Pleine confianceEst-ce vraiment toi ? C'est ce que vérifie la double authentification. Avoir le bon nom d'utilisateur et le bon mot de passe n'est plus suffisant.
Même si tu as ton nom d'utilisateur et ton mot de passe sous la main, on n'est toujours pas certain que c'est bien toi qui tente de te connecter à un service sur le web. Pourquoi ?
Les identifiants sont les données les plus convoitées par les criminels sur le web. À chaque fuite de données, et il y en a chaque jour, ce sont des millions d'identifiants additionnels qui s'ajoutent à la grande base de données des groupes de pirates.
🌘 Les APT, des groupes criminels étatiques, organisés comme de grandes entreprises
Qui sont ces groupes criminels ? De plus en plus, on parle de groupes APT, pour Advanced Persistent Threats, ou menaces persistantes et avancées. Ce sont des groupes techniquement sophistiqués (avancés) et subventionnés par des gouvernements, principalement la Russie, la Chine, l'Iran, Israël, la Corée du Nord, le Vietnam, la Turquie, l'Ouzbékistan et les États-Unis.
Ces groupes visent surtout les grandes entreprises, pas les petites entreprises. Mais, pourquoi alors est-ce que ça devrait te concerner ? Pour une raison bien évidente. Les grandes entreprises ont des petites entreprises comme client et elles sont beaucoup de données sur toi.
Comme ces groupes ont beaucoup de ressources et de moyens financiers, ils ont les moyens de passer à travers les listes de clients volées, de les croiser avec leurs bases de données de fuites d'identifiants, et de s'en prendre aux plus vulnérables.
Donc, en faisant un effort pour sécuriser ton entreprise, tu deviens moins attrayant pour ces groupes APT, et comme ils ont des millions de données sous la main, ils vont passer à un autre appel. Il te suffit donc d'être le moindrement au-dessus de la mêlée pour avoir une bien meilleure protection.
🌘 Maintenant, comment aller plus loin pour se protéger ?
Nous avons fait le travail de mettre en place un gestionnaire de mots de passe et de changer tous nos mots de passe qui se trouvent dans une fuite de données.
La méthode la plus courante pour bien protéger ses comptes en ligne est de mettre en place la double authentification. Cependant, c'est important de bien le faire, parce que tu peux aussi te retrouver dans une situation ou tu t'embarres toi-même en dehors de tous tes comptes !
Ce qui est vraiment désagréable. L'excès de protection, plus ou moins bien planifiée, peut aussi devenir un cauchemar où les entreprises avec qui ont fait affaire nous trouvent nous-même suspects !
🌘 Un avertissement sur les automatisations
La mise en place de l'authentification à double facteur peut, dans certains cas, briser les chaînes d'automatisation que tu as mis en place à l'aide de services tels que Zapier, IFTTT, n8n ou Make (ancien Integromat).
Si ces intégrations utilisent des jetons API, alors ça ne devrait pas te causer de soucis.
Si elles utilisent plutôt des authentifications régulières avec nom d'utilisateur et mot de passe (Auth Basic), il faudra alors, dans plusieurs cas, remplacer le mot de passe par une clé d'authentification API ou un mot de passe d'application.
Je t'invite à prendre garde et à bien avoir en tête les différentes applications que tu utilises dans tes intégrations.
Pour ce faire, n'hésite pas à faire une liste des applications où tu souhaites appliquer la double authentification et vérifier lesquelles sont utilisées dans des intégrations. Un chiffrier Excel ou un mindmap pour illustrer les intégrations peut alors être très utile.
Si tu cherches des logiciels libres pour faire des mindmaps, tu peux consulter mon billet de blog à ce sujet: Les meilleurs logiciels libres de mind-mapping
Personnellement, j'utilise surtout FreePlane. Voici un exemple de carte d'intégration.
La clé représente une intégration API et la planète avec le cadenas, un mot de passe d'application. Toutes les applications à droite ont une authentification par double facteur en place.
- Stripe, PayPal, Nextcloud et Fastmail sont avec Aegis
- ConvertKit est avec Authy
- Outlook est avec Microsoft Authenticator
Ce sont les trois applications de double authentification que je vais te présenter dans cet article.
Mise à jour importante: Depuis la rédaction de ce contenu, j'ai découvert l'application Ente Auth. Je te conseille fortement de te la procurer. Elle peut remplacer Google Authenticator, Aegis et Authy et fonctionne sur tous les systèmes, y compris les ordinateurs PC et Mac.
🌘 Vers la double authentification
Nous allons activer la fonctionnalité de double authentification, ou deux facteurs, dès que possible, dans tous tes services en ligne où la fonctionnalité est offerte.
Pour activer la fonctionnalité de double authentification, nous allons utiliser une application mobile de double authentification.
Il existe aussi d'autres types de double authentification, à travers une clé USB spéciale tel que les YubiKey, mais je ne les couvre pas dans cette formation, parce qu'il n'y a pas tant de sites qui les supportent bien.
C'est une mesure essentielle comme il est de plus en plus courant de pouvoir obtenir des mots de passe par des techniques d'ingénierie sociale ou par des fuites de données.
🌘 Comment fonctionne la double authentification ?
La double authentification, c'est un principe de sécurité qui dit qu'on devrait toujours s'identifier d'au moins deux manières différentes parmi les 3 moyens suivants:
- Quelque chose que tu sais (un mot de passe, un numéro d'identification, un dessin)
- Quelque chose que tu possèdes (une carte d'accès, un téléphone, une puce à radio-fréquences)
- Quelque chose à propos de toi (une empreinte digitale, gestuelle ou oculaire, l'ADN, notre façon de taper au clavier, notre ton de voix, ...)
Un de ceux-ci sera considéré comme l'identifiant principal. Il doit être exact en tout temps. L'autre identifiant est appelé secondaire. Il peut être exact ou approximativement exact. En fait, la biométrie n'est jamais parfaite. Notre corps change avec notre état de santé et notre parcours de vie. De plus, les technologies biométriques ont aussi un niveau de précision limité.
D'ailleurs, l'utilisation de la biométrie comme identifiant principal est une cause importante de préjudice et de fausses accusations devant les tribunaux. Les algorithmes biométriques sont souvent entraînés à partir des données d'hommes blancs.
Ils peuvent aussi être prélevés sans ton consentement et permettre d'accéder à tes appareils. On a vu, par exemple, des moules de doigts fait à partir d'empreintes digitales.
🌘 Comment nous allons la mettre en place ?
Nous allons utiliser un identifiant secondaire basé sur un appareil que tu possèdes (un téléphone ou une tablette avec Android ou iOS). La méthode utilisée sera une application qui génère des codes numériques pseudo-aléatoires, appelée time-based one-time password (TOTP).
Le fonctionnement des applications TOTP est assez similaire entre elles. Cependant, nous allons vouloir nous assurer d'une chose: pouvoir accéder aux sauvegardes de celle-ci. En fait, tout comme les mots de passe, les applications TOTP deviennent, elles aussi, des secrets.
Il y a deux façons d'avoir des sauvegardes de ces applications:
- Une sauvegarde par un fichier de configuration téléchargeable
- Une sauvegarde par infonuagique
L'application que tu vas choisir va idéalement avoir un de ces deux mécanismes en place.
Il y a tout de suite une application que je vais te décourager d'utiliser: c'est Google Authenticator. Comme elle est attachée à ton compte Google, qui est souvent essentiel pour utiliser un téléphone Android, la perte du téléphone rend très difficile la récupération des données de celle-ci. Donc, pas de Google Authenticator.
Voici certaines applications que je peux te recommander:
- Aegis (https://getaegis.app/) est une application pour Android. C'est un logiciel libre. Elle permet la sauvegarde avec un fichier téléchargeable et via un service de fichiers infonuagique. Avec ce fichier, il est possible de la synchroniser manuellement sur plusieurs appareils Android.
- Authy (https://authy.com/) est une application pour Android et iOS, mais aussi pour le bureau, avec des clients Windows, mac OS et Linux. C'est un logiciel commercial de l'entreprise Twilio. La sauvegarde s'effectue via l'infonuagique et est associée à ton numéro de téléphone. C'est une application assez complète qui peut être synchronisée sur plusieurs appareils. Certains fournisseurs tels que Twitch et ConvertKit utilisent seulement Authy. Si tu n'as pas de téléphone mobile ou de tablette, je te conseille celle-ci.
- Microsoft Authenticator (https://www.microsoft.com/en-us/security/mobile-authenticator-app) est une application très sécuritaire pour Android et iOS par Microsoft. Elle est souvent utilisée en entreprise et elle a beaucoup de fonctionnalité. Tu dois cependant avoir un compte Microsoft pour l'utiliser.
Si tu hésites, choisis Authy. C'est une valeur sûre selon moi.
Je les ai les trois, personnellement. J'utilise surtout Aegis, mais j'ai Twitch et ConvertKit sur Authy et mes comptes Microsoft, incluant GitHub sur Microsoft Authenticator.
Parmi les autres applications que je vois souvent conseillées, il y a LastPass Authenticator (c'est une autre application différente de celle pour les mots de passe) qui est similaire à Authy, et FreeOTP+ sur Android qui est similaire à Aegis.
Google Authenticator ont aussi corrigé dernièrement un bogue qui la rendait peu sécuritaire. Mais rappelle-toi la mise en garde en lien avec ton compte Android si tu choisis de la garder.
Je te dirais de faire attention parce qu'il y a beaucoup d'applications de mauvaise qualité sur Android particulièrement qui peuvent représenter plus de risque que de bénéfices. Je te conseille fortement de rester parmi les 3 que j'ai présentées.
🌘 Comment utiliser l'application de double authentification
La double authentification est un facteur additionnel qui s'ajoute à l'identifiant et au mot de passe. Certains services offrent cette possibilité, mais pas tous. Il y a aussi quelques éléments à faire attention de ton côté et je voulais te les partager avant de te montrer comment diminuer les risques.
Il n'est généralement pas possible de retrouver l'accès un compte où on a activé la double authentification si on perd l'appareil où on génère les codes, et si on n'a aucun autre moyen d'accéder au compte (soit avec un message SMS, une confirmation courriel ou un code de secours).
Il faut donc t'assurer d'avoir toujours un plan de secours lorsque tu actives la double authentification. Ce peut être en copiant les codes de secours à un endroit sécuritaire en plusieurs copies, soit en ayant plusieurs appareils avec le même générateur de codes synchronisés entre eux, ou en utilisant une clé d'authentification physique (Yubikey) que nous ne couvrirons pas dans cet article.
La présence de double authentification et d'un plan de secours peut devenir un critère intéressant à regarder lorsqu'on choisit un nouveau service.
Une autre chose à faire attention, c'est de ne pas mettre les identifiants de double authentification (Jeton secret ou clés de secours) dans ton gestionnaire de mots de passe. Dans ce cas, on se retrouve avec une seule source d'identification et c'est contreproductif au niveau de la sécurité, car si un pirate accède à ton gestionnaire de mots de passe, il a accès à tout au même endroit.
🌘 Configurer un nouveau code de double authentification
La création d'un générateur de codes de double authentification a toujours mes mêmes deux étapes:
- Scanner un code QR à l'aide de ton téléphone mobile ou d'une tablette
- Entrer un code généré pour synchroniser ton application avec le site web et confirmer que tu as bien scanné le bon code
Le système qui permet au site web d'avoir le même code que ton application s'appelle la génération de nombres pseudo-aléatoires. Ce système fonctionne avec une amorce, qui est un point de départ pour l'algorithme. Ensuite, à chaque minute, un code différent est calculé à partir de la date, de l'heure et de l'amorce.
L'amorce est donc une information précieuse à protéger, au même titre qu'un mot de passe. C'est pourquoi nous allons aussi voir comment faire des sauvegardes de celles-ci.
Sur la page suivante, je vais te montrer un exemple d'activation d'un générateur de codes de double authentification.
🌘 Exemple pratique
Je vais te montrer un exemple avec l'application mobile Aegis et le site web Nextcloud. C'est toujours pas mal le même processus sur les différents sites web, alors cet exemple est selon-moi assez représentatif.
Premièrement, sur le service que tu utilises, vérifies si tu peux activer l'authentification à double facteur ou à facteurs multiples (TOTP). L'appellation peut changer d'un service à un autre, mais l'idée est toujours la même
En général, le site web va te demander ton mot de passe à nouveau, comme avec toute action qui change les paramètres de sécurité.
Mais, c'est une bonne chose, puisque tu as maintenant ton gestionnaire de mots de passe à portée de main ! Si ce n'est pas le cas, je t'invite à visiter le territoire des Passes Dangereuses avant de revenir ici.
Une fois que tu auras fait l'action requise pour ouvrir la section sur la double authentification, on va t'afficher un code QR que tu pourras scanner avec ton appareil mobile.
Si tu n'as pas d'application mobile, tu peux entrer le secret TOTP dans ton application de bureau. Ce code est aussi ce qu'on va vouloir inclure dans nos sauvegardes (backups) plus tard.
Par contre, ne l'entre pas dans ton gestionnaire de mots de passe, parce que ça vient invalider l'utilisation de la double authentification.
Depuis ton application mobile d'authentification TOTP, tu pourras scanner ce code QR. Dans l'application Aegis, on appuie sur le (+) en bas, puis sur Scanner code QR.
Ça va automatiquement remplir une nouvelle entrée.
Maintenant, comme nous avons fait avec les mots de passe, je te conseille de créer des catégories pour tes codes. C'est un peu comme des dossiers dans Bitwarden, mais ici, ça fonctionne plutôt comme des étiquettes que l'on peut filtrer. Ensuite, fais Ok et tu devrais voir ta nouvelle entrée dans ton application.
Maintenant, prends les 6 chiffres qui sont générés dans ton application et entre les dans la case identifiée sur ton service. Ceci sert à synchroniser ton service avec ton application mobile pour éviter les décalages trop importants.
En général, les applications vont tolérer si tu entres le code précédent durant quelques secondes après qu'il ait changé, mais pas vraiment plus.
Tu pourras répéter cette procédure pour tous les services importants que tu utilises. Tu vas en recroiser plusieurs autres dans les territoires suivants. Entre autres, tu auras l'occasion de protéger tes réseaux sociaux, ton site web et ton service courriel.
🌘 Sécuriser son application TOTP pour ne pas se peinturer dans le coin
Un des plus gros risques avec l'utilisation de la double authentification avec une application TOTP, c'est de se peinturer dans le coin.
C'est-à-dire d'avoir besoin d'un code et de ne pas être capable d'en obtenir un parce qu'on n'a plus accès à l'application.
Je vais te montrer la sauvegarde infonuagique à l'aide de l'application Authy en premier. Au bas de la page, tu pourras aussi voir quelques captures d'écran pour Microsoft Authenticator qui a une procédure similaire.
🌘 Configurer les sauvegardes infonuagiques sur Authy
En ouvrant l'application, va dans la section Settings en cliquant sur les trois points en haut à droite.
Puis, dans l'onglet Accounts, clique sur l'interrupteur Backups
La fenêtre suivante va s'ouvrir: Secure Backups. En appuyant dans le premier champ, l'application Bitwarden va afficher le bandeau de remplissage automatique si tu l'as configuré comme précisé dans le territoire des Passes Dangereuses.
Sinon, tu peux aussi ouvrir l'application Bitwarden depuis le menu de ton téléphone pour poursuivre.
Tu n'as normalement aucune entrée pour Authy dans Bitwarden, à moins que tu en aies déjà importée une. Si c'est le cas tu peux tout de suite passer à l'étape Copier le mot de passe.
🌘 Générer le mot de passe
On va maintenant utiliser le générateur de mots de passe de Bitwarden.
Clique sur Ajouter un élément, ou sur le bouton (+) en bas à droite.
Dans cette fenêtre, tu peux générer un mot de passe pour la sauvegarde de Authy. Clique sur sélectionner pour l'assigner à l'entrée de l'application dans Bitwarden.
🌘 Copier le mot de passe
Clique sur l'entrée pour Authy dans Bitwarden. Si tu ne la vois pas, utilise la loupe pour faire une recherche.
Puis copie le mot de passe.
Colle-le dans les deux champs dans l'application Authy, puis clique sur Enable Backups
Tes informations de double authentification sont maintenant sauvegardées sous une forme chiffrée sur les serveurs de Authy. Je t'invite à installer cette application sur un autre appareil si tu en as la possibilité.
🌘 Configurer les sauvegardes infonuagiques sur Microsoft Authenticator
En premier, tu auras besoin d'un compte Microsoft si tu utilises Android. Si tu utilises Windows 10, tu en as déjà un, c'est celui de ton ordinateur. Sur iOS, c'est via iCloud que la sauvegarde va se faire.
Sinon, tu peux te créer un compte personnel Microsoft depuis leur site web. Voici les instructions en français: https://support.microsoft.com/fr-fr/account-billing/proc%C3%A9dure-de-cr%C3%A9ation-d-un-nouveau-com...
Pour ma part, j'utilise mon compte GitHub qui est aussi lié à mon compte Microsoft personnel. Tu n'as pas besoin de te créer un compte courriel Outlook pour avoir un compte Microsoft. C'est séparé. Tu peux le faire avec ton compte courriel existant.
Note : l'application ne permet normalement pas de faire des captures d'écran par mesure de sécurité. J'ai désactivé temporairement la protection pour les besoins de la cause, mais je ne peux pas te montrer toutes les étapes.
Premièrement, déverrouille l'application.
Ensuite, va dans les trois points verticaux en haut à droite.
Clique sur Paramètres, puis active l'option Sauvegarde Cloud
Tes comptes Microsoft Authenticator vont maintenant être sauvegardés avec ton compte Microsoft ou iCloud. Si tu changes d'appareil, tu vas pouvoir récupérer tes comptes plus facilement.
🌘 Sauvegarde de l'application TOTP par fichier
L'application de double authentification TOTP Aegis pour Android se sauvegarde via un fichier chiffré qui doit être enregistré dans un outil de partage de fichiers synchronisé, tel que DropBox, OneDrive, Google Drive ou Nextcloud.
Je vais te montrer ici comment configurer la sauvegarde automatique, puis comment importer tes codes depuis un autre appareil ou même une autre application pour avoir toujours une 2e copie synchronisée de tous tes codes TOTP.
🌘 Activer la sauvegarde automatique
Voici d'abord le menu des paramètres de Aegis
Nous allons aller en premier dans la section Sécurité
On veut s'assurer que le coffre est chiffré avant de faire la sauvegarde. Sinon, le fichier pourrait être déchiffré !
Nous allons maintenant aller dans la section Sauvegardes
On va activer les sauvegardes automatiques (1) puis choisir un répertoire (2)
Pour choisir un répertoire, on navigue dans Android. Tu peux normalement choisir ton outil de partage de fichiers pour accélérer la navigation depuis le menu du haut. Dans mon cas, c'est Nextcloud. Ensuite, je choisis le répertoire que je souhaite (tu peux en créer un nouveau et le nommer Aegis).
Dans mon cas, j'ai déjà des fichiers puisque j'utilise déjà l'application et que je te fais un démo. Mais, normalement, pour toi, le répertoire est vide.
Tu peux maintenant désactiver la sauvegarde Android dans le cloud (3). Ça ne fonctionne jamais bien entre les appareils de toute façon ce truc-là !
🌘 Restaurer l'application sur un autre appareil ou importer d'une autre application
Je vais maintenant te montrer comment importer des codes existants, soit depuis une autre application, soit depuis une sauvegarde de Aegis.
Depuis le menu des paramètres, choisis Importer & Exporter
Choisis Importer depuis un fichier
Puis, choisir Aegis (ou une autre application si c'est ton cas)
Ensuite, choisis le fichier depuis tes répertoires Android. Si tu as configuré ton répertoire de sauvegarde avec un outil de partage de fichiers sur ton autre appareil, comme je t'ai montré en haut, tu vas pouvoir choisir le fichier le plus récent dans le même répertoire.
🌘 Activer le TOTP dans ton gestionnaire de mots de passe
Le gestionnaire de mots de passe peut aussi être sécurité avec une authentification à deux facteurs.
Mais, avant de le faire, tu dois t'assurer que ces deux choses sont en place et fonctionnelles:
- Tu as mis en place une sauvegarde de ton coffre (par exemple: Bitwarden) hors ligne
- Tu as mis en place une sauvegarde de ton application à double facteur soit par infonuagique ou avec un fichier
Sans ces deux précautions en place, tu pourrais rendre l'accès à tes mots de passe très difficile si tu perdais accès à tes appareils et à ton application TOTP. Certains gestionnaires de mots de passe tel que Bitwarden gardent une copie en cache de ton coffre de mots de passe.
🌘 Exemple avec Bitwarden
Depuis le coffre en ligne de Bitwarden, va dans la section des paramètres du compte.
Depuis la section Paramètres du compte, clique sur Sécurité, puis sur l'onglet Identification en deux étapes
Clique sur Gérer à côté d'applications d'authentification, puis entre le mot de passe de ton coffre Bitwarden à nouveau, puis clique sur Continuer.
Tu vas retrouver une interface standard d'activation d'application à double facteur avec un code QR, comme je t'ai déjà présenté.
Tu vas remarquer que Bitwarden te suggère d'utiliser Authy ou Microsoft Authenticator ! Ce n'est pas pour rien. Ce sont des applications reconnues ! Complète les étapes comme je t'ai montré dans les leçons précédentes. Si tu utilises Aegis, fais une sauvegarde par fichier immédiatement par la suite.
Enfin, n'oublie pas de faire une copie de ton code de récupération sur ton disque externe chiffré, et aussi d'en imprimer une copie au besoin.
🌘 Conclusion
Ton application de gestion de mots de passe est maintenant protégée par la double authentification. Tes identifiants sont en sécurité !