— Article en partenariat avec Twilio —
Ces dernières années, je trouve qu’un gros travail de sensibilisation a été fait auprès des gens concernant les mots de passe et l’importance d’un gestionnaire de mots de passe.
Autrefois la norme était de mettre le même mot de passe partout, voire des déclinaisons de celui-ci. Puis avec les gestionnaires de mots de passe, les gens soucieux de leur sécurité ont commencé à générer des mots de passe différents pour chaque service utilisé.
Très cool, sauf que vous le savez, les mots de passe ça peut se voler. Il n’est pas rare de voir des sites se faire pirater et des bases utilisateurs se retrouver dans la nature. En général les mots de passe sont chiffrés en base, mais il est possible de les cracker facilement avec un peu de puissance machine.
Par exemple un mot de passe de 7 caractères avec des minuscules, des majuscules, des nombres et des caractères spéciaux se fera cracker en moyenne en moins de 6 minutes. Si vous passez 8 caractères, il faudra 8 heures. Si vous passez à 9 caractères, il faudra 3 semaines…etc. Montez à 12 caractères et l’attaquant aura besoin de 34 000 ans pour trouver votre mot de passe.
Mais le problème du couple login / mot de passe, c’est qu’une fois que c’est dans la nature, c’est fichu pour vous et un attaquant peut accéder à votre compte.
Sauf si vous avez mis en place un système d’authentification multifacteurs (MFA). Malheureusement, c’est encore très peu utilisé alors que les avantages sont énormes.
Qu’est-ce que le MFA ?
L’authentification multifacteur permet de se connecter sur un système avec plusieurs méthodes d’authentification. Quand il y a 2 méthodes d’authentification, on appelle cela de la « double authentification » ou 2FA.
Cela se compose en général de votre mot de passe + un code généré automatiquement par une application ou envoyé par SMS. Ainsi, si vous vous faites voler vos identifiants, l’attaquant ne pourra pas se connecter avec compte à moins d’avoir également dérobé ce code unique qui se renouvelle toutes les 30 secondes (ou plus en fonction des services utilisés).
L’envoi par SMS n’est cependant pas une méthode que je préconise, car il y a eu de nombreux cas où des hackers arrivaient à les intercepter en récupérant un double de la carte SIM de la victime (sim swapping).
La meilleure solution aujourd’hui est d’utiliser des applications dédiées. Je vais donc vous parler de mon expérience avec plusieurs de ces applications et vous expliquer pourquoi aujourd’hui, je pense que l’application Authy de Twilio est la meilleure.
Google Authenticator
Comme beaucoup, j’ai débuté avec Google Authenticator qui est la plus connue et la plus utilisée. Mais l’application est clairement sur-côté car ses fonctionnalités sont pauvres et elle évolue peu par rapport à ses concurrents. De plus si vous utilisez différents appareils, il faudra exporter / importer vos comptes à chaque fois que vous faites une mise à jour. Ce n’est vraiment pas pratique. Et il n’y a pas non plus de sauvegarde automatique… Donc si vous n’avez pas fait le nécessaire pour sauvegarder le QR code ou le code MFA de chaque service dans un endroit sécurisé, si vous paumez votre smartphone, vous l’avez dans l’os.
Lastpass Authenticator
J’ai également passé par mal de temps avec Lastpass Authenticator qui est très bien, mais très lié avec le gestionnaire de mots de passe Lastpass. Si vous n’utilisez pas Lastpass, ce sera moins fluide.
Et à moins de prendre vos précautions (code par SMS, matrice papier, code 2FA stocké dans un endroit sécurisé…etc.), si vous activez l’authentification double facteur de Lastpass (le gestionnaire de mots de passe) en utilisant Lastpass Authenticator, si vous devez tout réinstaller sur un nouveau smartphone, ça va être compliqué de vous connecter à votre compte Lastpass, car pour restaurer les codes 2FA de Lastpass depuis le cloud de Lastpass, il faudra être connecté à votre compte Lastpass… J’ai également trouvé récemment une faille dans Lastpass qui sous certaines conditions permet de contourner l’authentification double facteur. Et là, ça craint. Je leur ai remonté, mais elle avait déjà été signalée par d’autres avant moi, donc j’espère qu’elle sera un jour corrigée (c’est mal barré visiblement).
Bref, mieux vaut ne pas mettre tous ses œufs dans le même panier.
Authy de Twilio
C’est là qu’entre en scène Authy de Twilio.
Authy est beaucoup plus simple à utiliser que la solution de Lastpass, mais également beaucoup plus évoluée que l’application de Google. Dites-vous que tout ce qui est ajoutable dans Google Authenticator est ajoutable dans Authy.
L’application est plutôt agréable et sauvegarde en permanence vos codes MFA dans le cloud. Cette sauvegarde est évidemment chiffrée et seul vous pouvez y accéder à l’aide d’un mot de passe que vous aurez choisi. Cela apporte une certaine sécurité en cas de piratage, mais également en cas de défaillance humaine, si par exemple vous perdez votre smartphone et que vous devez restaurer vos codes 2FA.
Authy est super pratique si vous avez plusieurs appareils (smartphones, tablettes…etc.) sur lesquels vous voulez l’installer. Les codes 2FA sont ainsi synchronisés peu importe que vous ayez de l’Android, de l’iOS…etc. Et même si vous n’avez pas d’appareil mobile, il est possible d’installer Authy Desktop sur un ordinateur, ce qui peut être pratique si vous conservez vos mots de passe ailleurs (rappel : ne jamais mettre tous ces œufs dans le même panier). Et si vous ne voulez pas que les codes soient partagés entre plusieurs appareils, sachez que cette fonctionnalité est désactivable dans les paramètres.
Authy propose également des guides pour vous aider à configurer la 2FA sur tous vos comptes. Je vous invite vraiment à les consulter.
Niveau sécurité, l’application Authy peut être verrouillée avec du FaceID ou TouchID, un mot de passe maître…etc. Un compte Authy se restaure à partir de votre numéro de téléphone. Cela pourra être problématique en cas de sim swapping, mais si vous avez activé le chiffrement dans l’application, impossible d’accéder aux codes 2FA sans également connaître votre mot de passe.
Par contre, toutes les applications MFA ont un point commun : Il est impossible d’exporter vos codes dans un fichier. C’est pour des questions de sécurité. Donc si vous voulez avoir la possibilité de récupérer vos accès 2FA en cas de gros souci, il faudra conserver dans un endroit sécurisé les codes 2FA ou les QR code donné par chaque site à chaque fois que vous configurez un nouveau code 2FA.
Le niveau de sécurité d’Authy, ses fonctionnalités et sa simplicité en font selon moi, la meilleure application MFA du moment. C’est celle en laquelle j’ai le plus confiance, aussi bien pour prévenir une attaque extérieure que pour prévenir une erreur humaine (comme effacer mon smartphone sans faire de backup par exemple).
L’important en tout cas, c’est que vous activiez la double authentification partout où cela est possible. Et Authy sera votre compagnon idéal pour faire ça dans la douceur.