Sécurisez vos noms de domaine grâce à l’authentification à 2 facteurs
Lorsque nous avons évoqué la gestion de vos noms de domaine, l’un de nos conseils portait sur la nécessité d’activer l’authentification à deux facteurs sur votre interface de gestion, mais nous n’avions pas vraiment expliqué les principes et les avantages de l’authentification à deux facteurs. C’est donc le sujet de cet article, qui devrait vous convaincre de la nécessité de l’adopter partout.
Désormais, tout le monde est familier avec la notion de mot de passe, et la nécessité de sécuriser ses accès aux différents services en ligne. Cela se fait généralement avec un identifiant, qui peut être une adresse email, un numéro de compte ou un nom d’utilisateur, associé à un mot de passe que seul le titulaire du compte peut connaître. Il s’agit d’une méthode d’authentification dite « à un facteur ».
Bien que ce soit réputé sécurisé, parce qu’a priori vous êtes le seul à connaître le mot de passe d’accès à vos services, il est toujours possible pour une personne mal intentionnée de l’obtenir, d’une façon ou d’une autre. Un deuxième facteur d’authentification permet d’ajouter une preuve supplémentaire que vous êtes bien le titulaire du compte.
Et ce n’est pas tout à fait nouveau, c’est le principe de la carte bancaire (premier facteur) et du code confidentiel (deuxième facteur) lorsque vous effectuez un achat ou retirez de l’argent au distributeur. Il est nécessaire pour l’utilisateur d’avoir à la fois la carte physique et le code pour s’en servir.
Le mot de passe unique
L’un des moyens les plus communs d’augmenter la sécurité de vos accès à un service est de vous demander de fournir un second mot de passe, ou code, pour vous permettre de vous identifier. C’est généralement un code envoyé par SMS, ou par mail, qui vous permet de prouver avec un facteur supplémentaire que vous êtes bien le titulaire du compte en question. Il peut arriver que cette méthode soit utilisée pour les paiements en ligne.
Il existe également une méthode d’authentification à deux facteurs basée sur des codes aléatoires à durée de vie très courte, générés par des applications, sur la base d’algorithmes secrets.
C’est la première méthode d’authentification à doubles facteurs que nous offrons pour vous connecter à votre compte Gandi, méthode connue sous le nom de TOTP : https://docs.gandi.net/en/account_management/security/totp.html
U2F, pour Universal Two Factors
L’un des problèmes principaux de ces mots de passe temporaires c’est qu’ils ne sont pas à l’épreuve d’une tentative de hameçonnage ou d’une attaque de type « man-in-the-middle ». Le hameçonnage consiste à vous renvoyer, généralement via un email frauduleux, vers un faux site qui ressemble à celui du service, et vous demande de vous identifier en fournissant vos identifiants et ce fameux mot de passe temporaire. L’attaque « man-in-the-middle » quant à elle consiste à une sorte de « mise sous écoute » de votre connexion internet afin d’intercepter vos identifiants lorsque vous vous connectez au site.
La solution ? Une clé publique de chiffrement identique au type de chiffrement disponible sur le site internet qui permette de vérifier que les identifiants soient utilisés uniquement sur le site prévu, et aucun autre. C’est ce qu’on appelle l’authentification universelle à 2 facteurs, ou U2F.
La clé U2F
L’un des énormes avantages de l’authentification U2F est qu’elle nécessite l’utilisation d’une clé physique, qui doit être insérée dans le port USB de votre ordinateur pour authentifier la connexion vers le service sur lequel vous souhaitez vous connecter. De cette manière, c’est non seulement plus sécurisé, mais également plus simple, pas besoin de taper un code reçu sur votre téléphone, qui n’est jamais à l’abri d’un vol, ou d’une chute fatale dans l’aquarium 🙂
L’authentification U2F est vraiment l’une des méthodes les plus sûres, et elle fonctionne avec de nombreux services.
Si vous voulez en savoir plus sur son utilisation avec votre compte Gandi, n’hésitez pas à consulter cette documentation https://docs.gandi.net/fr/compte_utilisateur/securite/cle_securite.html
Tagged in Guide Domaine
Comment se procure-ton cette clef (physique) . S’achète-t-elle dans le commerce? Merci
Il suffit de chercher « clé U2F » dans un moteur de recherche pour les trouver. Nous suggérons par exemple ceux de Yubico: https://www.yubico.com/
Bonjour, les initiatives sont toujours appréciées, dans le cas du U2F cela dépend d’une clé et d’un protocole au travers d’un navigateur pour fonctionner, donc que faire en cas de la perte de la clé U2F dans l’aquarium? Ensuite pour ce qui est du protocole sécurisé, que faire en cas de « men-in-the-middle » copiant le signal sur la ligne? A mon avis le mieux serait de passer par un autre protocole de communication qu’Internet et qui soit récupérable pour son propriétaire non? Même les U2F bancaires ou de e-voting ont des failles actuellement, je ne crois pas que faire confiance aux GAFAM soit une bonne idée également non? Meilleures salutations
Bonjour Christian. Les clés U2F sont généralement robustes. Les Yubikeys par exemple sont scellées hermétiquement. Quant aux attaques « man-in-the-middle », un des avantages du protocole U2F et qu’il utilise de la cryptographie asymétrique, ce qui assure que si quelqu’un copie le signal sur la ligne, il ne pourrait pas le décrypter. Il ne s’agit pas de faire ou de ne pas faire confiance aux GAFAM non plus. U2F est un standard d’authentification ouvert, géré par l’alliance FIDO.
Bonjour,
Ce n’est pas très clair : est-ce-qu’on a le choix entre TOTP et U2F, ou est-ce-que le premier est une composante du second ?
Quand je vais sur la page qui parle de TOTP il y a des logiciels à télécharger, mais vous y mélangez MacOS et iOS, alors que ce sont des systèmes différents. Et il semble que tous les logiciels que vous proposez sont pour iOS. Il n’y en a pas pour les Mac ?
Bonjour,
Avez-vous prévu d’implémenter le protocole FIDO2/WebAuthn ?
Les commentaires sont fermés