Deux précautions valent mieux qu’une pour s’identifier sur un site

Envie de mieux protéger l’accès à un compte utilisateur sur un site : parlons sécurisation des données et authentification multifactorielle !

Si vous avez lu mon précédent billet à propos du piratage de mon compte eBay, vous avez pu lire que j’ai activé une mesure de protection lors de l’identification : la double authentification par SMS.

Au passage, dans ce billet, authentification et identification sont synonymes, même s’il y a une différence bien expliquée sur cette page.

La majorité des sites consultés de nos jours proposent (imposent) d’avoir un compte utilisateur personnel pour profiter pleinement du contenu voire participer personnellement.
C’est le cas pour les réseaux sociaux mais aussi pour les sites marchands, etc.

En général, c’est simple : vous devez créer un nom d’utilisateur, un mot de passe et renseigner une adresse e-mail.
Si vous êtes comme beaucoup de monde, le couple e-mail / mot de passe est le même sur tous les sites ou presque.

Je ne vais pas m’étendre sur cette faille de sécurité évidente (si un pirate informatique a accès à votre adresse e-mail ET surtout à votre mot de passe pour un site, il peut, il va essayer celui-ci sur d’autres sites).
La logique voudrait que l’on utilise un mot de passe différent pour tous les sites mais je suppose que vous êtes comme moi : humain.e 😀 et donc si vous n’êtes pas adepte des moyens mnémotechniques plus ou moins bidons présentés sur Internet, la sécurité est plutôt moyenne concernant votre mot de passe, même si vous utilisez le minimum vital selon moi (et des experts en sécurité), à savoir utiliser un mélange de majuscule(s), minuscule(s), chiffre(s) et symbole(s).

Alors que faire ?
Il est possible sur de plus en plus de sites Internet de mettre en place une authentification multifactorielle, parfois appelée 2FA (2 Facteurs d’Authentification)
A vos souhaits !
Pour simplifier, en plus de vous connecter sur un site avec votre identifiant et votre mot de passe, il est possible de paramétrer votre compte pour qu’une autre donnée d’identification vous soit demandée, en général c’est un code envoyée soit sur votre adresse e-mail, soit par SMS soit via une application dédiée.

Côté application dédiée, qui reste, d’après quelques lectures, la meilleure solution en terme de sécurité, il est souvent conseillé Google Authenticator, mais n’importe quelle application compatible disponible sur Google Play (je ne connais pas le magasin applications d’Apple, je vous laisse regarder) fera l’affaire, personnellement j’utilise Authy, pour plusieurs raisons :

  • sauvegarde automatique sur les serveurs de l’application (tiers de confiance ? mais c’est la seule application que j’ai testé qui possède une fonction de sauvegarde) avec mot de passe pour accéder à la restauration
  • peut demander un code PIN à l’ouverture (protection supplémentaire)
  • marche à 100 % lors du scan d’un QR code à l’écran avec mon smartphone (oui, c’est bizarre mais les autres applications déconnent)
  • la société propose une extension WordPress pour gérer ce genre d’authentification, la seule gratuite (c’est moi le produit ?) avec des codes de récupération
Authy 2-Factor Authentication
Authy 2-Factor Authentication
Développeur: Authy
Prix: Gratuit
  • Authy 2-Factor Authentication Capture d'écran
  • Authy 2-Factor Authentication Capture d'écran
  • Authy 2-Factor Authentication Capture d'écran
  • Authy 2-Factor Authentication Capture d'écran
  • Authy 2-Factor Authentication Capture d'écran
  • Authy 2-Factor Authentication Capture d'écran
Authy
Authy
Développeur: Authy Inc.
Prix: Gratuit
  • Authy Capture d'écran
  • Authy Capture d'écran
  • Authy Capture d'écran
  • Authy Capture d'écran
  • Authy Capture d'écran
  • Authy Capture d'écran

Pour les deux premières possibilité (e-mail et SMS), il suffit d’avoir son adresse e-mail renseignée et validée ou son numéro de téléphone mobile.

Pour l’option applicative, c’est simple :

  • le site vous demande de scanner un QR code (ou de renseigner manuellement une suite de lettres et chiffres) avec l’application idoine
  • votre application enregistre le site et vous pouvez donc obtenir un code, souvent valable entre 30 secondes et 2 minutes
  • vous renseignez ce code sur le site qui valide la mise en place de cette forme d’authentification
  • à chaque fois que vous voudrez vous identifier sur ce site, il faudra entrer un code fourni par votre application via votre smartphone

Certains sites permettent plusieurs options d’identification (e-mail et application par exemple), c’est à vous de choisir quoi mettre en place.

Pour ce qui est de l’authentification par application, lors de la mise en place, le site doit normalement vous fournir des codes de secours à garder au chaud dans un endroit protégé car ces codes, valables une fois, permettent d’outrepasser l’application de votre smartphone et ne sont à utiliser qu’en cas de nécessité.

Vous trouvez cette procédure contraignante ? Dites-vous qu’en 2018 vous avez de fortes chances pour que votre e-mail et votre mot de passe favori soit tous les deux dans les mains de pirates qui ont pénétré un site mal protégé !

En bonus, je vous livre la liste des sites pour lesquels mon application Authy m’est indispensable :

  • Dropbox
  • GitHub
  • Facebook
  • Nextcloud
  • Google (et tous les sites lui appartenant)
  • Microsoft (idem que Google)
  • Electronic Arts
  • GitLab
  • Alwaysdata (mon hébergeur)
  • WordPress.com (compte professionnel)
  • ProtonMail
  • GBAtemp
  • Mastodon (instance mamot.fr)
  • Discord
  • LastPass
  • Kickstarter
  • Amazon
  • Humble Bundle
  • 1&1
  • ce blog
  • Firefox (compte sync)
  • DokuWiki (instance personnelle)

Sans compter tous les sites qui envoient un code par e-mail ou SMS, je pense à Sony, PayPal, eBay, GOG ou Steam par exemple.

On peut noter que les banques n’ont pas mis ce système en place, leur sécurité est pourrie avec un code à taper en cliquant sur des chiffres, c’est relativement facile à hacker… seuls les paiements sont sécurisés quand un commerçant met en place le protocole 3D-Sécure.

Pour ce qui est des scripts installables sur un hébergeur, c’est assez aléatoire, le plus gros script de forum, phpBB, ne propose pas cette option, même en extension, d’autres l’ont inclut, idem pour les gros sites ceci dit.

Pour conclure, je peux souligner le côté contraignant de devoir vérifier ses e-mails ou garder son téléphone chargé près de soi mais pour information, je reçois de temps en temps un e-mail avec un code d’authentification pour un site, ce qui sous-entend qu’un pirate essaye de s’identifier avec mon adresse e-mail et mon mot de passe !
Je ne suis pas au courant des essais sur les sites où je possède un compte protégé par l’application de mon smartphone, mais je trouve que la sécurité vaut le coup de se protéger d’une façon supplémentaire !