dessus de la mêlée pour avoir une bien meilleure protection.
🌘 Maintenant, comment aller plus loin pour se protéger ?
Nous avons fait le travail de mettre en place un gestionnaire de mots de passe et de changer tous nos mots de passe qui se trouvent dans une fuite de données.
La méthode la plus courante pour bien protéger ses comptes en ligne est de mettre en place la double authentification. Cependant, c’est important de bien le faire, parce que tu peux aussi te retrouver dans une situation ou tu t’embarres toi-même en dehors de tous tes comptes !
Ce qui est vraiment désagréable. L’excès de protection, plus ou moins bien planifiée, peut aussi devenir un cauchemar où les entreprises avec qui ont fait affaire nous trouvent nous-même suspects !
🌘 Un avertissement sur les automatisations
La mise en place de l’authentification à double facteur peut, dans certains cas, briser les chaînes d’automatisation que tu as mis en place à l’aide de services tels que Zapier, IFTTT, n8n ou Make (ancien Integromat).
Si ces intégrations utilisent des jetons API, alors ça ne devrait pas te causer de soucis.
Si elles utilisent plutôt des authentifications régulières avec nom d’utilisateur et mot de passe (Auth Basic), il faudra alors, dans plusieurs cas, remplacer le mot de passe par une clé d’authentification API ou un mot de passe d’application.
Je t’invite à prendre garde et à bien avoir en tête les différentes applications que tu utilises dans tes intégrations.
Pour ce faire, n’hésite pas à faire une liste des applications où tu souhaites appliquer la double authentification et vérifier lesquelles sont utilisées dans des intégrations. Un chiffrier Excel ou un mindmap pour illustrer les intégrations peut alors être très utile.
Si tu cherches des logiciels libres pour faire des mindmaps, tu peux consulter mon billet de blog à ce sujet: Les meilleurs logiciels libres de mind-mapping
Personnellement, j’utilise surtout FreePlane. Voici un exemple de carte d’intégration.
La clé représente une intégration API et la planète avec le cadenas, un mot de passe d’application. Toutes les applications à droite ont une authentification par double facteur en place.
🌘 Vers la double authentification
Nous allons activer la fonctionnalité de double authentification, ou deux facteurs, dès que possible, dans tous tes services en ligne où la fonctionnalité est offerte.
Pour activer la fonctionnalité de double authentification, nous allons utiliser une application mobile de double authentification.
Il existe aussi d’autres types de double authentification, à travers une clé USB spéciale tel que les YubiKey, mais je ne les couvre pas dans cette formation, parce qu’il n’y a pas tant de sites qui les supportent bien.
C’est une mesure essentielle comme il est de plus en plus courant de pouvoir obtenir des mots de passe par des techniques d’ingénierie sociale ou par des fuites de données.
🌘 Comment fonctionne la double authentification ?
La double authentification, c’est un principe de sécurité qui dit qu’on devrait toujours s’identifier d’au moins deux manières différentes parmi les 3 moyens suivants:
- Quelque chose que tu sais (un mot de passe, un numéro d’identification, un dessin)
- Quelque chose que tu possèdes (une carte d’accès, un téléphone, une puce à radio-fréquences)
- Quelque chose à propos de toi (une empreinte digitale, gestuelle ou oculaire, l’ADN, notre façon de taper au clavier, notre ton de voix, …)
Un de ceux-ci sera considéré comme l’identifiant principal. Il doit être exact en tout temps. L’autre identifiant est appelé secondaire. Il peut être exact ou approximativement exact. En fait, la biométrie n’est jamais parfaite. Notre corps change avec notre état de santé et notre parcours de vie. De plus, les technologies biométriques ont aussi un niveau de précision limité.
D’ailleurs, l’utilisation de la biométrie comme identifiant principal est une cause importante de préjudice et de fausses accusations devant les tribunaux. Les algorithmes biométriques sont souvent entraînés à partir des données d’hommes blancs.
Ils peuvent aussi être prélevés sans ton consentement et permettre d’accéder à tes appareils. On a vu, par exemple, des moules de doigts fait à partir d’empreintes digitales.
🌘 Les limites de la double authentification
Je crois que c’est important de rappeler que la double authentification ne protège pas de l’usurpation de domaine. Pour t’assurer que tu es sur le bon site web, il y a quelques détails à vérifier:
- Entre le site web manuellement ou accèdes-y depuis tes favoris, pour t’assurer que tu es sur le bon site, et non un site avec une adresse quasi identique (ce qu’on appelle typosquatting ou slopsquatting dans le cas des domaines hallucinés par l’IA générative)
- Assures-toi que le site est sécurité en tout temps (HTTPS). Attention, un site malveillant peut aussi être sécurité, d’où le premier point
- En cas de doute, entre un mauvais mot de passe. Si l’authentification fonctionne, tu confirmes que tu étais sur un site frauduleux. Mais … ce n’est pas suffisant en cas d’attaque de type Evil Proxy. D’où le premier point !
🌘 Comment nous allons la mettre en place ?
Nous allons utiliser un identifiant secondaire basé sur un appareil que tu possèdes (un téléphone ou une tablette avec Android ou iOS). La méthode utilisée sera une application qui génère des codes numériques pseudo-aléatoires, appelée time-based one-time password (TOTP).
Le fonctionnement des applications TOTP est assez similaire entre elles. Cependant, nous allons vouloir nous assurer d’une chose: pouvoir accéder aux sauvegardes de celle-ci. En fait, tout comme les mots de passe, les applications TOTP deviennent, elles aussi, des secrets.
Il y a deux façons d’avoir des sauvegardes de ces applications:
- Une sauvegarde par un fichier de configuration téléchargeable
- Une sauvegarde par infonuagique
L’application que tu vas choisir va idéalement avoir un de ces deux mécanismes en place.
Il y a tout de suite une application que je vais te décourager d’utiliser: c’est Google Authenticator.
Voici trois applications que je peux te recommander:
- Ente Auth, une application libre de double authentification qui fonctionne sur tous les appareils mobiles et les ordinateurs de bureau, autant sur Windows, Mac OS (avec Apple Silicon) et Linux, ainsi que dans les navigateurs web.
- Microsoft Authenticator est une application très sécuritaire pour Android et iOS par Microsoft. Elle est souvent utilisée en entreprise et elle a beaucoup de fonctionnalité. Tu dois cependant avoir un compte Microsoft pour l’utiliser. Elle est obligatoire maintenant pour utiliser Microsoft 365 en entreprise.
- Google Authenticator ont aussi corrigé dernièrement un bogue qui la rendait peu sécuritaire. Je te fais une mise en garde en lien avec ton compte Android si tu choisis de la garder. Comme elle est attachée à ton compte Google, qui est souvent essentiel pour utiliser un téléphone Android, la perte du téléphone rend très difficile la récupération des données de celle-ci si tu n’as pas un forfait Google Entreprise où ton compte est plutôt lié à ton nom de domaine.
Je te dirais de faire attention parce qu’il y a beaucoup d’applications de mauvaise qualité sur Android particulièrement qui peuvent représenter plus de risque que de bénéfices. Je te conseille fortement de rester parmi les 3 précédentes.
🌘 Comment utiliser l’application de double authentification
La double authentification est un facteur additionnel qui s’ajoute à l’identifiant et au mot de passe. Certains services offrent cette possibilité, mais pas tous. Il y a aussi quelques éléments à faire attention de ton côté et je voulais te les partager avant de te montrer comment diminuer les risques.
Il n’est généralement pas possible de retrouver l’accès un compte où on a activé la double authentification si on perd l’appareil où on génère les codes, et si on n’a aucun autre moyen d’accéder au compte (soit avec un message SMS, une confirmation courriel ou un code de secours).
Il faut donc t’assurer d’avoir toujours un plan de secours lorsque tu actives la double authentification. Ce peut être en copiant les codes de secours à un endroit sécuritaire en plusieurs copies, soit en ayant plusieurs appareils avec le même générateur de codes synchronisés entre eux, ou en utilisant une clé d’authentification physique (Yubikey) que nous ne couvrirons pas dans cet article.
La présence de double authentification et d’un plan de secours peut devenir un critère intéressant à regarder lorsqu’on choisit un nouveau service.
Une autre chose à faire attention, c’est de ne pas mettre les identifiants de double authentification (Jeton secret ou clés de secours) dans ton gestionnaire de mots de passe. Dans ce cas, on se retrouve avec une seule source d’identification et c’est contreproductif au niveau de la sécurité, car si un pirate accède à ton gestionnaire de mots de passe, il a accès à tout au même endroit.
🌘 Configurer un nouveau code de double authentification
La création d’un générateur de codes de double authentification a toujours mes mêmes deux étapes:
- Scanner un code QR à l’aide de ton téléphone mobile ou d’une tablette
- Entrer un code généré pour synchroniser ton application avec le site web et confirmer que tu as bien scanné le bon code
Le système qui permet au site web d’avoir le même code que ton application s’appelle la génération de nombres pseudo-aléatoires. Ce système fonctionne avec une amorce, qui est un point de départ pour l’algorithme. Ensuite, à chaque minute, un code différent est calculé à partir de la date, de l’heure et de l’amorce.
L’amorce est donc une information précieuse à protéger, au même titre qu’un mot de passe. C’est pourquoi nous allons aussi voir comment faire des sauvegardes de celles-ci.
Sur la page suivante, je vais te montrer un exemple d’activation d’un générateur de codes de double authentification.
🌘 Exemple pratique
Je vais te montrer un exemple que j’ai fait par le passé avec l’application mobile Aegis (parce qu’elle permet les captures d’écran) et le site web Nextcloud. C’est toujours pas mal le même processus sur les différents site web et les différentes applications, alors cet exemple est selon-moi assez représentatif.
Premièrement, sur le service que tu utilises, vérifies si tu peux activer l’authentification à double facteur ou à facteurs multiples (TOTP). L’appellation peut changer d’un service à un autre, mais l’idée est toujours la même
En général, le site web va te demander ton mot de passe à nouveau, comme avec toute action qui change les paramètres de sécurité.
Mais, c’est une bonne chose, puisque tu as maintenant ton gestionnaire de mots de passe à portée de main !
Une fois que tu auras fait l’action requise pour ouvrir la section sur la double authentification, on va t’afficher un code QR que tu pourras scanner avec ton appareil mobile.
Si tu n’as pas d’application mobile, tu peux entrer le secret TOTP dans ton application de bureau. Ce code est aussi ce qu’on va vouloir inclure dans nos sauvegardes (backups) plus tard.
Par contre, ne l’entre pas dans ton gestionnaire de mots de passe, parce que ça vient invalider l’utilisation de la double authentification.
Depuis ton application mobile d’authentification TOTP, tu pourras scanner ce code QR. Appuie sur le (+) en bas, puis sur Scanner code QR.
Ça va automatiquement remplir une nouvelle entrée.
Maintenant, prends les 6 chiffres qui sont générés dans ton application et entre les dans la case identifiée sur ton service. Ceci sert à synchroniser ton service avec ton application mobile pour éviter les décalages trop importants.
En général, les applications vont tolérer si tu entres le code précédent durant quelques secondes après qu’il ait changé, mais pas vraiment plus.
Tu pourras répéter cette procédure pour tous les services importants que tu utilises.
🌘 Protéger tes réseaux sociaux avec la double authentification
Nous allons ici faire quelques tâches de sécurisation qui vont avoir un impact majeur sur la sécurité de tes communications. Les réseaux sociaux sont des cibles de choix pour les pirates, parce qu’ils permettent de nombreuses arnaques via l’ingénierie sociale, en se faisant passer pour toi auprès des gens qui te font confiance, c’est à dire tes contacts.
Un pirate ne s’intéresse pas tant à tes publications ni à tes abonnés, mais surtout, à tes conversations privées. Parce qu’elles sont remplies d’information personnelles pour préparer leur prochaine attaque.
La double authentification, ça permet de protéger l’accès à ta communauté et une des principales vitrines de ton entreprise.
Dans les prochaines pages, je vais couvrir LinkedIn, Instagram et Facebook.
Depuis la page d’accueil de LinkedIn, clique sur ta photo de profil dans le menu, puis sur Préférences et confidentialité.
Tu peux aussi y accéder directement avec ce lien: https://www.linkedin.com/mypreferences/d/categories/account
Ensuite, va dans la section identification et sécurité: https://www.linkedin.com/mypreferences/d/categories/sign-in-and-security. Puis, clique sur Vérification en deux étapes.
Ensuite, clique sur l’interrupteur pour activer
Ensuite, choisis Application d’authentification, puis clique sur Continuer
Pour les prochaines étapes, on va te demander ton mot de passe plusieurs fois ! Une chance que tu utilises maintenant un gestionnaire de mots de passe 😅.
Tu vas ensuite devoir entrer une clé secrète dans ton application de double authentification. Crée une nouvelle entrée nommée LinkedIn, puis entre la séquence de caractères dans la cellule Clé secrète.
C’est aussi possible que tu puisses scanner un code QR, mais depuis quelques temps, le code ne semble plus disponible. C’est une opinion personnelle, mais je crois que LinkedIn négligent de plus en plus leur expérience utilisateur pour sécuriser leur plateforme.
Tu seras ensuite invité·e à créer des codes. Tu devras les copier-coller dans un fichier par toi-même … Alors fais attention, et vide ton cache de presse-papier si tu utilise un utilitaire de presse-papier !
Nous allons activer la fonctionnalité de double authentification, ou deux facteurs, sur Instagram.
Tu peux y accéder directement via ce lien si tu es déjà connecté·e: https://www.instagram.com/accounts/privacy_and_security/
Sinon, va dans les paramètres, puis dans la section Sécurité et confidentialité.
Va dans la section Authentification à deux facteurs et clique sur le lien bleu qui se nomme Modifier le paramètre d’authentification à deux facteurs.
Coche la case Utiliser une app d’authentification
Clique sur Utiliser une app d’authentification et suis les instructions qui seront affichées.
Ensuite, en revenant à la page Authentification à deux facteurs, va dans la section Méthodes supplémentaire, puis clique sur Obtenir des codes de secours.
Tu peux placer ces codes de secours au même endroit que ceux que tu as déjà accumulés, soit sur un disque chiffré et en les imprimant et en les mettant dans un coffre-fort.
Nous allons maintenant faire la même chose avec Facebook.
Facebook change vraiment souvent d’interface. C’est possible que les captures ne soient plus à jour
Tu peux accéder directement à la section Sécurité et connexion avec ce lien: https://www.facebook.com/settings?tab=security
ou en suivant ce chemin :
Depuis la page d’accueil, clique sur ton profil, puis va dans Paramètres et confidentialité
Va ensuite dans la section Sécurité et connexion depuis le menu de gauche.
Clique ensuite sur le bouton modifier à droite de l’option Utiliser l’authentification à deux facteurs
- Tu vas ensuite devoir entrer ton mot de passe.
- Ensuite, choisis Application d’authentification,
- Clique sur le bouton Configurer à droite.
- Suis les étapes en utilisant ton application de double authentification.
- Une fois complété, clique sur le bouton Configurer à droite de Codes de récupération.
- Clique sur Obtenir des codes
- Clique sur Obtenir de nouveaux codes
- Clique sur Télécharger.
- Tu peux ensuite les sauvegarder au même endroit que tes autres codes.
🌘 Sécuriser son application TOTP pour ne pas se peinturer dans le coin
Un des plus gros risques avec l’utilisation de la double authentification avec une application TOTP, c’est de se peinturer dans le coin.
C’est-à-dire d’avoir besoin d’un code et de ne pas être capable d’en obtenir un parce qu’on n’a plus accès à l’application.
🌘 Configurer les sauvegardes infonuagiques sur Microsoft Authenticator
En premier, tu auras besoin d’un compte Microsoft si tu utilises Android. Si tu utilises Windows 10, tu en as déjà un, c’est celui de ton ordinateur. Sur iOS, c’est via iCloud que la sauvegarde va se faire.
Sinon, tu peux te créer un compte personnel Microsoft depuis leur site web. Voici les instructions en français: [https://support.microsoft.com/fr-fr/account-billing/procédure-de-création-d-un-nouveau-compte-microsoft-a84675c3-3e9e-17cf-2911-3d56b15c0aaf)
Pour ma part, j’utilise mon compte GitHub qui est aussi lié à mon compte Microsoft personnel. Tu n’as pas besoin de te créer un compte courriel Outlook pour avoir un compte Microsoft. C’est séparé. Tu peux le faire avec ton compte courriel existant.
Note : l’application ne permet normalement pas de faire des captures d’écran par mesure de sécurité. J’ai désactivé temporairement la protection pour les besoins de la cause, mais je ne peux pas te montrer toutes les étapes.
Premièrement, déverrouille l’application.
Ensuite, va dans les trois points verticaux en haut à droite.
Clique sur Paramètres, puis active l’option Sauvegarde Cloud
Tes comptes Microsoft Authenticator vont maintenant être sauvegardés avec ton compte Microsoft ou iCloud. Si tu changes d’appareil, tu vas pouvoir récupérer tes comptes plus facilement.
🌘 Sauvegarder ton compte Ente Auth dans un fichier
Une bonne pratique, c’est aussi de conserver une copie des codes d’initialisation hors de l’application. Ceci nous permet d’éviter la situation où l’application n’est pas disponible.
Dans Ente Auth, sur ordinateur, tu peux exporter les codes depuis le menu de gauche. C’est aussi possible sur téléphone, mais transporter le fichier est ensuite plus complexe.
Choisis un fichier chiffré, entre un mot de passe généré depuis ton gestionnaire de mot de passe, puis le fichier sera sauvegardé dans ton répertoire de téléchargements. Il va se nommer ente-auth-codes-yyyy-mm-dd.txt, avec la date du jour. Assures-toi de mettre ce fichier dans tes sauvegardes et dans ton nuage de fichiers.
🌘 Activer le TOTP dans ton gestionnaire de mots de passe
Le gestionnaire de mots de passe peut aussi être sécurité avec une authentification à deux facteurs.
Mais, avant de le faire, tu dois t’assurer que ces deux choses sont en place et fonctionnelles:
- Tu as mis en place une sauvegarde de ton coffre (par exemple: Bitwarden) hors ligne
- Tu as mis en place une sauvegarde de ton application à double facteur soit par infonuagique ou avec un fichier
Sans ces deux précautions en place, tu pourrais rendre l’accès à tes mots de passe très difficile si tu perdais accès à tes appareils et à ton application TOTP. Certains gestionnaires de mots de passe tel que Bitwarden gardent une copie en cache de ton coffre de mots de passe.
🌘 Exemple avec Bitwarden
Depuis le coffre en ligne de Bitwarden, va dans la section des paramètres du compte.
Depuis la section Paramètres du compte, clique sur Sécurité, puis sur l’onglet Identification en deux étapes
Clique sur Gérer à côté d’applications d’authentification, puis entre le mot de passe de ton coffre Bitwarden à nouveau, puis clique sur Continuer.
Tu vas retrouver une interface standard d’activation d’application à double facteur avec un code QR, comme je t’ai déjà présenté.
Tu vas remarquer que Bitwarden te suggère d’utiliser Microsoft Authenticator ! Ce n’est pas pour rien. C’est une application reconnue ! Complète les étapes comme je t’ai montré dans les leçons précédentes. Si tu utilises Ente Auth, fais une sauvegarde par fichier immédiatement par la suite.
Enfin, n’oublie pas de faire une copie de tes codes de récupération sur ton disque externe chiffré, et aussi d’en imprimer une copie au besoin.
Ton application de gestion de mots de passe est maintenant protégée par la double authentification. Tes identifiants sont en sécurité !
🌘 Les autres types de double authentification
Il existe d’autre types d’authentification qui peuvent remplacer ou compléter celle par mot de passe. Il faut cependant noter que certains sont basés sur des modèles statistiques et ne sont pas suffisants à eux seuls.
- La clé physique de type Yubikey ou la carte d’authentification NFC telle que celle proposée par l’entreprise québécoise Kelvin Zero
- La clé cryptographique stockée sur l’ordinateur, appelée PassKeys. Le gestionnaire de mots de passe Bitwarden a aussi cette fonctionnalité, mais elle ne fonctionne pas toujours bien, par exemple dans le cas de fenêtres modales où Bitwarden n’est pas accessible.
- Les identifiants biométriques, tels que l’empreinte digitale ou la reconnaissance faciale. Ces méthodes sont basées sur des statistiques et ne sont pas des méthodes d’authentification à elles seules, mais peuvent agir comme double facteur de manière plutôt efficace. Il faut aussi faire attention au consentement, car elles peuvent être utilisées de force, par exemple par les forces policières.
🌘 Conclusion
Cet article d’introduction à la double authentification par la méthode TOTP permet d’ajouter une couche de sécurité dans ton utilisation de l’informatique, en plus d’assurer la protection de ton gestionnaire de mots de passe.