L'authentification double facteur (2FA), oui mais pas n'importe comment!

Publié initialement à : https://korben.info/authentification-double-facteur-2fa.html

Il y a un truc simple que vous devez absolument faire sur tous les services que vous utilisez (ou au moins ceux que vous jugez comme cruciaux), c’est activer l’authentification double facteur appelée aussi 2FA. Le concept est simple, une fois activé, en plus de votre mot de passe, on vous demandera un code unique…

Très bon article! Cependant mon avis diffère sur le 2FA via smartphone:

  • Pour les applications peu critiques, un “2FA” sur simple message push qui demande de swiper est hyper pratique, bien que n’assure pas une sécurité maximum. Mais cela demande quand même à l’attaquant de voler le téléphone, ce qui n’est pas rien.
  • J’utilise FreeOTP, que j’ai choisi pour 2 raisons: publié par redhat et opensource donc plus de confiance. Et parceque justement il ne demande pas de code, le mdp de déverrouillage de mon smartphone suffit je pense.

Petit exemple pour protonmail: login + mot de passe protonmail + déverouillage smartphone + TOTP + mot de passe pour déchiffrer les mails. Si en plus je rajoute une passphrase sur FreeOTP je m’en sors plus…

C’est tout à fait discutable.
Déjà, tu dis qu’en cas de changement brusque de numéro de téléphone, tu es dans la merde avec les codes par SMS. Perso, je change plus souvent de téléphone que de numéro de téléphone. Or quand tu perds/abime ton téléphone tu l’as dans l’os pour l’application.

Ensuite, on peut certes se faire voler son numéro de téléphone, se faire router ses SMS etc, mais ça reste du domaine du hacker qui t’en veut vraiment. Si un type arrive à avoir accès à mon numéro de téléphone je suis à peu près autant ba*sé que s’il a accès à mon email.

La sécurité c’est important mais il ne faut pas non plus tomber dans la paranoïa. Perso j’aurais formulé la conclusion différemment, plutôt que de dire “ne jamais utiliser les SMS”, j’aurais plutôt dit “évitez les SMS”. C’est moins alarmant, pour un risque qui est de toutes façons quasi nul. Idem pour l’email, si ton mot de passe est suffisamment fort sur ton adresse mail et qu’il est hébergé chez Google ou un autre ponte du domaine, le risque de piratage est bien faible… surtout si tu le doubles par une authentification à double facteur lui aussi.

1 J'aime

Personnellement, je n’ai pas de smartphone, donc ça limite les possibilités. Je hais les 2FA qui demandent un numéro de téléphone. Si j’entretiens un pseudonymat, c’est pas pour le faire sauter en donnant une information aussi personnelle que mon n°.

Après, je n’utilise quasiment pas de services en ligne « cruciaux » (justement parce qu’ils sont cruciaux). Et le reste, si je perds tout, ce n’est pas dramatique.

quelqu’un a tester la version 1password pour la 2FA ? seul hic c’est que c’est un systeme online

Très bon article !

Mais un GROS point faible :

Alors que nous reste-t-il ?
Et bien la dernière option, c’est une application qui vous génère des codes 2FA à la volée.
Activez l’authentification 2FA partout si c’est dispo.

La généralisation du 2FA par SMS est tel que les boites / banques ne proposent PAS d’autres possibilités de 2FA !

Q1 - A cela quelles solutions Korben ?

Autre chose …
Il aurait été bon ton de linker les services fonctionnant avec chacune des 2 App énoncé !

Merci

Effectivement, certains services comme les banques ne proposent pas d’alternatives. A part leur demander d’intégrer un vrai support 2FA, pas grand chose à faire malheureusement.

Tous les services qui respectent ce standard fonctionnent avec toutes ces applications. Pas de limite.

1 J'aime

Or quand tu perds/abime ton téléphone tu l’as dans l’os pour l’application.

Pas forcement, si tu as bien conservé les clés ou les QR Code de tes 2FA.

Perso j’utilise l’authentification en deux étapes via une clef physique. Plusieurs services sont compatibles (dont Gmail), ça coûte 20 euros et c’est top au niveau de la sécurité.

Merci pour ta réponse

Tous les services qui respectent ce standard fonctionnent avec toutes ces applications. Pas de limite.

Ok !

Je viens de tester Authy qui me demande mon N° de Mobile donc exit !

Je viens de tester Last Pass Auth qui lui m’affiche un code systématiquement faux.
En comparant avec Google Authenticator ce n’est d’ailleurs jamais le même !

Les TimeZone et mes device sont identique à la seconde même !

J’ai révoquer la fonctionnalité puis remis sur gmail, je scanne a chaque fois le QR code, sur Google Auth ca fonctionne toujours sur LastPass Auth le code est toujours wrong !

J’avais eu ce pb 1 fois sur Google Auth mais il propose l’option “Time correction for codes” est tout était rentré dans l’ordre. Via LastPass pas d’options et rien à faire, le code a 6 chiffre est toujours faux !

Je viens d’installer le lastpass authentificator ! Sauf qu’en fait il demande le numéro de téléphone pour les demandes backup, et on ne peut pas compléter l’activation sans lui donner ! donc pas possible de n’activer que la partie app sans le sms en secours…

Pour info, AUTHY est comme GoogleAuthenticator : licence propriétaire
Donc exit! De plus, black listé par PRISMbreack

Seul FreeOTP est clean

Ca coûte 8 euros même (https://www.amazon.fr/HyperFIDO-Mini-U2F-Security-Key/dp/B01LZO0WE9/ref=sr_1_cc_1?s=aps&ie=UTF8&qid=1499716522&sr=1-1-catcorr&keywords=fido+u2f), effectivement, les comptes Google sont compatibles.

@Korben Maintenant que j’ai une quinzaine de comptes protégés en 2FA via l’application Google Authenticator, as-tu une méthode simple pour migrer vers une autre appli ? T’as vu le bordel pour changer de téléphone déjà ?

Sinon bon article, même si tu tombes chaque jour davantage du côté des conspirationistes. On voit que tu n’es pas dans une boîte privée avec des milliers d’users à satisfaire, une productivité à ne pas faire tomber et des contraintes économiques. Dans ton cas, c’est facile de pousser le curseur de la sécurité au maximum quitte à réduire drastiquement le confort, car ton public est assez nerdy en général. En entreprise, ton discours ne tiendrait pas, car tu ne fais pas d’analyse des risques, tu affirmes que le 2FA par mail ou par SMS c’est idiot sans mettre dans la balance la valeur des informations protégées.

@bustvhk Blacklisté par PRISMBreak donc tu n’utilises pas. Courage si tu entends te défendre contre la NSA :stuck_out_tongue:

Euh, Authy est très bien, mais je dirais que les 2FA sont aussi mis en ligne sur le Cloud puisqu’on peut les partager sur multiples devices…

A noter que l’attaque concernant le protocole SS7 n’est pas réalisable par monsieur/madame tout le monde, il faut beaucoup de prérequis difficile à mettre en oeuvre comme expliqué dans ces deux commentaires:

Les cibles seront donc des personnes importantes, pas une personne random.

Hello

oui j’ai déjà changé de téléphone et faut reflasher tous les codes ou rentrer toutes les clés. Oui c’est relou.
Après je m’adresse pas aux entreprises mais aux particuliers donc tout va bien. Mais je sais que dans pas mal de grosses boites, les gens utilisent des solutions pro avec clés physiques qui proposent du 2FA.

Et je dis pas que les SMS c’est idiot, je dis juste que c’est mieux d’éviter.

Après la conspiration, je la cherche encore.

Exact. Ou alors les gens dont le hacker a récupéré le mot de passe un peu par hasard et pour lesquels il veut aller plus loin.

“Bien sûr si vous n’avez mis aucune sécurité de verrouillage à votre smartphone, que votre application 2FA ne vous réclame pas de code PIN ou de mot de passe et qu’en plus, vos mots de passe de sites web sont enregistrés dans votre navigateur, je ne peux rien faire pour vous. Limite, vous méritez de vous faire piller votre compte bancaire.”

Korben, t’as pas honte de dire des trucs comme ça ? Sérieux ? …

1password personne ?

HUMOUR

Rolololo, faut vraiment que j’explique chaque virgule ?