Authentification à double facteur (2FA)

Bonjour,

Prévoyez-vous de permettre l’authentification à double facteur (2FA) ou multiple facteur (MFA), en plus du mot de passe ?

Merci d’avance.

1 Like

Personnellement j’aimerais bien, mais je ne sais pas où ça en est, je vais demander.

Il y a un travail sur la 2FA en cours, donc, normalement, c’est prévu. :slight_smile:

2 Likes

Cet authentification 2FA sera-t-elle obligatoire ?
Quel sera ce second mécanisme d’authentification ?

@Pfgil Même si ce n’est pas obligatoire, le risque est trop grand de ne pas s’en servir. De nos jours, un mot de passe (même fort) ne suffit plus. Voir la campagne de Safeonweb “Les mots de passe, c’est dépassé”:


Petite vidéo comique sur Youtube :grin:: https://www.youtube.com/watch?v=a8AkOUl97pQ

@Emmanuel J’espère que ce sera effectivement proposé. Vu les fuites de données qui pleuvent (Facebook, LinkedIn, …) personnellement, je ne prendrais pas de risque d’utiliser une boîte mail sans 2FA (donc je ne m’abonnerais pas non plus, le cas échéant). :confused:

1 Like

@Pfgil, je ne connais pas encore tous les détails sur le type d’authentification (il y a des tests prévus encore), ce ne sera pas obligatoire en tout cas, même si, comme le dit killianblue, c’est quand même fort encouragé à l’heure actuelle.

Oui, j’espère aussi.
(Merci pour les liens. :slight_smile: )

Popularisée par l’utilisation de votre numéro de mobile ou votre adresse mail pour recevoir un code ou un lien de confirmation qui vous est adressé lorsque « vous ou quelqu’un se faisant passer pour vous » tente de se connecter à un de vos services en ligne.

Une énième donnée personnelle qui laissera des traces sur les infrastructure « extérieures » au service auquel vous vous connectez puisque, en plus de votre nom d’utilisateur·ice et votre mot de passe, il vous faut renseigner un second moyen de communication entre le service auquel vous vous connectez et vous.

À priori, si ce n’est pas vous, l’usurpateur·ice, ne recevrait ou ne connaîtrait pas ce code ou ce lien et qui plus est, vous pourriez-être informé·e de cette « tentative de connexion ».

Un sms ?

Vous informez (in)directement votre opérateur et l’opérateur choisi pour l’envoi de ce message, que vous vous connectez à un service en ligne. En effet, pour vous envoyer un SMS, il faudrait mettre en place un service supplémentaire qui puissent vous envoyer un message. Et vous devez dépendre également de votre opérateur téléphonique pour le recevoir.

Qui plus est, la livraison de ce message laisse également à votre opérateur une information sur votre localisation puisque le réseau d’antenne relais fait le choix technique du chemin le plus court pour vous atteindre, c’est autant de données qui sont « véhiculée par les infrastructures ». Et qui pourrait être utilisées pour vous localisez ou conserver un historique des lieux depuis lesquels vous vous connectez sur un service.

Le réseau mobile se repose sur des données personnelles fortes comme le numéro d’appel, mais aussi les numéros IMEI de votre appareil et de la carte SIM.

Un email ?

Les principes sont similaires à ceux du SMS, si ce n’est qu’il n’est pas nécessaire pour Nubo, de faire appel à un autre opérateur pour l’envoi d’un courriel avec un code ou un lien de validation d’une tentative de connexion.

Mot de passe à usage unique ?

Utilisation d’un mot de passe à usage unique en complément des noms d’utilisateur·ice·s et des mots de passe.

N’ayant pour ainsi dire aucune compétence dans le domaine, cela pourrait-être une piste a explorer et qui pourrait se passer de l’envoi de sms ou de mails.

La biométrie ?

Le fait de recevoir un SMS, un mail au d’utiliser une app sur un smartbidule, encourage pour les moins vigilant·e·s d’entre nous, l’utilisation d’une empreinte digitale (on parle bien des doigts et pas du numérique, même si dans les faits les empreintes en questions seront… numérisées) voire, pire une reconnaissance faciale, vocale ou autre.

À ce propos, notez qu’il est plus simple de changer de mot de passe que d’empreinte digitale ou de visage. Le jour où votre identité biométrique sera exploitée à votre désavantage, ou pour vous faire porter le chapeau d’un crime quelconque, je vous souhaite bonne chance pour démontrer que « ce n’était pas vous ».

Au passage, la campagne « Campagne 2020: Les mots de passe, c’est dépassé. » dont fait mention @killianblue en amont de cette discussion m’a donné mal au ventre :face_vomiting:, ce qui m’aura motivé à prendre le temps de vous faire part de mon avis :thinking: .

Gestionnaires de mot de passe

Utiliser un tel outil est une pratique plus seine, certes moins accessibles et moins confortable, mais avec laquelle vous éparpillerez beaucoup moins d’informations intimes comme c’est le cas des sms et des emails vous adressant un code ou un lien ou de faire usage de vos informations biométriques.

Cela banalise moins cette distanciation directe ou indirecte d’informations que nous devrions 1) reconnaître comme étant personnelles et 2) chérir.

Apprendre l’utilisation d’outils tels que les Gestionnaire de mot de passe, est à mon sens fondamental.

Conclusion

Pour ma part la 2FA devrait au mieux rester optionnelle.

Pour comparaison, j’utilise gopass à la ligne de commande, avec gopass bridge comme extension de mon navigateur Firefox ESR et ma clé GPG pour chiffrer le tout. Je ne dis pas que tout le monde devrait faire pareil, mais je voudrais souligner au combien dire que les « mots de passe c’est du passer », selon moi, c’est mentir.

3 Likes

Bonjour @tierce,

Merci pour ces explications. Je n’avais pas connaissance de ces aspects.

À sa décharge, ce n’est pas @Pfgil qui a évoqué la campagne « Les mots de passe, c’est dépassé » mais moi (Pfgil a juste demandé si la 2FA serait obligatoire).

À mon sens, le but n’est pas de rendre la 2FA obligatoire (d’ailleurs, je pense qu’aucun service de messagerie ne l’impose) mais de la rendre disponible pour ceux qui le souhaitent.

En effet, « Les mots de passe, c’est dépassé » n’est pas tout à fait vrai, car si on veut vraiment parler de double authentification, la première étape doit quand même être d’introduire un mot de passe (fort), et ce, contrairement à la vidéo où on voit la femme uniquement valider une « invite » sur son écran.

Le message aurait dû être « Les mots de passe sont nécessaires mais insuffisants ».

Si la 2FA présente un désavantage (tel que captation de données que vous avez citée), il ne faut pas jeter le bébé avec l’eau du bain. Personnellement, entre deux maux, je choisi le moindre : je préfère que mon opérateur téléphonique ait accès à mes connexions ou ma localisation, plutôt qu’un hacker réussisse à cracker mon mot de passe (et l’idée d’avoir un mot de passe « fort » ne suffit pas à me rassurer).

NB : Personnellement, je suis aussi farouchement opposé à la reconnaissance biométrique (empruntes ou visage).

Tout comme je suis opposé au paiement mobile et au paiement sans contact (insuffisamment sécurisés), mais ça, c’est un tout autre débat.

PS : Je suis sceptique sur les gestionnaires de mot de passe. Car le fait que les mots de passe soient stockés et servent d’aide-mémoire n’empêchent pas qu’un hacker craque un des mots de passe.

Par ailleurs, si ce gestionnaire de mot de passe est en ligne, il est lui-même aussi piratable (et là, c’est la cata).

Quoi qu’il en soit, qu’il s’agisse de 2FA, de clé FIDO, mot de passe à usage unique, …, il est important de pouvoir offrir une authentification forte, et de laisser l’utilisateur choisir ce qui lui convient.

Et donc, oui la 2FA doit en effet rester optionnelle (c’est d’ailleurs la plupart du temps le cas).

:slight_smile:

3 Likes

Une réaction tardive en lien avec ma prochaine réaction sur ce post. Vous lire était très intéressant, notamment pour juger de mes propres pratiques : j’utilise des mots de passe forts et j’en suis le gestionnaire, parce que mon cerveau est capable d’en retenir beaucoup par allusions et contextualisations très personnelles en cascade (ce qu’un logiciel ne pourra jamais faire).
Un code à qqc chiffres (je préfère recevoir un simple SMS) ou même un second mot de passe non temporaire, me semble déjà un plus.
Mais surtout, la 2FA devrait respecter les choix pratiques de l’utilisateur (pensons à l’objectif des 2000 abonnés :wink: ), donc rester optionnelle, ne pas imposer d’avoir un smartphone (j’apprécie beaucoup le système Digipass à QR-code de NewB et sa justification), être le plus universel, rapide et simple d’emploi possible, etc.