Suivez-nous

Internet

L’authentification à deux facteurs, cette plaie incontournable des internets

L’authentification à double facteur augmente considérablement la sécurité de l’accès aux services sensibles sur internet, mais elle n’est pas dénuée d’inconvénients qui la rendent rébarbative pour certains.

Il y a

  

le

 

Par

 

L’authentification à double facteur, vous utilisez ?

Posted by Presse-citron on Monday, November 4, 2019

 

Il y a quelques semaines, j’ai changé de téléphone, troquant mon iPhone X pour un iPhone 11 Pro. Tout était sous contrôle, et grâce à iCloud la transition s’est opérée sans douleur et en tâche de fond le temps d’une petite soirée, à l’issue de laquelle j’ai retrouvé l’intégralité des contenus, des mots de passe et de l’organisation de mon ancien téléphone sur le nouveau.

Sauf une chose. Une chose importante.

Cette chose c’est Google Authenticator, que j’utilise pour certains services dits « hautement sensibles ». Il faut savoir que Google Authenticator conserve ne sauvegarde rien dans le Cloud, et que par conséquent si vous changez de téléphone, rien n’est enregistré, et que vous ne pourrez donc pas récupérer les accès aux sites qui utilisent cette application. Pour moi en l’occurrence c’était Coinbase. Oui, c’est un peu embêtant, car on parle de pognon, là. Alors bien sûr il existe une procédure dans Google Authenticator qui permet de récupérer son « compte » quand on change de téléphone, mais bien sûr je n’avais pas noté les séquences fournies (ou plus exactement je ne suis pas sûr de savoir où je les ai planquées). Il a donc fallu que je refasse toute la procédure de récupération de compte Coinbase avec quelques sueurs froides en pensant au désastre si cela ne fonctionnait pas.

Ça a fonctionné, j’ai tout fait bien, et je peux de nouveau admirer en temps réel la chute abyssale de mes cryptos, ouf.

Mais, selon le service, tout le monde n’a pas toujours cette chance.

En fait, l’authentification à deux facteurs, que je ne remets évidemment pas en question, et que je recommande vivement, bien entendu, pose quand même quelques problèmes, qui peuvent dans certaines situations s’avérer très ennuyeux, voire contre-productifs et donc aussi dangereux qu’une protection insuffisante.

Dans cette vidéo je vous explique en détail les écueils très pénalisants que peut créer une authentification à deux facteurs mal maîtrisée ou utilisée à mauvais escient. Je vous invite aussi à lire les commentaires de cette vidéo dans Facebook car ils complètent de façon très intéressante ce point de vue.

>> Citronium, ma newsletter personnelle de veille hebdomadaire sur l’innovation, est désormais gratuite, profitez-en !

Newsletter 🍋 Inscrivez-vous à la newsletter tout juste sortie du four, rien que pour vous

20 Commentaires

20 Commentaires

  1. Steve

    4 novembre 2019 at 22 h 31 min

    Un système de sécurité dépendant uniquement d’un appareils électronique est une aberration…
    On ne mets jamais tout ses oeufs dans le même panier…
    Surtout que la technologie est faillible, on peut la perdre…

    • Vangeles

      5 novembre 2019 at 20 h 09 min

      Bien sûr, mais le site qui utilise le 2FA fournit souvent des codes de secours.
      Et pour seconder une authentification électronique, tu vois quoi toi ? Un carnet papier ?

  2. Quentin Decaunes

    4 novembre 2019 at 22 h 38 min

    Sans vouloir être méchant : tu as changés de téléphone, tu n’as pas pensé à certaines données essentielles, donc l’accès à l’un de tes portefeuille.

    Selon moi, tu rentres dans la catégorie de personnes qui clique sur « se souvenir de moi » et « retenir le mot de passe » sans avoir conscience de ce que cela implique.

    Venir te plaindre de l’un des systèmes de sécurité les plus aboutis sous prétexte que tu as « oublié » de t’en souvenir, c’est surtout la preuve que tu est tête en l’air, pas que la système de sécurité en question est une plaie.

    C’est même amusant de te voir comparer ce système avec icloud comme si tu voulais que ton 2FA devait en faire partie : vu le nombre de fois où iCloud à été piraté, tu serais probablement le premier à t’en plaindre si tu venais à te faire voter ton portefeuille par ce biais là.

    Apprend donc à retenir de tes erreurs avant de venir pleurer…

    • Eric

      5 novembre 2019 at 9 h 07 min

      Le mec ne me connait pas, je ne le connais pas, et il vient me juger sur une anecdote personnelle et limite m’insulter en 3 petits paragraphes, au calme.

    • Codium

      5 novembre 2019 at 9 h 29 min

      C’est drôle, moi je ne vois personne pleurer ni se plaindre dans cet article, juste un exemple et quelques infos sur les inconvénients de la méthode à deux facteurs.

    • Arnaud

      5 novembre 2019 at 9 h 36 min

      Waouh , je me devais t’intervenir et de par la même Hors Sujet .. désolé , j’ai eu l’impression de lire Dieux le père ou plutôt «  Tim Cook » sort de ce corps ! Et man , dégonfle un peu le haut de ton melon qui te sert de crâne.. et ouvre la valve de tes chevilles ou bien …tu risque l’implosion !

      Plus sérieusement, Eric ne fait que raconter sa mésaventure en changeant d’iPhone de là à le traiter de « tête en l’air » voir de le juger, même avec la mention préalable « sans être méchant «  désolé c’est carton rouge ! Lecteur de Presse Citron depuis des lustres .. j’ai rarement vu ce genre de commentaires.. ici on joue la pertinence et non pas l’acidité…

  3. frederic

    4 novembre 2019 at 22 h 58 min

    Duo security 🙂

  4. sly

    4 novembre 2019 at 23 h 14 min

    ça m’est arrivé aussi… et c’est vraiment la galère sur certains services pour débloquer le 2FA, depuis la meilleure alternative que j’ai trouvé à cette app c’est authy (https://authy.com/) il y a un backup des données en ligne qui sont encryptées avec votre mot de passe, il me semble que le compte est aussi lié au n° de téléphone et il y a aussi un logiciel pour pc. Donc super pratique et ça fait un peu sortir de chez google o:)

  5. Amine

    5 novembre 2019 at 0 h 26 min

    Pour ma part, j’utilise 1Password pour sauvegarder mes mots de passe depuis quelques années, et j’en suis très satisfait. Et il y a quelques mois, je me suis décidé à l’utiliser également pour la double authentification, en tant qu’appli génératrice de codes. Et c’est vraiment le bonheur : mes comptes sont toujours aussi sécurisés, sans pour autant avoir besoin de mon téléphone constamment sur moi, et c’est compatible avec toutes les plateformes et sur mes deux téléphones… je t’invite à regarder ça, c’est vraiment très pratique 😉

    • Eric

      5 novembre 2019 at 1 h 32 min

      Bonsoir,

      erreur monumentale concernant la centralisation mots de passe et authentification 2 facteurs car s’il y a perte ou hack c’est jackpot. Pour une bonne hygiène numérique il faut un générateur de mots de passe, un logiciel d’authentification (privilégier quelquechose comme Authy qui est mieux que le vilain google qui propose un back up et multi plateforme donc changement de tél pas de problème ). Faire un back up des mots de passe et des phrases de récupération de compte via standard notes qui crypte les données en local et via cloud) et enfin faire une clé d’un de sauvegarde crypté via veracrypt au cas où et là on commence à avoir un truc pas trop mal pas parfait mais bien.

      • Amine

        5 novembre 2019 at 14 h 07 min

        J’ai longtemps hésité avant d’y passer, justement en me disant qu’il était trop risqué de centraliser mes mots de passes et mes OTP, sauf que 1Password m’a convaincu pour une raison simple : mon compte 1Password est triplement protégé par :
        – mot de passe maître (stocké dans le cloud)
        – clé secrète (stockée en local)
        – double authent (mon appli authenticator)

        Ces trois éléments font que le risque pour moi est fortement réduit. Après, je ne dis pas que c’est la bonne méthode, chacun sait mieux que quiconque s’il est prêt à prendre ce risque ou pas. Pour moi, le confort gagné est largement supérieur au risque 🙂

        • jpp

          5 novembre 2019 at 17 h 14 min

          Bah non, imagine un keylogger /malware sur ton pc lorsque tu accède à ton 1password! Il a accès à tout !
          Alors qu’avec 1password + authy sur ton mobile, le malware n’aura pas accès à ton mobile

    • Éric M.

      5 novembre 2019 at 6 h 26 min

      Effectivement, j’utilisais Google Authenticator jusqu’à ce que j’adopte celui de LastPass (j’utilisais déjà LastPass pour mes mots de passe). L’avantage est que LastPass Authenticator est synchronisé dans le Cloud. Éliminant le problème évoqué dans l’article.

      • Jpp

        5 novembre 2019 at 15 h 42 min

        Erreur, tu ferais mieux d’utiliser 2 fournisseur différents :auty pour le 2fa et last pass pour les mots de passe. Comme ça si tu te fait hacké last pass ou authy tu es safe (peux de chance de se faire hacké les 2 en même temps)

  6. Jonathan

    5 novembre 2019 at 6 h 42 min

    J’avais remarqué que l’appli Authentificator de Google ne sauvegardez rien dans le Cloud, ce qui est un peu con en soit.
    Du coup j’utilise Authentificator de Lastpass, qui est mon gestionnaire de mots de passe, tout est sauvegardé, je dors tranquille.

    • jpp

      5 novembre 2019 at 15 h 44 min

      Tu ne devrais pas mettre tous tes œufs dans un même panier. Le but du 2fa est justement de séparer l’endroit /la manière de stocker ton identification dans 2 endroit différents.

  7. Benjamin

    5 novembre 2019 at 8 h 59 min

    J’étais aussi sur Google Authenticator avant, puis j’ai découvert avec émerveillement « andOTP ».

    C’est une app gratuite, disponible uniquement sur Android, qui est très simple d’utilisation ! On peut ajouter des tags, modifier les illustrations des codes générés pour s’y retrouver plus facilement, exporter la base de données (clair ou crypté), etc.

    https://github.com/andOTP/andOTP

    Il y a évidemment des équivalents côté iOS 🙂

  8. Axel

    5 novembre 2019 at 9 h 57 min

    +1 Authy. C’est sauvegardé dans le Cloud avec une app mobile et une app Desktop.
    +1 pour NE PAS utiliser les 1password et Lastpass pour le 2FA, Jackpot pour les hackeurs.

    J’utilise Enpass sauvegardé sur mon compte Google Drive (chiffré) et Authy pour le 2FA.

    • jpp

      5 novembre 2019 at 17 h 20 min

      Bien ! Et le top reste les clé u2f fido pour sécuriser Gmail et autre. Acheter 2 clé minimum pour backup (5-10 eur sur Amazon).

  9. Vangeles

    5 novembre 2019 at 20 h 21 min

    J’ai eu le même soucis ou presque: un téléphone volé à l’étranger (1), nécessité de communiquer par mail sur poste anonyme donc demande de double authentification …. qui se trouve sur téléphone volé.
    Donc attention, sauvegardez votre base de double authentification et donc utilisez des applications qui permettent la sauvegarde.

    (1) il aurait pu tomber en panne, être cassé, perdu, oublié…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Les bons plans 🔥

Dernières news

Newsletter 🍋 Inscrivez-vous à la newsletter tout juste sortie du four, rien que pour vous

Les tests