Passer au contenu

L’authentification à deux facteurs, cette plaie incontournable des internets

L’authentification à double facteur augmente considérablement la sécurité de l’accès aux services sensibles sur internet, mais elle n’est pas dénuée d’inconvénients qui la rendent rébarbative pour certains.

 

L’authentification à double facteur, vous utilisez ?

Posted by Presse-citron on Monday, November 4, 2019

 

Il y a quelques semaines, j’ai changé de téléphone, troquant mon iPhone X pour un iPhone 11 Pro. Tout était sous contrôle, et grâce à iCloud la transition s’est opérée sans douleur et en tâche de fond le temps d’une petite soirée, à l’issue de laquelle j’ai retrouvé l’intégralité des contenus, des mots de passe et de l’organisation de mon ancien téléphone sur le nouveau.

Sauf une chose. Une chose importante.

Cette chose c’est Google Authenticator, que j’utilise pour certains services dits “hautement sensibles”. Il faut savoir que Google Authenticator conserve ne sauvegarde rien dans le Cloud, et que par conséquent si vous changez de téléphone, rien n’est enregistré, et que vous ne pourrez donc pas récupérer les accès aux sites qui utilisent cette application. Pour moi en l’occurrence c’était Coinbase. Oui, c’est un peu embêtant, car on parle de pognon, là. Alors bien sûr il existe une procédure dans Google Authenticator qui permet de récupérer son “compte” quand on change de téléphone, mais bien sûr je n’avais pas noté les séquences fournies (ou plus exactement je ne suis pas sûr de savoir où je les ai planquées). Il a donc fallu que je refasse toute la procédure de récupération de compte Coinbase avec quelques sueurs froides en pensant au désastre si cela ne fonctionnait pas.

Ça a fonctionné, j’ai tout fait bien, et je peux de nouveau admirer en temps réel la chute abyssale de mes cryptos, ouf.

Mais, selon le service, tout le monde n’a pas toujours cette chance.

En fait, l’authentification à deux facteurs, que je ne remets évidemment pas en question, et que je recommande vivement, bien entendu, pose quand même quelques problèmes, qui peuvent dans certaines situations s’avérer très ennuyeux, voire contre-productifs et donc aussi dangereux qu’une protection insuffisante.

Dans cette vidéo je vous explique en détail les écueils très pénalisants que peut créer une authentification à deux facteurs mal maîtrisée ou utilisée à mauvais escient. Je vous invite aussi à lire les commentaires de cette vidéo dans Facebook car ils complètent de façon très intéressante ce point de vue.

>> Citronium, ma newsletter personnelle de veille hebdomadaire sur l’innovation, est désormais gratuite, profitez-en !

📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.

Opera One - Navigateur web boosté à l’IA
Opera One - Navigateur web boosté à l’IA
Par : Opera
22 commentaires
22 commentaires
  1. Un système de sécurité dépendant uniquement d’un appareils électronique est une aberration…
    On ne mets jamais tout ses oeufs dans le même panier…
    Surtout que la technologie est faillible, on peut la perdre…

    1. Bien sûr, mais le site qui utilise le 2FA fournit souvent des codes de secours.
      Et pour seconder une authentification électronique, tu vois quoi toi ? Un carnet papier ?

  2. Sans vouloir être méchant : tu as changés de téléphone, tu n’as pas pensé à certaines données essentielles, donc l’accès à l’un de tes portefeuille.

    Selon moi, tu rentres dans la catégorie de personnes qui clique sur “se souvenir de moi” et “retenir le mot de passe” sans avoir conscience de ce que cela implique.

    Venir te plaindre de l’un des systèmes de sécurité les plus aboutis sous prétexte que tu as “oublié” de t’en souvenir, c’est surtout la preuve que tu est tête en l’air, pas que la système de sécurité en question est une plaie.

    C’est même amusant de te voir comparer ce système avec icloud comme si tu voulais que ton 2FA devait en faire partie : vu le nombre de fois où iCloud à été piraté, tu serais probablement le premier à t’en plaindre si tu venais à te faire voter ton portefeuille par ce biais là.

    Apprend donc à retenir de tes erreurs avant de venir pleurer…

    1. Le mec ne me connait pas, je ne le connais pas, et il vient me juger sur une anecdote personnelle et limite m’insulter en 3 petits paragraphes, au calme.

    2. C’est drôle, moi je ne vois personne pleurer ni se plaindre dans cet article, juste un exemple et quelques infos sur les inconvénients de la méthode à deux facteurs.

    3. Waouh , je me devais t’intervenir et de par la même Hors Sujet .. désolé , j’ai eu l’impression de lire Dieux le père ou plutôt «  Tim Cook » sort de ce corps ! Et man , dégonfle un peu le haut de ton melon qui te sert de crâne.. et ouvre la valve de tes chevilles ou bien …tu risque l’implosion !

      Plus sérieusement, Eric ne fait que raconter sa mésaventure en changeant d’iPhone de là à le traiter de « tête en l’air » voir de le juger, même avec la mention préalable « sans être méchant «  désolé c’est carton rouge ! Lecteur de Presse Citron depuis des lustres .. j’ai rarement vu ce genre de commentaires.. ici on joue la pertinence et non pas l’acidité…

  3. ça m’est arrivé aussi… et c’est vraiment la galère sur certains services pour débloquer le 2FA, depuis la meilleure alternative que j’ai trouvé à cette app c’est authy (https://authy.com/) il y a un backup des données en ligne qui sont encryptées avec votre mot de passe, il me semble que le compte est aussi lié au n° de téléphone et il y a aussi un logiciel pour pc. Donc super pratique et ça fait un peu sortir de chez google o:)

  4. Pour ma part, j’utilise 1Password pour sauvegarder mes mots de passe depuis quelques années, et j’en suis très satisfait. Et il y a quelques mois, je me suis décidé à l’utiliser également pour la double authentification, en tant qu’appli génératrice de codes. Et c’est vraiment le bonheur : mes comptes sont toujours aussi sécurisés, sans pour autant avoir besoin de mon téléphone constamment sur moi, et c’est compatible avec toutes les plateformes et sur mes deux téléphones… je t’invite à regarder ça, c’est vraiment très pratique ?

    1. Bonsoir,

      erreur monumentale concernant la centralisation mots de passe et authentification 2 facteurs car s’il y a perte ou hack c’est jackpot. Pour une bonne hygiène numérique il faut un générateur de mots de passe, un logiciel d’authentification (privilégier quelquechose comme Authy qui est mieux que le vilain google qui propose un back up et multi plateforme donc changement de tél pas de problème ). Faire un back up des mots de passe et des phrases de récupération de compte via standard notes qui crypte les données en local et via cloud) et enfin faire une clé d’un de sauvegarde crypté via veracrypt au cas où et là on commence à avoir un truc pas trop mal pas parfait mais bien.

      1. J’ai longtemps hésité avant d’y passer, justement en me disant qu’il était trop risqué de centraliser mes mots de passes et mes OTP, sauf que 1Password m’a convaincu pour une raison simple : mon compte 1Password est triplement protégé par :
        – mot de passe maître (stocké dans le cloud)
        – clé secrète (stockée en local)
        – double authent (mon appli authenticator)

        Ces trois éléments font que le risque pour moi est fortement réduit. Après, je ne dis pas que c’est la bonne méthode, chacun sait mieux que quiconque s’il est prêt à prendre ce risque ou pas. Pour moi, le confort gagné est largement supérieur au risque 🙂

        1. Bah non, imagine un keylogger /malware sur ton pc lorsque tu accède à ton 1password! Il a accès à tout !
          Alors qu’avec 1password + authy sur ton mobile, le malware n’aura pas accès à ton mobile

    2. Effectivement, j’utilisais Google Authenticator jusqu’à ce que j’adopte celui de LastPass (j’utilisais déjà LastPass pour mes mots de passe). L’avantage est que LastPass Authenticator est synchronisé dans le Cloud. Éliminant le problème évoqué dans l’article.

      1. Erreur, tu ferais mieux d’utiliser 2 fournisseur différents :auty pour le 2fa et last pass pour les mots de passe. Comme ça si tu te fait hacké last pass ou authy tu es safe (peux de chance de se faire hacké les 2 en même temps)

  5. J’avais remarqué que l’appli Authentificator de Google ne sauvegardez rien dans le Cloud, ce qui est un peu con en soit.
    Du coup j’utilise Authentificator de Lastpass, qui est mon gestionnaire de mots de passe, tout est sauvegardé, je dors tranquille.

    1. Tu ne devrais pas mettre tous tes œufs dans un même panier. Le but du 2fa est justement de séparer l’endroit /la manière de stocker ton identification dans 2 endroit différents.

  6. J’étais aussi sur Google Authenticator avant, puis j’ai découvert avec émerveillement “andOTP”.

    C’est une app gratuite, disponible uniquement sur Android, qui est très simple d’utilisation ! On peut ajouter des tags, modifier les illustrations des codes générés pour s’y retrouver plus facilement, exporter la base de données (clair ou crypté), etc.

    https://github.com/andOTP/andOTP

    Il y a évidemment des équivalents côté iOS 🙂

  7. +1 Authy. C’est sauvegardé dans le Cloud avec une app mobile et une app Desktop.
    +1 pour NE PAS utiliser les 1password et Lastpass pour le 2FA, Jackpot pour les hackeurs.

    J’utilise Enpass sauvegardé sur mon compte Google Drive (chiffré) et Authy pour le 2FA.

  8. J’ai eu le même soucis ou presque: un téléphone volé à l’étranger (1), nécessité de communiquer par mail sur poste anonyme donc demande de double authentification …. qui se trouve sur téléphone volé.
    Donc attention, sauvegardez votre base de double authentification et donc utilisez des applications qui permettent la sauvegarde.

    (1) il aurait pu tomber en panne, être cassé, perdu, oublié…

  9. Ouais le a2f est une plaie très clairement .

    Parce que le a2f part du principe que tout va bien se passer (que votre media d’accès secondaire, typiquement le smartphone est : chargé, en état de recevoir des sms et tutti quanti) .

    Sauf que, sauf que, sauf que, dans la vraie vie il arrive que ce ne soit pas le cas et donc en situation difficile ben on se retrouve encore + dans la panade . Genre je casse mon téléphone ou encore il prends l’eau ou se retrouve inopérant pour quelques raison que ce soit et bien je ne pourrai même pas m’en recommander un par internet parce que pour payer par carte j’ai besoin de mon téléphone . Si j’ai besoin de commander une carte SIM parce que l’actuelle a rendu l’âme et bien je ne pourrai pas (je suis chez un mvno comme beaucoup…) vu que je ne pourrai pas payer par carte car mon tel ne recevra pas les SMS …

    Tout ça pour contourner un problème d’éducation qui est que : les gens mettent des mots de passe trop courts (de mayrde) aisément crackables …
    l’a2f propose un faux sentiment de sécurité au prix d’une panade inextricable si pour une quelconque raison on perds/casse son téléphone .

    Alors qu’il suffit de mettre une passephrase (le truc presque incrackable à moins d’avoir 70ans de puissance de calcul devant soi…) sur les accès sensibles, ma mère de 70ans y arrive donc tout le monde peut y arriver …

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *