Comme expliqué dans le chapitre précédent, j’ai sécurisé tous mes comptes avec un mot de passe complexe, illogique, aléatoire et surtout unique, le tout géré avec mon gestionnaire de mots de passe ce qui rend la chose simple et rapide. C’était déjà une très bonne chose.
Malheureusement, il est toujours possible pour nos adversaires de découvrir d’une manière ou d’une autre l’un de mes mots de passe. Ils pourraient donc se connecter à l’un de mes comptes, accéder à mes informations, changer des paramètres comme l’adresse email ou le mot de passe (et ainsi m’empêcher d’accéder à mon propre compte), manipuler mes amis pour obtenir de l’argent, etc.
Pour empêcher cela, la plupart des sites mettent à disposition une sécurité complémentaire : l’authentification à deux facteurs (2FA pour two factors authentification).
2FA, qu’est-ce que c’est ?
C’est un système de connexion en deux étapes. La première consiste à entrer mon mot de passe, comme je le fais jusqu’à maintenant. Ensuite, on me demandera d’entrer un deuxième code qui change toutes les trente secondes et que je trouve sur mon téléphone (ou via Bitwarden, voir plus bas).
Cela permet d’empêcher l’accès à mon compte à celui qui ne connaît que le mot de passe. Maintenant, nos adversaires devront également avoir accès à mon téléphone ou avoir la clé de configuration de ce système pour accéder mes comptes. Concrètement, même si un hacker parvient à trouver mon mot de passe, il ne pourra quand même pas accéder à mon compte.
Afin de configurer l’authentification à deux facteurs, il faut trouver l’option dans les paramètres de sécurité du compte que l’on veut sécuriser et l’activer. Un QR code s’affichera alors ainsi qu’une clé de configuration. Sur le téléphone, il faudra installer une application TOTP (Time-based One Time Password) et scanner le QR Code (ou entrer manuellement la clé). L’application affichera un nouveau code toutes les 30 secondes. Il suffira de le recopier sur le site pour valider la configuration du 2FA sur son compte. De la même manière, après chaque connexion (ou tous les 30 jours par exemple selon les services), il sera nécessaire d’inscrire le code TOTP.
L’activation du 2FA pourrait vous empêcher définitivement d’accéder à votre compte si vous n’avez plus accès à votre code TOTP (par exemple, téléphone volé / perdu / cassé). Pour éviter cela, sauvegardez toujours la clé de configuration ainsi que les codes de récupération que le service vous donnera. Le meilleur endroit pour cela, c’est dans votre gestionnaire de mots de passe.
Je me facilite la vie avec Bitwarden
En plus de gérer tous mes mots de passe (et de me permettre de me connecter facilement avec Ctrl+Shift+L), Bitwarden sait également gérer les TOTP. Il suffit simplement d’inscrire la clé de configuration dans le champ TOTP du compte et Bitwarden affichera le code à saisir. Mieux, lorsque Bitwarden remplit automatiquement les champs de connexion, l’application inscrit dans le presse papier le code correspondant. Il n’y aura plus qu’à le coller et le tour est joué.
Concrètement, une fois que tout est configuré et que je souhaite me connecter à un service, j’affiche la page de connexion, je presse Ctrl+Shift+L pour remplir les champs (je rajoute éventuellement mon grain de sel), puis Enter pour valider, Ctrl+V pour coller le code TOTP et Enter à nouveau et je suis connecté.
Alors que jadis je devais taper mon adresse email, puis mon mot de passe avant de me connecter, dès à présent je n’ai plus qu’à faire Ctrl+Shift+L puis Ctrl+V. Plus simple, plus rapide et plus sécurisé.
Tous les services ne proposent pas le 2FA, mais la majorité des sites importants le font. Je l’ai activé partout où c’était possible.
A ce stade, vous commencez déjà à avoir un bon niveau de sécurité. Soyez fiers de vous.
Pour aller plus loin
Il existe également des solutions encore plus sécurisées. Une clé physique. Un clé que vous devez physiquement avoir avec vous pour déverrouiller un accès. Lorsque vous vous connectez à un service, au lieu de remplir un code à 6 chiffres pour valider votre connexion, vous devez appuyer sur un bouton de votre clé, laquelle est connectée à votre appareil par USB ou NFC.
Cela veut dire qu’un hacker devra en plus de tout le reste, obtenir physiquement votre clé, ce qui compliquerait passablement sa tâche. C’est une étape supplémentaire, un peu contraignante et onéreuse, mais terriblement efficace.
Il existe plusieurs solutions, mais je recommande Yubikey.
Ce qu’il faut retenir
L’authentification à deux facteurs « 2FA » permet d’ajouter une couche de sécurité presque aussi importante que celle du mot de passe. Il s’agit de valider une connexion grâce à un code à usage unique basé sur le temps (TOTP – Time based One Time Password). Activez cette option sur tous les services qui le permettent et configurez votre gestionnaire de mots de passe avec cette option pour vous simplifier la vie. N’oubliez pas de sauvegarder les codes de récupération. Vous pouvez aller encore plus loin en utilisant une clé physique en guise de 2FA.
Newsletter
Recevez ma newsletter mensuelle afin de ne rien rater. Inscrivez-vous ici :
Un commentaire sur “Chapitre 4 : L’authentification à deux facteurs (2FA), une sécurité supplémentaire”