eBay

En bidouillant hier sur mon compte Paypal je me suis aperçu d'une bonne nouvelle.

Le double facteur d'authentification est désormais disponible gratuitement.

Auparavant c'était une option payante, il fallait acheter une clé 75 EUR

Puis l'option a été un temps désactivée (ou du moins on ne pouvait plus acheter de clé) et depuis elle est dispo gratuitement.

Vour allez dans vos options de sécurité, vous commandez une clé.

A chaque connexion, après votre mot de passe, un code de vérification lié par un algorithme mathématique à cette clée et basée sur le temps, sera envoyé par SMS à votre mobile pour confirmation.

Il est hautement conseillé, si ce n'est indispensable, de paramétrer aussi vos questions secrètes car en cas de perte de mobile ou simplement si vous ne l'avez pas sous la main vous pourrez valider votre connexion en répondant plutôt à deux questions secrètes.

On n'attend plus qu'eBay fasse de même. La double authentifiaction par code de vérification connue sous le nom anglais de Timed One Time Password, ne coute absolument rien, des outils sont disponibles gratos notamment par google

C'est vraiment dommage qu'ebay traine des pieds.

Pour info c'est aussi disponible sous Gmail, Outlook.com (anciennement hotmail), je pense aussi vos adresses gérées par ovh pour ceux qui louent un nom de domaine, yahoo certainement aussi.

Dans certains cas notamment pour les adresses Gmail er Microsoft, il est aussi possible d'utliser le générateur Google Authenticator dispo sous Android et iOS, on renseigne cette fameuse clé ou on scan le qrcode, et au lieu de recevoir un SMS, l'outil va donner directement ce code en lecture directe (pour les néophytes le code à une durée de validité de 30 secondes. Le hackeur pourra éventuellement attaquer et décourvir votre mot de passe en force brute mais pas le TOTP sauf s'il met la main sur la clé de configuration)

C'est très pratique quand vous n'avez pas de réseau mobile donc pas de SMS possible.

Des outils compatibles sont dispo sur Windows 10 mais il est fortement déconseillé de l'installer sur un PC car si ce PC est volé, ou "hacké" par prise de controle à distance le hackeur disposera du code de vérif, il pourra capturer votre mot de passe par Keylogger.

Le principe de sécurité repose sur sur le fait que l'outil qui fournit le code vérification (ici le téléphone) est distinct de l'appareil qui se connecte résuisant le risque qu'un voleur dispose des deux appareils simultanément, c'est pour cette raison que Google n'a pas développé son outil pour Windows 10 

Avec le double facteur d'authentifcation vous réduisez très fortement les risques d'usurpuation de compte

Il est dommage que fort peu de personne paramètrent ces options, comme il est dommage que nos grands fourrnisseurs Orange, SFR, Free... ne fassent aucun effort en la matière, c'est bien pour cette raison que j'ai abandonné les adresses mail des FAI

Nota Bene :

- Microsoft outlook.com utlise son propre algorithme, donc il faut télécharger le cas échéant son propre outil dispo sur iOS, Android et Win 10 Phone, équivalent du Google Authenticator, mais lors de la génération de la clé Microsoft vous offre la possibilté d'opter pour l'algorithme standardisé de Google, ce qui vous permet d'utliser en lieu et place le générateur Google pour toutes vos connexions,

- Le TOTP est basé sur le temps, il faut donc que tous les appareils (PC, téléphone) soient à l'heure, même si il y a une tolérance. En gros un écart d'une minute peut causer des soucis. Sur les téléphones l'heure est souvent réglée par le réseau, il n'y a pas trop de soucis, sur les PC Windows... attention il y a souvent des porblèmes. Allez régulièrement sur votre icone horloge (une fois par semaine), ajuster l'heure, et temps internet et forcez une synchro

SI vous restez en France le cas échéant réglez vous sur le serveur ntp de l'observatoire de paris, soit :

ntp.obspm.fr

Disons qu'un écart supérieur d'une minute sur le temps universel peut poser souci. Il va s'en dire aussi qu'une horloge ne doit jamais être corrigée à la main, vous devez toujours mettre à jour l'horloge via l'onglet temps internet et PAS d'une autre façon, c'est la seule manière d'être synchro à la seconde près (cela peut aussi avoir son importance sur des enchères)