FLASH INFORMATIQUE FI



L’authentification forte aux services Google


Comment se prémunir contre le vol de son mot de passe ? Comment être sûr de ne jamais se faire pirater son mot de passe et par la même occasion son compte ?



How to prevent someone from stealing your password ? How to make sure that your password has not been hacked and consequently your account ?


Denis ROCHAT


Introduction par un exemple concret

Personne ne peut aujourd’hui prétendre qu’il ne se fera jamais voler ou usurper son mot de passe ; l’utilisateur le plus averti, qui a pris toutes les précautions (mot de passe unique, non trivial, conservé de façon cryptée, etc.), n’est pas à l’abri d’une telle mésaventure. C’est arrivé récemment à un collègue : une demi-heure a suffi, après qu’il se soit connecté à son compte Google sur une machine qui était corrompue, et il lui a été impossible de se reconnecter, car son compte avait été piraté. Pire, tous ses contacts ont reçu un mail leur disant qu’il était à l’étranger, s’était fait entièrement voler, mais qu’heureusement il était en bonne santé et avait donc besoin d’argent pour acheter un billet, payer l’hôtel, etc. n’ayant bien entendu plus de carte de crédit. Ce mail était suffisamment crédible pour qu’une personne bien intentionnée verse de l’argent sur le compte indiqué, ce qui ne s’est pas produit. Malgré tout, il a dû répondre à quantité de mails et téléphones de personnes s’inquiétant de sa situation.
Tout avait été modifié dans l’intervalle : mot de passe, adresse email de secours, etc., si bien qu’il lui a été impossible de recouvrer son compte par une méthode simple. Il a dû passer par la procédure lourde de Google : remplir un questionnaire long et fastidieux avec beaucoup de questions pointues de façon à ce qu’un employé Google, quelques jours plus tard, puisse déterminer si oui ou non il était bien le vrai propriétaire du compte ou un imposteur. Et là vous n’êtes pas au bout de vos peines, car au moment où vous pouvez accéder de nouveau à votre compte, vous avez presque à coup sûr la désagréable surprise de constater que celui-ci a été vidé de la plupart de son contenu !

La solution de Google

Pour répondre à cette problématique, Google propose un système d’authentification forte en deux étapes.
Première étape : saisie habituelle du nom d’utilisateur et du mot de passe correspondant, si possible robuste.
Deuxième étape : saisie du code personnel qui change toutes les minutes et que l’on obtient par une application installée sur son téléphone portable (Android, iPhone, BlackBerry) ou par SMS.
Cette authentification en deux étapes augmente considérablement la sécurité d’accès et réduit pratiquement à zéro tout risque de piratage de votre compte. Sans vouloir se lancer dans une étude théorique du risque, on peut simplement dire qu’il faut que beaucoup de conditions soient réunies (en particulier l’accès à votre téléphone portable) pour qu’un pirate, qui opère généralement à distance, puisse après avoir subtilisé votre mot de passe, accéder enfin à votre compte.

Activation de l’authentification forte en deux étapes

Max Secure va nous aider à illustrer la suite des opérations...


Une fois connecté à votre compte Google, cliquez sur le nom de votre compte, puis sur Account pour afficher les paramètres et enfin sur l’onglet Security.


Cliquez sur Edit pour configurer l’authentification forte. Quelques pages d’informations apparaissent alors pour vous convaincre, si cela est encore nécessaire, du bien-fondé de l’authentification en deux étapes. Poursuivez en cliquant sur les boutons bleus. La validation de ce processus va alors s’effectuer par l’intermédiaire de votre téléphone portable.




Dans un premier temps, cochez la case Trust this computer jusqu’à ce que vous ayez terminé toute la procédure.


Après avoir effectué toutes ces étapes, vous arrivez à la page suivante :

À ce stade, il reste encore deux ou trois choses importantes à faire

  1. Installez l’application Google Authenticator sur votre téléphone portable Android - iPhone - BlackBerry (ouvrir le lien dans une nouvelle fenêtre).

  2. Imprimer vos codes de secours Show backup codes.

    Les codes de cette feuille permettent de s’authentifier lorsque l’on n’a pas son smartphone sous la main. Cette feuille peut être régénérée en tout temps, invalidant la précédente (par exemple si l’on se l’est fait voler).
  3. Pour plus de redondance, vous pouvez encore définir un autre numéro de téléphone vers lequel vous pourrez vous faire envoyer un code de secours si vous avez perdu votre smartphone.

Utilisation de l’authentification en deux étapes

1ère étape : nom d’utilisateur et mot de passe


2ème étape : génération et introduction du code

Cette section se fait sur votre smartphone.



L’option Trust this computer permet de spécifier que l’on se connecte à partir d’une machine en laquelle on a confiance. Si cette option est cochée, Google ne demandera le code qu’une fois par mois. À supposer que cette machine ait tout de même une faille de sécurité, le pirate ne pourra se connecter à votre compte que depuis cette machine, ce qui nécessite l’accès en remote à celle-ci. Cette option est très utile pour ne pas avoir à chaque fois à rentrer un code, elle peut permettre aussi de se connecter à son compte en cas de perte de son téléphone et constituer ainsi un autre moyen de secours.

Application-specific passwords

Certaines applications ne peuvent pas demander de code de vérification. Il s’agit des applications qui s’exécutent en dehors d’un navigateur, par exemple : Gmail et Calendar sur un smartphone, accès IMAP/POP à Gmail, Google Talk, Sync sur Google Chrome, etc. Pour ces applications, l’authentification avec votre mot de passe traditionnel ne fonctionne pas du moment que l’authentification en deux étapes est activée. Ces applications ont alors besoin de mots de passe spécifiques que Google demande de générer. Ils seront utilisés une seule fois (mémorisés dans les applications) et n’ont pas besoin d’être conservés.

Manage application-specific passwords




Après cela vous avez entièrement configuré l’authentification en deux étapes. Vous pourrez toujours revenir sur la configuration pour modifier ou ajouter des éléments.

Conclusion

Il faut environ un quart d’heure, la première fois, pour mettre en place l’authentification forte et cela peut sembler a priori rébarbatif. Cependant la démarche n’est pas si difficile et Google prend l’utilisateur par la main pour le conduire à travers toutes les étapes.
Ce système apporte un niveau de sécurité très élevé, bien supérieur au simple mot de passe. Dans l’univers informatique où toutes sortes d’attaques, plus sophistiquées les unes que les autres, sont mises au point et déployées, ce n’est plus un luxe de s’en prémunir et cela devient une nécessité. Les personnes qui utilisent de manière professionnelle leur compte Google et celles qui souhaitent éviter de voir leur compte un jour piraté devraient prendre le temps nécessaire pour implémenter ce niveau de sécurité, un investissement qui peut éviter pas mal de problèmes...
Ce système est bien pensé : l’utilisation au quotidien est facile, il ne faut que quelques secondes de plus pour accéder à son compte et une fois par mois seulement si l’on a activé l’option trusted computer , rien en comparaison du temps perdu si d’aventure on venait à se faire pirater son compte.



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.