Du mouvement autour du 2FA
Une des grandes faiblesses des systèmes d’informations et de nos données sont les mots de passes. On en a trop, il est impossible de tous se les rappeler si on utilise pas un gestionnaire et souvent par facilité, on utilise des mots de passe faibles.
C’est la raison pour laquelle de plus en plus de plateformes proposent le Two factors Authentication (2FA):
Twitch
Twitch, célèbre site de contenu se rapportant à l’e-sport, a récemment annoncé qu’il offrait désormais à ses utilisateurs la possibilité de s’authentifier en deux étapes. Sa popularité croissante a obligé la plateforme à se confronter à de nouvelles problématiques notamment du point de vue de la sécurité.
Prendre le contrôle d’un compte majeur du service tel que celui de @capitainsparklez revient à prendre le contrôle d’un mastodonte de l’information qui touche autant d’utilisateurs que Fox ou CNN.
Alors qu’auparavant, pour y parvenir, il “suffisait” de récupérer le mot de passe du compte en question, il est maintenant possible de recevoir, lors de l’authentification, un code temporaire (One-Time Passowrd, OTP) sur son téléphone mobile ce qui va grandement rassurer les utilisateurs inquiets vis à vis de la sécurité de leurs comptes. Une fois le 2FA activé, ce code temporaire sera alors demandé systématiquement et ce quelle que soit la plateforme, l’application mobile, la version “Desktop”, et même les applications PlayStation 4 et Xbox One.
Steam
Pour rester toujours dans l’univers vidéo-ludique, Steam a également décidé de se reposer sur la sécurité offerte par le 2FA.
Depuis quelques temps, il est possible de s’échanger des objets entre joueurs. Bien qu’il s’agisse là d’une activité très intéressante pour les joueurs, beaucoup d’escrocs l’utilisent pour arnaquer des utilisateurs un peu trop crédules.
Valve (l’éditeur de Steam) a donc décidé de mettre en quarantaine pendant 3 jours tous les échanges pendant laquelle les deux utilisateurs concernés peuvent vérifier le contenu de l’offre proposée par chacun.
Ce temps d’attente est incompressible sauf si les deux utilisateurs ont Steam Guard Mobile Authenticator installé sur leurs mobiles et qu’ils valident la transaction à partir de l’application. L’application est une solution de 2FA similaire à celle de Blizzard pour Battle.net depuis plusieurs années. Celle-ci génère un code toutes les 30 secondes, valable quelques minutes seulement, qui doit être entré lors de chaque tentative de connexion au service.
Amazon
Enfin, Amazon a dernièrement décidé de proposer à ses utilisateurs de renforcer la sécurité de leurs comptes avec le 2FA. Celui-ci se fait à travers un OTP envoyé par SMS ou par une application telle que Google Authenticaor ou Authy, une application qui permet de gérer ses différents comptes ayant un 2FA (2-Factors Authentication) utilisant la technologie Open Source Google Authenticator. Celle-ci est donc compatible avec l’ensemble des services Google, mais également Facebook, Microsoft, Amazon WebService, Evernote et plein d’autres.
Par ailleurs, l’application Authy propose différentes fonctionnalités telles que forcer iOS Touch ID avant d’ouvrir l’application ou encore permet la détéction des tentatives de phishing sur l’application Desktop. De plus, cela permet de contourner la contrainte majeur de Google Authenticator qui ne peut être installé que sur un seul device.
Une liste complète mais non exhaustive des sites et services ayant mis en place le 2FA peut se trouver ici: https://twofactorauth.org/
sources:
Hadrien
Consultant Sécurité
