Précaution dans le cadre de l'utilisation de Google Authenticator

Laurent K. Laurent K.

Laurent K.

Consultant Cybersécurité, CISSP

Publié le 2 juil. 2020
+ Suivre

Bonjour tout le monde

Un petit article sur la sécurisation de nos comptes de services en ligne tel que Facebook, Twitter, Gmail, …

On ne va pas insister sur la faiblesse du mot de passe, aussi robuste soit-il.

Alors, une solution est d’utiliser la double authentification (2FA).

Je me suis tourné vers Google Authentificator (plus tard GA dans ce document) car c’est la seule méthode de 2FA que supporte un des services que j’utilise.

L’intérêt est que pour se connecter à un service, il faudra et le mot de passe et un code généré par GA. Donc si votre mot de passe est compromis, tant que la personne n’a pas connaissance du code généré par GA….

Petite explication très simplifiée sur le fonctionnement de GA.

GA créé une entrée par compte de service ( Une ligne pour Facebook, une ligne pour Twitter,...).

Pour cela, le service génère un QR code que vous allez scanner avec GA. GA va vous indiquer un code en retour que vous allez saisir dans la page du service. A ce moment-là, il y a un échange de clé et GA ainsi que le service se synchronisent.

Mais mon problème était celui-ci : Que faire si l’appareil sur lequel j’utilise GA devient indisponible (casse, perte, vol, réinitialisation…) ? Je perdrais l'accès à mes comptes !!

Certes GA permet le transfert d’un code vers un autre périphérique. Mais cela n'est possible que dans le cas ou par exemple vous changez de téléphone portable. Sinon, cela n’est plus possible, puisque vous n'avez plus l'appareil d'origine.

Les solutions restent assez simples :

-Associer plusieurs appareils tant que le QR code est affiché. Vous pourrez constater que les différents appareils affichent le même code. L’appareil de secours devra être bien sur sécurisé. L’inconvénient de cette solution est qu’en cas de perte/casse du périphérique, vous perdez votre appareil de secours.

-Faire une copie d’écran du QR code ainsi que de la clé de configuration dans un fichier. Inutile de préciser que ce fichier devra être hyper protégé (sur des clés USB chiffrées avec Veracrypt par exemple). En cas de besoin, scanner de nouveau le QR code.

Pour certains services utilisant des clients lourd (par exemple Outlook ou Thunderbird pour un compte gmail), il peut être nécessaire de créer un mot de passe applicatif qui devra remplacer le mot de passe normal de votre compte.

Maintenant vous n’avez plus d’excuse pour passer au 2FA.

Toutes les remarques constructives sont les bienvenues !!

Identifiez-vous pour afficher ou ajouter un commentaire

Plus d’articles de Laurent K.

See all articles

Autres pages consultées

Explorer les sujets