Quantcast
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

L’authentification double facteur (2FA), oui mais pas n’importe comment !

Il y a un truc simple que vous devez absolument faire sur tous les services que vous utilisez (ou au moins ceux que vous jugez comme cruciaux), c’est activer l’authentification double facteur appelée aussi 2FA. Le concept est simple, une fois activé, en plus de votre mot de passe, on vous demandera un code unique valide sur une durée limitée. Ce code unique est parfois envoyé par email, parfois par SMS, et parfois disponible dans une application dédiée rien qu’à ça.

C’est très important d’activer l’authentification double facteur, car en cas de vol de mot de passe (via une attaque man in the middle, un phishing ou autre), il n’y a plus de barrière qui s’oppose au criminel qui veut se connecter sur l’un de vos comptes. Et cela peut avoir des conséquences dramatiques comme le vol d’argent (PayPal, la banque…etc.), ou l’usurpation d’identité (Twitter, Facebook, votre boite mail…etc.).

L’envoi de code par SMS ou email est la méthode la plus courante, car la plus commode. Il suffit d’avoir as à votre boite mail ou à votre carte SIM avec le bon numéro de téléphone et c’est réglé.

MAIS si j’écris cet article aujourd’hui, c’est pour vous décourager d’utiliser l’authentification double facteur autrement qu’avec une application dédiée. Et je vais vous expliquer pourquoi.

Prenons d’abord l’exemple de la boite mail. Si un quelqu’un prend le contrôle de votre boite mail, il pourra tout faire, y compris réinitialiser vos mots de passe sur tous vos sites préférés et lorsqu’un code 2FA lui sera demandé, il le recevra direct par mail. Donc ça ou rien c’est presque la même chose.

Le code 2FA reçu par SMS est-ce qu’il y a de plus pratique et c’est ce que la plupart des gens choisissent. Il suffit d’avoir accès à une SIM avec son numéro et c’est bon. Évidemment, le jour où vous changez brusquement de numéro de téléphone, vous l’avez dans l’os. Et là, ça dépendra des sites. Pour certains, ce sera mort et perdrez à tout jamais votre compte. Pour d’autre, il y aura toujours moyen de récupérer un mot de passe et de faire sauter le 2FA (mais à quoi bon avoir mis cette protection dans ce cas ?) et dans d’autres cas, l’accès pourra vous être rendu, mais toutes les données de votre compte seront effacées. Ce qui peut aussi être problématique.

Mais je vous déconseille aussi d’activer le 2FA par SMS.

Pourquoi ?

Et bien pour 2 raisons…

La première, c’est que certains ont trouvé le moyen d’exploiter une faille dans le protocole SS7 des réseaux mobiles afin de détourner des SMS. Comme l’explique cet article, des gens se sont fait piller leur compte en banque juste comme ça à cause de cette faille.

Mais il n’est pas nécessaire d’aller aussi loin dans la technique quand on peut compter sur la négligence de nos opérateurs téléphoniques (et ça, c’est la seconde raison). En effet, je vois souvent des articles ou des tweets qui expliquent qu’un criminel à trompé le call center d’un opérateur pour se faire envoyer une copie de la carte SIM de sa victime et ainsi lui dérober de l’argent.


C’est moche hein. C’est donc aussi pour ça que je vous déconseille de vous faire envoyer vos codes 2FA par SMS.

Alors que nous reste-t-il ?

Et bien la dernière option, c’est une application qui vous génère des codes 2FA à la volée. Et là sans être infaillible, c’est déjà un peu plus costaud, car si quelqu’un veut accéder à vos comptes, il devra, en plus de récupérer votre mot de passe, vous voler votre téléphone et connaitre le code pour le déverrouiller. Bien sûr si vous n’avez mis aucune sécurité de verrouillage à votre smartphone, que votre application 2FA ne vous réclame pas de code PIN ou de mot de passe et qu’en plus, vos mots de passe de sites web sont enregistrés dans votre navigateur, je ne peux rien faire pour vous. Limite, vous méritez de vous faire piller votre compte bancaire.

Notez que quand vous activez l’authentification double facteur pour l’utiliser via une app, il faut être très précautionneux. En effet, le site vous fournira une clé ou un QR code qu’il faudra conserver en sécurité quelque part pour que si vous perdez votre téléphone ou que vous le formatez, vous puissiez toujours accéder à votre compte.

Il existe masse d’applications 2FA donc loin de moi l’idée de vous en conseiller une ultime… Mais évitez Google Authenticator ou FreeOTP qui ne permettent pas de configurer un code de verrouillage (Pin ou mot de passe). Évitez aussi toutes les apps qui vous force à stocker vos configs 2FA dans le cloud en échange de la création d’un compte chez eux.

De toutes celles que j’ai testées, mes préférées sont Authy et LastPass Authenticator (qui propose un backup sur votre compte Lastpass, mais vous n’êtes pas obligé de l’activer).

Voilà… Donc pour résumer :

  • Activez l’authentification 2FA partout si c’est dispo.
  • Ne demandez jamais à recevoir de code 2FA par email.
  • Ne demandez jamais à recevoir de code 2FA par SMS.
  • Utilisez uniquement une application 2FA qui propose une protection PIN ou mot de passe.
  • Évitez les applications qui stockent vos 2FA dans le cloud.
  • Pensez bien à conserver en lieu sûr vos clés secrètes ou QR code 2FA pour les réactiver en cas de perte, de panne ou de formatage de votre mobile.
  • Vous pouvez aussi opter pour les systèmes 2FA physiques mais cela fera l’objet d’un probable autre article car je n’en ai pas encore testé réellement.

Je pense que j’ai tout dit !

Bonne activation de 2FA à tous !!

Docker Docker…envie de savoir comment ça marche ?

Découvrez les concepts de base de Docker et prenez la plateforme en mains

Dans ce cours vous trouverez les éléments suivants:

  • un peu de théorie pour comprendre les différents concepts utilisés
  • des exemples pour les illustrer
  • des démos pour avoir une version dynamique
  • des exercices pour manipuler et assurer une bonne compréhension du cours
  • des documents annexes (cheat sheet, …)

De nouvelles sections sont en cours d’enregistrement et seront ajoutées dans les semaines à venir, votre inscription à ce cours aujourd’hui vous donne accès automatiquement à ces nouvelles sections.

En Savoir + sur tout ce que vous pourrez apprendre avec ce cours


On fête la rentrée avec NordVPN ! [Bon plan] -68%

-68% 3,3€/mois durant 2 ans

Protection en un clic, fonctionnalité Kill Switch, masquage de votre adresse IP, prise en charge des partages de fichiers en p2p, protection contre les malwares et les pubs, streaming sans interruption, test de fuite DNS et même possibilité de coupler l’outil avec l’anonymat de The Onion Router … sont quelques-unes des autres options disponibles.

À noter que cet été l’outil a passé avec succès l’audit d’une société indépendante (PricewaterhouseCoopers) concernant leur politique de non-conservation de registre d’activité, validant que NordVPN ne conservait pas l’activité de ses utilisateurs sur le web.

De plus une licence NordVPN vous permet de protéger jusqu’à 6 appareils et cela, quelle que soit la plateforme sur laquelle ces derniers tournent (android où iOS, Windows, Linux ou macOS, android TV).

En Savoir +



Un korbenaute trouve son nouveau job via Laou et ça c’est cool

— Article sponsorisé par Laou (mais basé sur des faits réels) —

Salut les amis, vous vous souvenez de mes articles concernant le service Laou ? Et bien j’ai appris récemment qu’au moins un de mes lecteurs (les meilleurs lecteurs du monde à la base donc ils ont un bonus en charisme) a trouvé un nouveau travail grâce à ça. Et ça fait vraiment, mais alors vraiment, plaisir.

Lorsqu’un de mes tutos permet de débloquer une situation ou que je fais découvrir un nouveau site, ça fait zizir et j’ai l’impression d’avoir été utile de manière concrète. Mais si quelqu’un trouve un travail grâce à une de mes infos c’est forcément encore mieux. Parce que l’impact sur la vie de la personne en question est beaucoup plus grand. D’ailleurs, aider les gens à trouver un emploi a toujours été une de mes envies, raison pour laquelle j’ai lancé RemixJobs dès 2010 (longtemps site de référence pour le recrutement web et informatique). Et si ce dernier vient de mourir de sa belle mort, il est possible que je vous réserve l’une ou l’autre surprise sur le sujet bientôt.

Laou recherche d'emploi dans le numérique

Tout ça pour en revenir à Laou. Pour les nouveaux venus je rappelle qu’il s’agit d’une plateforme de recrutement spécialisée dans l’IT en région. Si vous voulez découvrir le travail en province et/ou quitter le stress de la capitale, Laou vous aidera non seulement à trouver un nouvel emploi sur mesure, mais prendra aussi un tas de « soucis » à sa charge : vous trouver un logement, trouver un boulot à votre conjoint, gérer le déménagement, vous faire découvrir votre ville d’adoption … Et cerise sur le gâteau tous les frais sont à la charge de votre futur employeur.

Maintenant la partie la plus cool de l’histoire. Elle concerne Steven, développeur fullstack de 25 ans.

Sans trop entrer dans des détails perso, Steven est originaire du sud de la France et était monté à Paris pour se faire une expérience pro. Il n’y arrive pas vraiment et a un peu de mal à s’y faire un cercle d’amis. Du coup il se dit que Laou pourrait être une option et qu’il va essayer de trouver son boulot rêvé : gameplay developper dans le secteur du jeu vidéo. Sans succès dans un premier temps, car sans expérience c’est tout de suite plus compliqué.

Quitter Paris en 2020 avec Laou

En discutant un peu avec Charlotte, la personne en charge de son dossier, il se rend compte qu’il est plus important pour lui de quitter Paris et d’avoir un cadre de vie adapté que de trouver l’intitulé de boulot exact qu’il recherche. Il est prêt à faire ses classes avant. Et là BAM tout décolle, il reçoit plusieurs propositions dans diverses régions de l’hexagone.

Après plusieurs échanges et un suivi, régulier Laou lui paie une nuit d’hôtel pour lui permettre de rencontrer ce qui sera son futur employeur, be-ys. En plus c’est situé à Clermont-Ferrand #AuvergneRepresent. Juste pour vous situer un peu le dévouement de Laou, le train de Steven est arrivé avec 3 heures de retard à Clermont, et pour s’assurer que tout se passerait bien pour lui, Charlotte était à la gare, de nuit, juste pour l’accueillir. C’est ça le service Laou, du sur mesure et de la flexibilité.

Service Settlesweet

Une fois le contrat signé c’est au tour de Settlesweet de prendre le relais. Settlesweet est le partenaire de Laou pour tout ce qui se touche à la recherche de logement, ce sont eux qui prennent en charge cet aspect de A à Z. Le principe est simple : leur algorithme va analyser une quinzaine de sites d’annonces selon vos critères personnalisés afin de vous trouver le logement le plus adapté à vos envies.

Ensuite, un Home Matcher dédié à votre recherche se chargera de prendre rendez-vous pour les visites et de déposer vos candidatures, le tout en vous tournant les pouces. Settlesweet est entièrement gratuit pour les déménagements dans le cadre d’un nouvel emploi ou d’une mutation. 

Au final il se sera passé quelques mois entre la lecture de mon article et son premier jour de travail. Ce qui est plutôt pas mal, surtout en considérant la pandémie qui a retardé beaucoup de choses. J’espère que Steven lira cet article et qu’il n’hésitera pas à nous partager avec ses mots la manière dont il a vécu tout le processus, ça ferait plaisir !


On fête la rentrée avec NordVPN ! [Bon plan] -68%

-68% 3,3€/mois durant 2 ans

Protection en un clic, fonctionnalité Kill Switch, masquage de votre adresse IP, prise en charge des partages de fichiers en p2p, protection contre les malwares et les pubs, streaming sans interruption, test de fuite DNS et même possibilité de coupler l’outil avec l’anonymat de The Onion Router … sont quelques-unes des autres options disponibles.

À noter que cet été l’outil a passé avec succès l’audit d’une société indépendante (PricewaterhouseCoopers) concernant leur politique de non-conservation de registre d’activité, validant que NordVPN ne conservait pas l’activité de ses utilisateurs sur le web.

De plus une licence NordVPN vous permet de protéger jusqu’à 6 appareils et cela, quelle que soit la plateforme sur laquelle ces derniers tournent (android où iOS, Windows, Linux ou macOS, android TV).

En Savoir +


Réponses notables

  1. Très bon article! Cependant mon avis diffère sur le 2FA via smartphone:

    • Pour les applications peu critiques, un “2FA” sur simple message push qui demande de swiper est hyper pratique, bien que n’assure pas une sécurité maximum. Mais cela demande quand même à l’attaquant de voler le téléphone, ce qui n’est pas rien.
    • J’utilise FreeOTP, que j’ai choisi pour 2 raisons: publié par redhat et opensource donc plus de confiance. Et parceque justement il ne demande pas de code, le mdp de déverrouillage de mon smartphone suffit je pense.

    Petit exemple pour protonmail: login + mot de passe protonmail + déverouillage smartphone + TOTP + mot de passe pour déchiffrer les mails. Si en plus je rajoute une passphrase sur FreeOTP je m’en sors plus…

  2. C’est tout à fait discutable.
    Déjà, tu dis qu’en cas de changement brusque de numéro de téléphone, tu es dans la merde avec les codes par SMS. Perso, je change plus souvent de téléphone que de numéro de téléphone. Or quand tu perds/abime ton téléphone tu l’as dans l’os pour l’application.

    Ensuite, on peut certes se faire voler son numéro de téléphone, se faire router ses SMS etc, mais ça reste du domaine du hacker qui t’en veut vraiment. Si un type arrive à avoir accès à mon numéro de téléphone je suis à peu près autant ba*sé que s’il a accès à mon email.

    La sécurité c’est important mais il ne faut pas non plus tomber dans la paranoïa. Perso j’aurais formulé la conclusion différemment, plutôt que de dire “ne jamais utiliser les SMS”, j’aurais plutôt dit “évitez les SMS”. C’est moins alarmant, pour un risque qui est de toutes façons quasi nul. Idem pour l’email, si ton mot de passe est suffisamment fort sur ton adresse mail et qu’il est hébergé chez Google ou un autre ponte du domaine, le risque de piratage est bien faible… surtout si tu le doubles par une authentification à double facteur lui aussi.

  3. quelqu’un a tester la version 1password pour la 2FA ? seul hic c’est que c’est un systeme online

  4. Très bon article !

    Mais un GROS point faible :

    Alors que nous reste-t-il ?
    Et bien la dernière option, c’est une application qui vous génère des codes 2FA à la volée.
    Activez l’authentification 2FA partout si c’est dispo.

    La généralisation du 2FA par SMS est tel que les boites / banques ne proposent PAS d’autres possibilités de 2FA !

    Q1 - A cela quelles solutions Korben ?

    Autre chose …
    Il aurait été bon ton de linker les services fonctionnant avec chacune des 2 App énoncé !

    Merci

  5. Effectivement, certains services comme les banques ne proposent pas d’alternatives. A part leur demander d’intégrer un vrai support 2FA, pas grand chose à faire malheureusement.

    Tous les services qui respectent ce standard fonctionnent avec toutes ces applications. Pas de limite.

  6. Or quand tu perds/abime ton téléphone tu l’as dans l’os pour l’application.

    Pas forcement, si tu as bien conservé les clés ou les QR Code de tes 2FA.

  7. Merci pour ta réponse

    Tous les services qui respectent ce standard fonctionnent avec toutes ces applications. Pas de limite.

    Ok !

    Je viens de tester Authy qui me demande mon N° de Mobile donc exit !

    Je viens de tester Last Pass Auth qui lui m’affiche un code systématiquement faux.
    En comparant avec Google Authenticator ce n’est d’ailleurs jamais le même !

    Les TimeZone et mes device sont identique à la seconde même !

    J’ai révoquer la fonctionnalité puis remis sur gmail, je scanne a chaque fois le QR code, sur Google Auth ca fonctionne toujours sur LastPass Auth le code est toujours wrong !

    J’avais eu ce pb 1 fois sur Google Auth mais il propose l’option “Time correction for codes” est tout était rentré dans l’ordre. Via LastPass pas d’options et rien à faire, le code a 6 chiffre est toujours faux !

  8. Avatar for shake shake says:

    Je viens d’installer le lastpass authentificator ! Sauf qu’en fait il demande le numéro de téléphone pour les demandes backup, et on ne peut pas compléter l’activation sans lui donner ! donc pas possible de n’activer que la partie app sans le sms en secours…

  9. Ca coûte 8 euros même (https://www.amazon.fr/HyperFIDO-Mini-U2F-Security-Key/dp/B01LZO0WE9/ref=sr_1_cc_1?s=aps&ie=UTF8&qid=1499716522&sr=1-1-catcorr&keywords=fido+u2f), effectivement, les comptes Google sont compatibles.

    @Korben Maintenant que j’ai une quinzaine de comptes protégés en 2FA via l’application Google Authenticator, as-tu une méthode simple pour migrer vers une autre appli ? T’as vu le bordel pour changer de téléphone déjà ?

    Sinon bon article, même si tu tombes chaque jour davantage du côté des conspirationistes. On voit que tu n’es pas dans une boîte privée avec des milliers d’users à satisfaire, une productivité à ne pas faire tomber et des contraintes économiques. Dans ton cas, c’est facile de pousser le curseur de la sécurité au maximum quitte à réduire drastiquement le confort, car ton public est assez nerdy en général. En entreprise, ton discours ne tiendrait pas, car tu ne fais pas d’analyse des risques, tu affirmes que le 2FA par mail ou par SMS c’est idiot sans mettre dans la balance la valeur des informations protégées.

    @bustvhk Blacklisté par PRISMBreak donc tu n’utilises pas. Courage si tu entends te défendre contre la NSA :stuck_out_tongue:

  10. A noter que l’attaque concernant le protocole SS7 n’est pas réalisable par monsieur/madame tout le monde, il faut beaucoup de prérequis difficile à mettre en oeuvre comme expliqué dans ces deux commentaires:

    Les cibles seront donc des personnes importantes, pas une personne random.

  11. Hello

    oui j’ai déjà changé de téléphone et faut reflasher tous les codes ou rentrer toutes les clés. Oui c’est relou.
    Après je m’adresse pas aux entreprises mais aux particuliers donc tout va bien. Mais je sais que dans pas mal de grosses boites, les gens utilisent des solutions pro avec clés physiques qui proposent du 2FA.

    Et je dis pas que les SMS c’est idiot, je dis juste que c’est mieux d’éviter.

    Après la conspiration, je la cherche encore.

  12. Exact. Ou alors les gens dont le hacker a récupéré le mot de passe un peu par hasard et pour lesquels il veut aller plus loin.

  13. HUMOUR

    Rolololo, faut vraiment que j’explique chaque virgule ?

  14. Retour d’expérience avec 2FA

    Cisco Meraki
    Je pensais avoir bien configurer mon compte (num de téléphone en backup ou autre), et bien non.
    N’ayant jamais eu de soucis pour utiliser à nouveau Google Auth après un flash du tel, je ne me suis pas poser de question pour les autres comptes.
    Du coup, au moment de vouloir me connecter, j’ai eu la désagréable surprise de ne pas avoir de possibilité de secours !
    Rien.
    Seule solution possible : un courrier notarié provenant du chef d’établissement pour faire sauter la 2FA.
    Je ne l’ai pas encore fait… car ça coûte.
    Je ne me souviens pas d’avoir eu à noter une solution de secours, même si c’est bien écrit dans le manuel.

    Mailchimp
    Ce service incite à l’utilisation la 2FA avec 20% de réduction sur la facture. Top.
    Mais là, idem : pas de récupération par SMS même si le numéro est renseigné.
    Le support accepte de faire sauter la 2FA en répondant à plusieurs questions liées au compte et à son usage (dernière campagne, nombre d’inscrits, dernière liste créé, etc…).
    Idem, je ne me souviens d’avoir eu à noter une solution de replie.

    SMS !?
    Donc je nuance aussi le coup du SMS même si je suis de ton avis vis-à-vis du hack potentiel. A ce propos, il y avait une étude comparative sur la fiabilité de nos réseaux français non ?

    Ayant formaté le téléphone en ayant aussi 2 comptes sur Microsoft Auth, je me demande ce que cela va donner pour récupérer l’accès … Je n’en ai pas encore eu besoin.

    Mon téléphone est protégé par empreinte + code à 4 chiffres.
    J’ai installé Serrure (Smart Applock) depuis le play store. Ca fonctionne plutôt bien.

    Autres éléments de sécurisation !? :

    • Tous les cookies liés à Google sont supprimés après chaque session, voir session en navigation privée à chaque fois
    • Je ne laisse jamais ma session ouverte
    • Mes mots de passes stockés chez Google sont protégés par le mot de passe additionnel. Donc pas de synchro sur un nouveau Chrome possible. Et la consultation en ligne est impossible du fait de ce mot de passe.

    J’attends aussi d’avoir le temps pour regarder du côté des clés physiques. Mais là, la perte est encore plus facile que son smartphone je trouve.

    Pour finir, sur le compte perso de gmail, je valide la connexion en répondant à la question qui apparaît sur mon smartphone. Plus pratique. Et il faut que je le déverrouille pour y répondre.

  15. intéressant, sachant que les questions de “sécurité” posées par les opérateurs sont ridicules : numéro de contrat, décliner son nom, et … c’est tout.
    Il faudrait pouvoir communiquer un mot / phrase de passe à son opérateur, pour le grand public ou les entreprises, même combat. Ou avoir, comme en banque, une clé matériel, pour valider les changements sur le compte avec le tech au téléphone.

  16. Pitard t’as installé un moulin dans ton potager ??? T’es vraiment un grand malade toi … :smiley: :wink:

  17. lol, si j’avais la place, j’aurai mis une éolienne :slight_smile:

  18. en fait personne ne sais ou ce trouve la doule authentification U2F dans 1password
    j’ai commencer a l’utiliser mais j’ai peur de la fausse illusion de sécurité

  19. C’est quoi ce post ? kikoolol en mal d’amour … :smiley:

  20. normal, c’est les vacances scolaires :slight_smile:

Continuer la discussion sur Korben Communauté

8 commentaires supplémentaires dans les réponses

Participants