PrivacyTools.io

Sécuriser ses comptes en ligne : utilisez toujours la double authentification

Sécuriser ses comptes en ligne : utilisez toujours la double authentification

Avec un peu de chance, vous avez déjà créé un compte ProtonMail ou Tutanota et vous êtes prêt à commencer à y transférer certains comptes. Il est donc temps d’aborder quelques conseils pour garder vos comptes bien verrouillés afin qu’un adversaire ne vous les vole pas. Cette section ne s’applique en réalité qu’aux entités non gouvernementales qui vous attaquent avec une intention malveillante. Si un organisme gouvernemental comme le FBI veut entrer, un mandat lui suffit.

La chose la plus importante à considérer est la façon dont votre compte est vérifié. La plupart des sites internet utilisent l’e-mail parce qu’il existe depuis très longtemps. Rattacher votre compte ProtonMail rend donc les choses bien plus sûres, car votre e-mail ProtonMail est incroyablement protégé contre le vol, sauf si quelqu’un vous regarde saisir les deux mots de passe (ce que déjoue l’utilisation de l’extension LastPass dans votre navigateur), ou si un keylogger atterrit sur votre ordinateur (ce que l’extension LastPass déjouera là encore probablement). Même si votre compte ProtonMail est repérable par une bonne partie du public, parce que vous l’avez communiqué ou publié quelque part publiquement comme sur votre blog, il leur faut quand même y entrer pour réinitialiser le mot de passe de votre compte.

Ensuite, vous allez veiller à passer en revue les paramètres de sécurité que le site vous propose et à vous renseigner sur la sécurité supplémentaire qu’apportent ces options. Prenez Twitter par exemple : il vous permet d’exiger des informations personnelles pour réinitialiser votre compte. Cela signifie qu’un adversaire doit saisir votre e-mail ou votre numéro de téléphone ne serait-ce que pour lancer la procédure de réinitialisation de votre mot de passe. Un autre exemple serait PayPal, qui exige que vous saisissiez les informations de votre carte bancaire ET que vous receviez un e-mail ou un SMS avec un code de réinitialisation avant d’autoriser un changement de mot de passe. Mais partout où c’est possible, utilisez toujours la double authentification.

Validation en deux étapes et double authentification

Il existe un grand débat sur l’existence de différences entre la validation en deux étapes et la double authentification. Il semble que Google, Apple et Microsoft utilisent plutôt la première des deux, alors que la plupart des autres sites utilisent la double authentification (2FA). L’idée derrière cette distinction est que la 2FA est quelque chose de physique que vous possédez, comme une Yubikey, une carte à puce, une empreinte digitale ou une CryptoKey. La validation en deux étapes exige une seconde forme d’authentification en plus de votre mot de passe, comme un code TOTP (Time-based One-time Password Algorithm) issu d’une application d’authentification ou un SMS envoyé sur votre téléphone.

Je ne devrais pas… mais j’utilise les deux termes ci-dessus de façon assez interchangeable. Je pense que le terme que j’emploie le plus souvent est la double authentification (2FA), et il est fort possible que j’aie tort d’utiliser cette terminologie pour désigner des méthodes comme SMS-Auth et TOTP, mais je vais l’utiliser pour le reste de ce document. En général, recevoir un code de vérification par e-mail serait considéré comme une forme peu sûre de double authentification, car si votre e-mail est compromis, ils disposent à la fois de votre méthode 2FA et de l’e-mail nécessaire pour réinitialiser votre mot de passe. De même, la 2FA basée sur SMS ou sur appel vocal est également assez peu sûre, car votre opérateur téléphonique peut être “trompé” (http://www.securityweek.com/hackers-tricked-att-network-solutions-employees-tesla-attack) et livrer assez de détails sur votre compte pour faire suivre vos SMS vers un autre numéro, et avec les progrès de la technologie, certains opérateurs vous donnent aussi la possibilité de lire vos messages via leur portail de compte en ligne. Les meilleures méthodes de 2FA sont un TOTP correctement implémenté, une Yubikey ou l’authentification biométrique.

“Time-based One-time Password Algorithm (TOTP) est un algorithme qui calcule un mot de passe à usage unique à partir d’une clé secrète partagée et de l’heure actuelle” (Wikipedia). En gros, nous installons une application comme Google Authenticator sur notre téléphone et nous y relions notre compte en générant et en saisissant le secret partagé. Cela se synchronise avec l’heure actuelle et génère un nouveau code à 6 chiffres toutes les 30 secondes (en général). Après avoir saisi son e-mail ou son nom d’utilisateur et son mot de passe sur le site, l’utilisateur doit ensuite taper le code à 6 chiffres généré à cet instant par l’application d’authentification. Cela revient à utiliser quelque chose que vous savez (le mot de passe) et quelque chose que vous possédez (le code TOTP) pour sécuriser votre compte. C’est ma méthode préférée pour sécuriser mes comptes en ligne. Tous les codes TOTP sont envoyés vers ma montre connectée et stockés de façon sécurisée à mon poignet. La plupart du temps, je n’ai même pas besoin de mon téléphone pour me connecter.

Je trouve que Yubico donne une meilleure description du fonctionnement d’une YubiKey pour la 2FA que je ne pourrais le faire, voici donc l’extrait de son site :

Une YubiKey est un petit appareil que vous enregistrez auprès d’un service ou d’un site qui prend en charge la double authentification. La double authentification signifie qu’à chaque connexion, le service demandera la preuve que vous avez bien votre YubiKey, en plus de vos nom d’utilisateur et mot de passe habituels. Le phishing, les logiciels malveillants et les autres méthodes d’attaque ne fonctionnent pas, car il leur faudrait à la fois votre clé physique et vos mots de passe pour compromettre vos comptes. La double authentification avec une YubiKey sécurise votre connexion et garde vos informations privées. La YubiKey ne demande rien de plus qu’une simple pression ou un simple contact. Aucun pilote ni logiciel spécial n’est nécessaire. Vous pouvez utiliser votre YubiKey sur plusieurs ordinateurs et appareils mobiles, et une seule clé prend en charge un nombre illimité de vos comptes. Les YubiKeys sont presque indestructibles, ajoutez-la simplement à votre porte-clés avec les clés de votre maison et de votre voiture.

Quant aux questions et réponses de sécurité, vous feriez bien de les conserver dans votre compte LastPass afin de les éloigner de l’évidence. Ce que je veux dire par là, c’est qu’au lieu d’utiliser le nom de votre chien (qui pourrait être deviné ou identifié), vous pourriez ajouter un symbole devant ou derrière votre réponse, par exemple : %Baxter au lieu de Baxter. Une suggestion de sécurité maximale serait d’utiliser des caractères aléatoires et de les stocker pour ne pas les oublier.

Pour les personnes très actives ou célèbres sur les réseaux sociaux, ou pour les professionnels qui sécurisent des sites importants susceptibles de manipuler des données clients sensibles, la double authentification est une chose incroyablement importante à activer sur tous les sites et services qui vous en laissent la possibilité. Il y aura peut-être une courbe d’apprentissage, mais cela vous sauvera au bout du compte face à une attaque contre votre identité.