Comment sécuriser facilement ses comptes avec la double authentification
Pour permettre une meilleure sécurisation de l'accès à un compte utilisateur, de nombreux services sur internet proposent l'authentification à deux facteurs.
On peut même parfois rajouter un troisième facteur, en plus de ce que l'utilisateur connait et ce qu'il possède, qui prend en compte l'identité de l'utilisateur avec un capteur biométrique.
Cette technique de sécurisation des comptes devrait être une norme tant elle permet d'éviter des problèmes de piratage de compte. Si quelqu'un se retrouve avec votre identifiant et votre mot de passe, il ne pourra toujours pas entrer sur votre compte sans votre sésame personnel. Efficace contre la très grande majorité des attaques.
Voici comment activer cette protection sur la plupart des services en ligne.
Dans le cas de Google, la fonctionnalité s'appelle « Validation en deux étapes » et est proposée dans les options de sécurité sur la page de gestion de son compte. Rendez-vous sur cette page pour commencer la procédure.
Le géant va d'abord vous demander de configurer cette validation en deux étapes en vous envoyant un code à 6 chiffres par SMS ou par appel téléphonique grâce à votre numéro de téléphone mobile. Une fois cela fait, il est possible de configurer l'application Google Authenticator : elle génère le même type de code sans avoir besoin du réseau téléphonique.
La procédure est simple et bien expliquée : il faut scanner le QR Code affiché sur le site web avec l'application installée sur son smartphone. Il faut ensuite entrer un code à 6 chiffres généré par l'application pour vérifier l'association avec le compte.
Une fois configuré, à chaque fois que vous essayerez de vous connecter à votre compte Google sur une machine inconnue, le service vous demandera de rentrer un code à 6 chiffres générés par l'application, après l'étape de saisi du mot de passe.
Notez que l'application Google Authenticator utilise l'algorithme TOTP implémenté par de nombreux services sur le web. L'application pourra donc servir pour beaucoup d'autres comptes sur le web chez différents fournisseurs de service. La procédure est d'ailleurs souvent la même : se rendre dans les paramètres de sécurité du compte, trouver l'option, scanner un QR Code et rentrer un code à 6 chiffres.
Enfin, certains logiciels ou applications, comme Microsoft Outlook, peuvent ne pas prendre en charge la connexion à un compte avec l'authentification à deux facteurs. Dans ce cas il faudra générer un mot de passe d'application spécifiquement pour ce logiciel.
Apple
Chez le géant californien, comme à son habitude, la validation en deux étapes fonctionne d'une façon un peu différente de la concurrence. Ici les codes d'activation ne sont qu'à 4 chiffres et seront générés par des appareils de confiance à configurer depuis le site web de gestion du compte.
Apple oblige il faudra obligatoirement un iPhone, un iPad ou un iPod Touch pour générer des codes de façon autonome. Ceux qui ne possèdent pas l'un de ses appareils devront se contenter de l'authentification par envoi d'un SMS qui ne fonctionne donc que sous couverture réseau. Concernant l'activation de l'option, comme chez Google, le géant va d'abord envoyer un SMS avec un code à 4 chiffres sur votre téléphone mobile puis vous proposera de configurer un appareil compatible.
Enfin le site web d'Apple insiste plus que ses concurrents à propos de la clé de secours. Cette clé est générée pendant l'activation de l'option et permet de retrouver l'accès à son compte en cas de perte de l'appareil de confiance ou du numéro de téléphone mobile associé au compte. Il est donc important de noter cette clé et la conserver ailleurs que sur son téléphone mobile.
Facebook propose plusieurs façons d'activer l'authentification à deux facteurs. Premièrement on peut recevoir des SMS sur son téléphone mobile en configurant l'approbation de connexion. Les deux autres possibilités consistent à générer des codes sans avoir besoin d'une connexion au réseau mobile. Facebook conseille d'utiliser son application mobile qui intègre nativement le générateur de code.
En choisissant l'option « Installer une autre façon d'obtenir des codes de sécurité », il est toutefois possible d'utiliser Google Authenticator et ainsi réunir au même endroit les différents services web proposant l'authentification à deux facteurs. C'est l'option que choisiront ceux qui ne souhaite pas installer l'application Facebook, connue pour être énergivore sur Android.
Microsoft
Microsoft utilise le même algorithme TOTP et la même procédure que Google. En plus de l'envoi de code par SMS ou par courriel, il est donc possible de générer des codes avec l'application Google Authenticator sur Android et iOS et Microsoft Authenticator sur Windows Phone.
L'éditeur propose toutefois une autre option, plus pratique. Il s'agit de l'application Microsoft Authenticator qui permet d'éviter de rentrer des codes à 6 chiffres.
La configuration est simple : il suffit de lancer l'application et de se connecter à un compte Microsoft. À chaque fois que l'utilisateur se connectera à son compte Microsoft, le site web ou le logiciel enverra une requête au téléphone, il suffira alors de cliquer sur « Approuver » ou « Refuser » pour se connecter ou non. L'application pourra même créer des notifications interactives et il ne sera donc même pas nécessaire de la lancer pour se connecter.
Microsoft Authenticator remplace Compte Microsoft et est disponible sur Android et iOS.
LastPass
Lastpass est l'un des gestionnaires de mots de passe les plus populaires. Il permet de sauvegarder vos identifiants et vos mots de passe dans un espace sécurisé, mais aussi d'autres types de données, comme vos coordonnées bancaires ou votre numéro de passeport. Il est donc primordial de bien sécuriser l'accès à son compte Lastpass et le service en est conscient puisqu’il propose de nombreuses options pour cela.
Parmi des options comme l'interdiction de se connecter au compte depuis des pays étrangers ou le réseau Tor, on retrouve l'authentification multifacteurs qui nous intéresse dans cet article. Là encore, Lastpass est compatible avec beaucoup de systèmes d'authentification à deux étapes, dont Google Authenticator dont nous parlions plus haut. Depuis peu l'éditeur propose cependant sa propre application disponible sur Android, iOS et Windows Phone.
LastPass Authenticator est une application concurrente de Google Authenticator et gère elle aussi tous les services utilisant l'algorithme TOTP. Elle permet, dans le cas spécifique du compte Lastpass, d'envoyer des notifications à l'utilisateur lors d'une demande de connexion au compte. Il n'a alors qu'à approuver ou non la connexion sans indiquer de code à 6 chiffres.
Blizzard
Les éditeurs de jeux vidéo utilisent d'autres algorithmes que celui de Google et proposent souvent soit d'utiliser une application mobile soit un authenticator, un petit objet qui générera un code à 6 chiffres sur un écran à cristaux liquides. Ce dernier étant payant, on conseillera plutôt d'utiliser l'application qui a le mérite d'être disponible sur Android, iOS, mais aussi Windows Phone. Dans tous les cas la marche à suivre est la même
Pour commencer, il faudra se rendre sur cette page. Pas de SMS cette fois-ci, mais un courriel de confirmation sur l'adresse associée au compte Battle.net. Après avoir cliqué sur le lien inscrit dans le courriel, il faudra indiquer à Blizzard le numéro de série à 14 chiffres inscrit sur l'Authenticator ou fourni par l'application et un code à 6 chiffres généré.
Attention, une petite subtilité s'est glissée dans la procédure depuis une récente mise à jour de l'application. Cette dernière est maintenant capable, comme chez Microsoft, de recevoir des requêtes de connexion de Blizzard et l'utilisateur n'a qu'à approuver ou refuser la connexion au lieu de taper un code généré. Cependant à la configuration du compte, Blizzard demande un code généré en plus du numéro de série, il faudra donc choisir « Saisir le code manuellement » en bas de la page principale de l'application.
Enfin, prenez soin de noter le numéro de série et le code spécial de restauration indiqués dans les paramètres de l'application. Ils seront nécessaires pour restaurer l'authenticator sur un autre appareil et ne pas perdre accès au compte en cas de perte du smartphone. Notez que sur iOS, si vous activez le trousseau iCloud, l'application sauvegardera automatiquement ces deux informations ce qui facilitera la restauration à l'avenir.
Steam
Steam, la plus grande plateforme de vente de jeux vidéo dématérialisés sur PC, a mis en place Steam Guard depuis de nombreuses années pour éviter le vol de compte, pouvant parfois valoir plusieurs milliers de dollars en jeu.
À l'origine il s'agissait d'un système d'envoi de courriel de vérification à chaque connexion au compte Steam depuis une nouvelle machine, mais l'éditeur propose depuis peu un authentificateur intégré à l'application mobile Steam.
L'activation de cet authentificateur se fait directement depuis l'application, dans la rubrique Steam Guard placée en première position dans le menu latéral. Steam envoie d'abord un SMS pour confirmer que la procédure est bien lancée par vous. Une fois la vérification terminée, l'activation de l'authentificateur est terminée et il ne reste qu'à noter le code de récupération qui permettra de retrouver l'accès à son compte en cas de perte ou de casse du smartphone.
L'application ne propose pas d'autoriser ou refuser simplement les requêtes comme chez Blizzard, mais enverra quand même une notification avec le code d'activation dans le centre de notification du téléphone. Il ne sera donc pas nécessaire de démarrer l'application à chaque connexion au compte.
Vous fréquentez assidûment les forums de Reddit au point d'avoir votre propre compte sur la plateforme ? Bonne nouvelle si la sécurité est l'une de vos préoccupations : il est possible depuis le jeudi 25 janvier 2018 d'activer la double authentification. Il suffit d'aller dans les préférences de son compte puis de cliquer sur l'onglet « mot de passe / email ». En bas de la rubrique, vous verrez l'option « authentification forte ».
En l'activant, il vous sera demandé de vérifier la validité de votre adresse e-mail puis de confirmer que vous êtes bien le propriétaire du compte en réinscrivant votre mot de passe dans le champ prévu à cet effet. Un code QR sera alors affiché à l'écran, qu'il vous faudra scanner avec une application dédiée, comme Google Authenticator. Depuis l'application, vous devrez alors entrer le code affiché dans le temps imparti.
Ensuite, songez à générer des codes de secours qui vous permettront de récupérer votre compte si jamais vous n'êtes plus en mesure de procéder à la double authentification. Ces codes, au nombre de dix, sont à garder très précieusement, par exemple dans un logiciel dédié avec une couche de chiffrement et une solution de synchronisation dans le cloud, plutôt de les noter sur une simple page blanche.
Ces codes peuvent servir si jamais vous perdez votre smartphone sur lequel est installée l'application permettant de générer les codes temporaires. Notez par ailleurs qu'il est possible de désactiver à tout moment la double authentification. Il suffit de revenir dans les paramètres du compte et de suivre les étapes comme au moment de l'activation. Un guide, en anglais, est fourni par Reddit.
Les autres
Beaucoup d'autres sites web et services comme Amazon ou Dropbox proposent une validation en deux étapes du compte utilisateur. La procédure est souvent la même que celles des géants déjà mentionnés dans cet article.
Un site, Two Factor Auth, se propose d’ailleurs de lister tous les services proposant la double authentification, avec pour chacun, les options proposées et d'éventuelles choses à savoir. Derrière le site se cache un projet sur GitHub ce qui facilite les demandes de modifications et permet de garder le site à jour.
(mise à jour le 26 janvier avec l'arrivée de la double authentification sur Reddit)