Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

L’authentification double facteur (2FA), oui mais pas n’importe comment !

Il y a un truc simple que vous devez absolument faire sur tous les services que vous utilisez (ou au moins ceux que vous jugez comme cruciaux), c’est activer l’authentification double facteur appelée aussi 2FA. Le concept est simple, une fois activé, en plus de votre mot de passe, on vous demandera un code unique valide sur une durée limitée. Ce code unique est parfois envoyé par email, parfois par SMS, et parfois disponible dans une application dédiée rien qu’à ça.

C’est très important d’activer l’authentification double facteur, car en cas de vol de mot de passe (via une attaque man in the middle, un phishing ou autre), il n’y a plus de barrière qui s’oppose au criminel qui veut se connecter sur l’un de vos comptes. Et cela peut avoir des conséquences dramatiques comme le vol d’argent (PayPal, la banque…etc.), ou l’usurpation d’identité (Twitter, Facebook, votre boite mail…etc.).

L’envoi de code par SMS ou email est la méthode la plus courante, car la plus commode. Il suffit d’avoir as à votre boite mail ou à votre carte SIM avec le bon numéro de téléphone et c’est réglé.

,MAIS si j’écris cet article aujourd’hui, c’est pour vous décourager d’utiliser l’authentification double facteur autrement qu’avec une application dédiée. Et je vais vous expliquer pourquoi.

Prenons d’abord l’exemple de la boite mail. Si un quelqu’un prend le contrôle de votre boite mail, il pourra tout faire, y compris réinitialiser vos mots de passe sur tous vos sites préférés et lorsqu’un code 2FA lui sera demandé, il le recevra direct par mail. Donc ça ou rien c’est presque la même chose.

Le code 2FA reçu par SMS est-ce qu’il y a de plus pratique et c’est ce que la plupart des gens choisissent. Il suffit d’avoir accès à une SIM avec son numéro et c’est bon. Évidemment, le jour où vous changez brusquement de numéro de téléphone, vous l’avez dans l’os. Et là, ça dépendra des sites. Pour certains, ce sera mort et perdrez à tout jamais votre compte. Pour d’autre, il y aura toujours moyen de récupérer un mot de passe et de faire sauter le 2FA (mais à quoi bon avoir mis cette protection dans ce cas ?) et dans d’autres cas, l’accès pourra vous être rendu, mais toutes les données de votre compte seront effacées. Ce qui peut aussi être problématique.

Mais je vous déconseille aussi d’activer le 2FA par SMS.

Pourquoi ?

Et bien pour 2 raisons…

La première, c’est que certains ont trouvé le moyen d’exploiter une faille dans le protocole SS7 des réseaux mobiles afin de détourner des SMS. Comme l’explique cet article, des gens se sont fait piller leur compte en banque juste comme ça à cause de cette faille.

Mais il n’est pas nécessaire d’aller aussi loin dans la technique quand on peut compter sur la négligence de nos opérateurs téléphoniques (et ça, c’est la seconde raison). En effet, je vois souvent des articles ou des tweets qui expliquent qu’un criminel à trompé le call center d’un opérateur pour se faire envoyer une copie de la carte SIM de sa victime et ainsi lui dérober de l’argent.


C’est moche hein. C’est donc aussi pour ça que je vous déconseille de vous faire envoyer vos codes 2FA par SMS.

Alors que nous reste-t-il ?

Et bien la dernière option, c’est une application qui vous génère des codes 2FA à la volée. Et là sans être infaillible, c’est déjà un peu plus costaud, car si quelqu’un veut accéder à vos comptes, il devra, en plus de récupérer votre mot de passe, vous voler votre téléphone et connaitre le code pour le déverrouiller. Bien sûr si vous n’avez mis aucune sécurité de verrouillage à votre smartphone, que votre application 2FA ne vous réclame pas de code PIN ou de mot de passe et qu’en plus, vos mots de passe de sites web sont enregistrés dans votre navigateur, je ne peux rien faire pour vous. Limite, vous méritez de vous faire piller votre compte bancaire.

Notez que quand vous activez l’authentification double facteur pour l’utiliser via une app, il faut être très précautionneux. En effet, le site vous fournira une clé ou un QR code qu’il faudra conserver en sécurité quelque part pour que si vous perdez votre téléphone ou que vous le formatez, vous puissiez toujours accéder à votre compte.

Il existe masse d’applications 2FA donc loin de moi l’idée de vous en conseiller une ultime… Mais évitez Google Authenticator ou FreeOTP qui ne permettent pas de configurer un code de verrouillage (Pin ou mot de passe). Évitez aussi toutes les apps qui vous force à stocker vos configs 2FA dans le cloud en échange de la création d’un compte chez eux.

De toutes celles que j’ai testées, mes préférées sont Authy et LastPass Authenticator (qui propose un backup sur votre compte Lastpass, mais vous n’êtes pas obligé de l’activer).

Voilà… Donc pour résumer :

  • Activez l’authentification 2FA partout si c’est dispo.
  • Ne demandez jamais à recevoir de code 2FA par email.
  • Ne demandez jamais à recevoir de code 2FA par SMS.
  • Utilisez uniquement une application 2FA qui propose une protection PIN ou mot de passe.
  • Évitez les applications qui stockent vos 2FA dans le cloud.
  • Pensez bien à conserver en lieu sûr vos clés secrètes ou QR code 2FA pour les réactiver en cas de perte, de panne ou de formatage de votre mobile.
  • Vous pouvez aussi opter pour les systèmes 2FA physiques mais cela fera l’objet d’un probable autre article car je n’en ai pas encore testé réellement.

Je pense que j’ai tout dit !

Bonne activation de 2FA à tous !!

Docker Docker…envie de savoir comment ça marche ?

Découvrez les concepts de base de Docker et prenez la plateforme en mains

Dans ce cours vous trouverez les éléments suivants:

  • un peu de théorie pour comprendre les différents concepts utilisés
  • des exemples pour les illustrer
  • des démos pour avoir une version dynamique
  • des exercices pour manipuler et assurer une bonne compréhension du cours
  • des documents annexes (cheat sheet, …)

De nouvelles sections sont en cours d’enregistrement et seront ajoutées dans les semaines à venir, votre inscription à ce cours aujourd’hui vous donne accès automatiquement à ces nouvelles sections.

En Savoir + sur tout ce que vous pourrez apprendre avec ce cours


Évadez-vous avec un livre audio

Votre premier livre audio gratuit

Pour vos déplacements, dans les transports ou parce que le soir vous avez une légère fatigue visuelle, mais vous ne voulez pas sacrifier votre plaisir de la lecture, Audible vous propose une large sélection de livres audio pour vous permettre de continuer à vous évadez.

Et avec les applis Audible pour iOS, Android et Windows, emportez vos livres audio n’importe où.

Choisissez le livre qui vous fera vibrer parmi notre sélection. Foncez, le premier livre audio est gratuit 😉

En Savoir +


Réponses notables

  1. Très bon article! Cependant mon avis diffère sur le 2FA via smartphone:

    • Pour les applications peu critiques, un “2FA” sur simple message push qui demande de swiper est hyper pratique, bien que n’assure pas une sécurité maximum. Mais cela demande quand même à l’attaquant de voler le téléphone, ce qui n’est pas rien.
    • J’utilise FreeOTP, que j’ai choisi pour 2 raisons: publié par redhat et opensource donc plus de confiance. Et parceque justement il ne demande pas de code, le mdp de déverrouillage de mon smartphone suffit je pense.

    Petit exemple pour protonmail: login + mot de passe protonmail + déverouillage smartphone + TOTP + mot de passe pour déchiffrer les mails. Si en plus je rajoute une passphrase sur FreeOTP je m’en sors plus…

  2. C’est tout à fait discutable.
    Déjà, tu dis qu’en cas de changement brusque de numéro de téléphone, tu es dans la merde avec les codes par SMS. Perso, je change plus souvent de téléphone que de numéro de téléphone. Or quand tu perds/abime ton téléphone tu l’as dans l’os pour l’application.

    Ensuite, on peut certes se faire voler son numéro de téléphone, se faire router ses SMS etc, mais ça reste du domaine du hacker qui t’en veut vraiment. Si un type arrive à avoir accès à mon numéro de téléphone je suis à peu près autant ba*sé que s’il a accès à mon email.

    La sécurité c’est important mais il ne faut pas non plus tomber dans la paranoïa. Perso j’aurais formulé la conclusion différemment, plutôt que de dire “ne jamais utiliser les SMS”, j’aurais plutôt dit “évitez les SMS”. C’est moins alarmant, pour un risque qui est de toutes façons quasi nul. Idem pour l’email, si ton mot de passe est suffisamment fort sur ton adresse mail et qu’il est hébergé chez Google ou un autre ponte du domaine, le risque de piratage est bien faible… surtout si tu le doubles par une authentification à double facteur lui aussi.

  3. quelqu’un a tester la version 1password pour la 2FA ? seul hic c’est que c’est un systeme online

  4. Très bon article !

    Mais un GROS point faible :

    Alors que nous reste-t-il ?
    Et bien la dernière option, c’est une application qui vous génère des codes 2FA à la volée.
    Activez l’authentification 2FA partout si c’est dispo.

    La généralisation du 2FA par SMS est tel que les boites / banques ne proposent PAS d’autres possibilités de 2FA !

    Q1 - A cela quelles solutions Korben ?

    Autre chose …
    Il aurait été bon ton de linker les services fonctionnant avec chacune des 2 App énoncé !

    Merci

  5. Effectivement, certains services comme les banques ne proposent pas d’alternatives. A part leur demander d’intégrer un vrai support 2FA, pas grand chose à faire malheureusement.

    Tous les services qui respectent ce standard fonctionnent avec toutes ces applications. Pas de limite.

  6. Or quand tu perds/abime ton téléphone tu l’as dans l’os pour l’application.

    Pas forcement, si tu as bien conservé les clés ou les QR Code de tes 2FA.

  7. Merci pour ta réponse

    Tous les services qui respectent ce standard fonctionnent avec toutes ces applications. Pas de limite.

    Ok !

    Je viens de tester Authy qui me demande mon N° de Mobile donc exit !

    Je viens de tester Last Pass Auth qui lui m’affiche un code systématiquement faux.
    En comparant avec Google Authenticator ce n’est d’ailleurs jamais le même !

    Les TimeZone et mes device sont identique à la seconde même !

    J’ai révoquer la fonctionnalité puis remis sur gmail, je scanne a chaque fois le QR code, sur Google Auth ca fonctionne toujours sur LastPass Auth le code est toujours wrong !

    J’avais eu ce pb 1 fois sur Google Auth mais il propose l’option “Time correction for codes” est tout était rentré dans l’ordre. Via LastPass pas d’options et rien à faire, le code a 6 chiffre est toujours faux !

  8. shake says:

    Je viens d’installer le lastpass authentificator ! Sauf qu’en fait il demande le numéro de téléphone pour les demandes backup, et on ne peut pas compléter l’activation sans lui donner ! donc pas possible de n’activer que la partie app sans le sms en secours…

  9. Ca coûte 8 euros même (https://www.amazon.fr/HyperFIDO-Mini-U2F-Security-Key/dp/B01LZO0WE9/ref=sr_1_cc_1?s=aps&ie=UTF8&qid=1499716522&sr=1-1-catcorr&keywords=fido+u2f), effectivement, les comptes Google sont compatibles.

    @Korben Maintenant que j’ai une quinzaine de comptes protégés en 2FA via l’application Google Authenticator, as-tu une méthode simple pour migrer vers une autre appli ? T’as vu le bordel pour changer de téléphone déjà ?

    Sinon bon article, même si tu tombes chaque jour davantage du côté des conspirationistes. On voit que tu n’es pas dans une boîte privée avec des milliers d’users à satisfaire, une productivité à ne pas faire tomber et des contraintes économiques. Dans ton cas, c’est facile de pousser le curseur de la sécurité au maximum quitte à réduire drastiquement le confort, car ton public est assez nerdy en général. En entreprise, ton discours ne tiendrait pas, car tu ne fais pas d’analyse des risques, tu affirmes que le 2FA par mail ou par SMS c’est idiot sans mettre dans la balance la valeur des informations protégées.

    @bustvhk Blacklisté par PRISMBreak donc tu n’utilises pas. Courage si tu entends te défendre contre la NSA :stuck_out_tongue:

  10. A noter que l’attaque concernant le protocole SS7 n’est pas réalisable par monsieur/madame tout le monde, il faut beaucoup de prérequis difficile à mettre en oeuvre comme expliqué dans ces deux commentaires:

    Les cibles seront donc des personnes importantes, pas une personne random.

  11. Hello

    oui j’ai déjà changé de téléphone et faut reflasher tous les codes ou rentrer toutes les clés. Oui c’est relou.
    Après je m’adresse pas aux entreprises mais aux particuliers donc tout va bien. Mais je sais que dans pas mal de grosses boites, les gens utilisent des solutions pro avec clés physiques qui proposent du 2FA.

    Et je dis pas que les SMS c’est idiot, je dis juste que c’est mieux d’éviter.

    Après la conspiration, je la cherche encore.

  12. Exact. Ou alors les gens dont le hacker a récupéré le mot de passe un peu par hasard et pour lesquels il veut aller plus loin.

  13. HUMOUR

    Rolololo, faut vraiment que j’explique chaque virgule ?

  14. Retour d’expérience avec 2FA

    Cisco Meraki
    Je pensais avoir bien configurer mon compte (num de téléphone en backup ou autre), et bien non.
    N’ayant jamais eu de soucis pour utiliser à nouveau Google Auth après un flash du tel, je ne me suis pas poser de question pour les autres comptes.
    Du coup, au moment de vouloir me connecter, j’ai eu la désagréable surprise de ne pas avoir de possibilité de secours !
    Rien.
    Seule solution possible : un courrier notarié provenant du chef d’établissement pour faire sauter la 2FA.
    Je ne l’ai pas encore fait… car ça coûte.
    Je ne me souviens pas d’avoir eu à noter une solution de secours, même si c’est bien écrit dans le manuel.

    Mailchimp
    Ce service incite à l’utilisation la 2FA avec 20% de réduction sur la facture. Top.
    Mais là, idem : pas de récupération par SMS même si le numéro est renseigné.
    Le support accepte de faire sauter la 2FA en répondant à plusieurs questions liées au compte et à son usage (dernière campagne, nombre d’inscrits, dernière liste créé, etc…).
    Idem, je ne me souviens d’avoir eu à noter une solution de replie.

    SMS !?
    Donc je nuance aussi le coup du SMS même si je suis de ton avis vis-à-vis du hack potentiel. A ce propos, il y avait une étude comparative sur la fiabilité de nos réseaux français non ?

    Ayant formaté le téléphone en ayant aussi 2 comptes sur Microsoft Auth, je me demande ce que cela va donner pour récupérer l’accès … Je n’en ai pas encore eu besoin.

    Mon téléphone est protégé par empreinte + code à 4 chiffres.
    J’ai installé Serrure (Smart Applock) depuis le play store. Ca fonctionne plutôt bien.

    Autres éléments de sécurisation !? :

    • Tous les cookies liés à Google sont supprimés après chaque session, voir session en navigation privée à chaque fois
    • Je ne laisse jamais ma session ouverte
    • Mes mots de passes stockés chez Google sont protégés par le mot de passe additionnel. Donc pas de synchro sur un nouveau Chrome possible. Et la consultation en ligne est impossible du fait de ce mot de passe.

    J’attends aussi d’avoir le temps pour regarder du côté des clés physiques. Mais là, la perte est encore plus facile que son smartphone je trouve.

    Pour finir, sur le compte perso de gmail, je valide la connexion en répondant à la question qui apparaît sur mon smartphone. Plus pratique. Et il faut que je le déverrouille pour y répondre.

  15. intéressant, sachant que les questions de “sécurité” posées par les opérateurs sont ridicules : numéro de contrat, décliner son nom, et … c’est tout.
    Il faudrait pouvoir communiquer un mot / phrase de passe à son opérateur, pour le grand public ou les entreprises, même combat. Ou avoir, comme en banque, une clé matériel, pour valider les changements sur le compte avec le tech au téléphone.

  16. Pitard t’as installé un moulin dans ton potager ??? T’es vraiment un grand malade toi … :smiley::wink:

  17. lol, si j’avais la place, j’aurai mis une éolienne :slight_smile:

  18. en fait personne ne sais ou ce trouve la doule authentification U2F dans 1password
    j’ai commencer a l’utiliser mais j’ai peur de la fausse illusion de sécurité

  19. C’est quoi ce post ? kikoolol en mal d’amour … :smiley:

  20. normal, c’est les vacances scolaires :slight_smile:

Continuer la discussion sur Korben Communauté

7 commentaires supplémentaires dans les réponses

Participants