L’authentification à deux facteurs – [L’informatique pour les 9 à 99 ans]

⚠ Ce billet date du 23 décembre 2018 !
Il est donc ancien, les propos ne sont peut-être plus exacts aujourd'hui et le contenu et les liens ne sont plus assurés.

Hello ! Bienvenue sur la suite de la série « L’informatique pour les 9 à 99 ans » !
Aujourd’hui nous allons évoquer l’authentification à deux facteurs !

Moi j’aurai préféré l’authentification à deux factrices…

Ouais, nan, ça n’a rien à voir avec la poste !

Je ne vais pas entrer dans la technique et vous expliquer comment ça marche réellement, en gros, il vous faut un smartphone ou une tablette (ou une appli sur le PC, mais ça met en péril cette sécurité supplémentaire et annule son utilité !).

En fait, il est conseillé de le mettre sur un smartphone car on l’a généralement tout le temps avec nous, comme il sera nécessaire d’utiliser cette application au moment où l’on ouvre un compte, Facebook, LastPass ou encore sur Mastodon ou NextCloud, le mieux est de l’avoir sur nous.

L’authentification à deux facteurs, que nous allons abrégé par 2FA (Two-Factor-Authentification), c’est une application qui s’installe, comme je disais au-dessus, sur un smartphone. L’application scan un flashcode sur le site que l’on souhaite sécurisé et c’est synchronisé.
L’application générera un code de 6 chiffres, ce code est temporaire car il est valide pendant seulement 30 secondes. Passé ce délais, un nouveau code est généré. Ce code de 6 chiffres est totalement différent entre chaque application synchronisé. Pas de panique, je vais illustrer avec des captures d’écran !

Ok, mais pourquoi utiliser ça ? Qu’est-ce qu’il se passe si j’ai plus mon smartphone avec moi ou s’il est cassé, perdu ou volé ?

Lorsque vous vous connectez sur une plateforme, Facebook ou NextCloud par exemple, vous devez entrer votre adresse mail et votre mot de passe.
Quand bien même votre mot de passe est fort, il suffit d’un bon hacker, d’un moment d’inattention ou d’un piratage à grande échelle comme ça a pu arriver à Facebook et autres, ou encore d’un pishing (hameçonnage), la personne mal intentionné obtiens le duo Adresse-Mail / Mot-De-Passe et hop, elle peut entrer sur votre service ! Alors c’est là qu’intervient le 2FA !
Au moment de la connexion, il vous sera demandé les 6 chiffres d’authentification, disponible sur l’appli 2FA qui est sur votre smartphone.
Quand bien même la personne mal intentionné aurait votre smartphone près d’elle, elle devra connaitre votre modèle ou PIN ou empreinte digitale pour accéder au téléphone ET aux codes sur l’application !

Autant dire, que ça renforce déjà pas mal ! Petite info, certains hackers ont des parades pour passer au delà de ce code, mais pour cela, je vous renvoi vers une vidéo bien faite de Micode !

Donc, on commence étape par étape, de l’installation à la première utilisation.

Étape N°1 :

Il faut d’abord installer une application sur son smartphone comme dit plus haut.
Alors, pour cela, vous avez le choix, moi je vous propose andOTP :

  • Sur F-Droid : ici
  • Sur PlayStore : ici

Je vous propose cette application car elle est Open-Source, disponible sur PlayStore et sur F-Droid ! Mais il en existe tout un tas d’autres ! En tout cas, celle-ci est légère, pratique et surtout elle fait le taf qu’on lui demande !

Étape N°2 :

On va ajouter un service sur lequel on va s’y connecter en 2FA.

Petite note :
Il y a tout un tas de services qui utilisent le 2FA et ça va se démocratiser de plus en plus, alors cherchez dans les paramètres de sécurité, vous devriez trouver. Je vais en lister, ceux que j’utilise, c’est donc qu’une liste non exhaustive et en bonus, je vous explique, à la fin, comment activer 2FA avec chaque services !

  • Facebook ;
  • WordPress ;
  • Discord ;
  • NextCloud ;
  • Mastodon ;
  • Lastpass ;
  • Scaleway ;
  • PixelFed ;
  • Gandi.net ;

Bon, vous en avez tout un tas d’autres hein !
Pour savoir comment faire avec chacun de ces services, rendez-vous à la fin de l’article, dans les bonus, ou cliquez sur chaque liens au dessus !

Étape N°3 :

Maintenant que l’on a l’application et que l’on a ajouté notre service, on va pouvoir s’y connecter, mais juste avant, vérifiez bien d’avoir sauvegarder votre clef de récupération quelque part !

Ici c’est donc l’étape N°2 lors de chaque connexion, l’étape N°1 étant la validation de l’habituel Adresse-Mail / Mot-De-Passe.

Pour continuer la connexion, c’est simple, munissez-vous de votre smartphone, allez dans l’application andOTP puis déverrouillez-la puis inscrivez les 6 chiffres qui correspond à votre service dans le champ qui vous le demande !
Cliquez ensuite sur valider avant que le code ne périme, et voilà, vous êtes connecté !


C’est tout, ça ne va pas beaucoup plus loin, vous avez vu, c’est facile !

Et quand je suis sur mobile, je m’y connecte comment ? C’est compliqué !

Et bien pas du tout, déjà notez que le déverrouillage de l’application permet d’éviter la validation sur mobile quand ce dernier est accessible, et notez aussi que dans l’application andOTP vous avez un bouton de copie, qui permet de faire copier/coller d’un simple clique ! Et certaines applications détecte que andOTP est actif et déverrouillé et récupère son code automatiquement, c’est le cas de Discord par exemple.

Notez que si vous changez de smartphone par exemple, vous pouvez exporter les données de andOTP de l’actuel smartphone vers le nouveau. Si vous devez re-scanner les codes, cela annulera ce qui est sur l’ancien smartphone ainsi que votre clef de récupération !


BONUS :

  • Facebook :

Pour l’activer, connectez-vous sur votre compte, puis cliquez sur l’icône « caret bas » à côté de l’icône « point d’interrogation » et cliquez sur « Paramètres » :

Ensuite, dans le menu de gauche, cliquez sur « Sécurité et connexion » :

Défilez un peu la page, puis allez sur « Authentification à deux facteurs » et cliquez sur « Modifier » :

« Ajoutez un niveau de protection supplémentaire […] » cliquez sur « Démarrer » :

Choisissez le type de sécurité, nous allons choisir « App d’authentification » en cochant la case et en cliquant sur « Suivant » :

Ouvrez votre appli et cliquez sur le bouton « + » en bas à droite, et sélectionnez « Scanner un QR-Code » :

Puis scannez le code à l’écran et cliquez sur « Suivant » :

Notez que si vous n’arrivez pas à scanner, vous avez le code à entrer manuellement.
Cliquez sur « Suivant » après avoir scanné.
Facebook est donc disponible dans andOTP :

Ici, le code temporaire indiqué est donc 014 038 (il n’est plus valide à l’heure actuelle !) il faut recopier ce code afin de valider la synchronisation ici :

Et voilà !!!


Les autres arrivent dans de mini articles !

Feedback

One comment on “L’authentification à deux facteurs – [L’informatique pour les 9 à 99 ans]

Laisser un commentaire

Envie de me soutenir ?





– 2024 – Le Labo de Stef