1) Paypal
- Second facteur d'authentiication via TOTP généré par application tierce au lieu d'un SMS
Depuis quelques temps, changement important dans la politique Paypal. Paypal a longtemps imposé le second facteur d'authentifcation via un code TOTP SMS, ce qui imposait une connexion au réseau mobile, pas forcément pratique lorsque l'on se trouve à l'étranger et que pour des raisons de frais de roaming on ne veut pas se connecter au réseau local, sans compter les retards réguliers d'acheminement.
Il est désormais possible de désactiver ce mode et d'activer un code TOTP (Timed One Time Password) généré par une application tierce, il suffit de lui renseigner un clé privée permanente soit par QRCODE soit à la main, et en fonction de l'heure, l'application va générer un code unique et prédictible grâce à la magie de l'algorithme RSA, le téléphone devant être synchronisé en heure, son horloge ne doit pas dévier en général de plus de 5 minutes par rapport au temps officiel des horloges atomiques (c'est la tolérance généralement admise, mais certains sites peuvent décider d'être plus restrictfs et vont exiger un écart ne dépassant pas 2 ou 3 minutes ce qui va causer typiquement des échecs d'authentification à répétition, mais c'est assez rare, la norme de 5 minutes étant assez suivie).
Sur Android / iOS, ce sont Google Authenticator et Microsoft Authenticator les applis les plus connues (mais il y en a d'autres). Les applis des deux géants US offrent la possibilté soit de stocker les clés privées exclusvement en local sur le téléphone (si on désinstalle les applis tout disparait) soit de se connecter optionnellement à un compte Google ou MS pour synchroniser les clés dans le Cloud et les retrouver instantanément sur un nouvel appareil à condition de se connecter au même compte. il est conseillé de protéger ces applis par empreintes digitales.
De telles applis existent aussi pour PC sous Windows ou Linux. Il y a au moins une ou deux applis de ce type dans le Windows store, mais pas les applis officielles de MS et Google considérant par principe que dans un scénario où l'on se connecte à un service avec un PC qui va communiquer le mot de passe, et stockant donc potentiellement ce mot de passe, le second facteur d'authentification doit être impérativement généré via un appareil physiquement séparé ne détenant pas potentiellement mot de passe et clé privée TOTP simultanément . C'est parfaitement cohérent en soi SAUF que tout ce beau monde a longtemps ignoré que cette logique de séparation ne marchait pas sur les mobiles lorsque eux même se connectent à ces mêmes services. Losrque l'on sait qu'Android a dépassé Windows et qu'il est de plus en plus attaqué par les hackers, c'est principalement pour cette raison que beaucoup de gens pointaient du doigt les failles de sécurité et militaient pour la possibilité d'utiliser une application tierce et dans ce cas l'idéal c'est ni le PC, ni le mobile mais une petite Yubikey 5 NFC capable de stocker 32 clés privées TOTP. On connecte la clé à son téléphone ou sur son PC via USB ou NFC même pour les téléphones, et une application Yubico Authenticator à installer va lire les clés privées pour générer le fameux code d'authentification volatil. Dans ce processus notez que la clé privée n'est JAMAIS stockée dans le téléphone, elle est en lieu sûr dans la clé Yubikey qui ouvre l'accès en lecture de façon furtive, il faut une action d'effleurement pour activer l'ouverture furtive du coffre, et pour renouveler les codes périmés, il faut à nouveau effleurer la clé, donc on respecte bien le principe de séparation physique, juste que l'on a toute latitude pour choisir l'appareil qui va lire la clé Yubikey.
Toutefois Paypal n'est pas allé jusqu'au bout de sa logique car pour des raisons pratiques de possibilté de récupération de compte rapide en cas de perte de l'appli tierce, ils se réservent toujours la possibilté de vous authentifier par SMS, donc kaka boudin ça ne solutionne pas tout, tout va continuer à reposer sur le mot de passe, vu que le TOTP le voleur peut l'obtenir quand il le veut via SMS... C'est la même chose pour tous, Gmail, Microsoft Outlook tous se réservent toujours le droit de vous authentifier par SMS pour récupérer les comptes là où il faudrait en faite faire intervenir un code Backup dans un tel scénario... mais pour des raisons pratiques, soit le fait que ces services redoutent d'être submergés par des demandes de clients tête en l'air qui n'auront pas sauvegardé ces codes backup, ou qui ne sauront même pas à quoi ça correspond, on reste sur cette solution un peu batârde, car non un téléphone mobile ne peut pas être considéré comme un élément sûr vie la faclité avec laquelle on peut se le faire voler, une ligne fixe elle on ne peut pas la voler, c'est uniquement un téléphone sur ligne fixe qui devrait servir de moyen de récupération.... Google le fait plus ou moins, ils sont capables d'envoyer un message vocale énoncant ce code (il n'y a que certaines lignes fixes, notamment chez Orange, et moyennant un abonnment et un appareil adapté, qui peuvent recevoir des SMS d'où l'approche intéressante de Google, il me semble aussi que Microsoft a implémenté un système similaire). Les autres sont à la traine mais le fait est que de plus en plus de monde n'ont plus de ligne fixe... donc voilà pourquoi le mobile demeure le moyen principal de récupération.
- il est désormais possible d'enregistrer une clé FIDO à titre de second facteur d'authentification, donc en remplacement du code TOTP. La clé Yubikey 5 NFC est une clé multifonction qui prend en charge le stockage de codes TOTP, le stockage d'un mot de passe paramétrable par l'utilisateur, et le protocole d'identification unique FIDO. Les clés Yubikey sont réputées inviolables, où il faudrait des moyens de type étatique pour casser ce coffre, ce ne serait à la portée que d'une poignée de pays disposant de compétences élevées en micro électronique, reste que comme pour une clé physique, si le voleur détient la clé bien évidemment.... mais dans un tel scénario l'utilisateur est toujours protégée par son mot de passe ce qui lui donne le temps de révoquer la clé des ses comptes (d'où l'importance de toujours conserver l'option TOTP à titre de secours).
Idéalement même, on achète les clés par paire. Pour la deuxième on peut se contenter d'une clé Yubikey plus basique, pas besoin forcément de la 5 NFC, qui va juste se contenter du protocole FIDO. Les sites bien conçus permettent d'enregistrer plusieurs clés matérielles. Ainsi une fois enregistrée cette clé de secours est soigneusement stockée dans un endroit sûr et de préférence improbable. Un coffre fort familial sera directement visé par les voleurs.... mieux vaut être asucieux et planquer la clé dans une boite que l'on rangera dans un endroit improbable, comme le recoin d'un sanitaire, sous une petite dalle etc etc
Si on perd la clé principale on s'authentifie avec la clé de secours et on révoque la clé principale, mais attention de bien se souvenir de tous les comptes pour lesquels on a enregistré cette clé.
Certains fournisseurs se proposent de connecter votre compte uniquement avec la clé matérielle, ce qui est une totale hérésie car il ne s'agit plus là de second facteur d'authentifaction. Le voleur qui détient votre clé peut tout faire, donc il ne FAUT JAMAIS activer cette option, notamment à certaines conditions (ça ne marche que sur des navigateurs préalablement identifiés comme installés sur des appareils vous appartenant, saif que ces appareils on peut se les faire voler....). Google et Microsoft vous offrent cette option, il faut la refuser. Mes comptes Google sont tous paramétrées pour refuser cette option et réclameront toujours un mot de passe.
Yubikey 5 NFC, l'outil le plus recommandable compatible Windows, Linux, Mac OS, Android, IOS, compter environ 60 EUR, l'investissement en vaut la peine, durablité garantie, c'est construit pour résister aux pires traitement, si vous êtes commerçants pro franchement il faut passer à cette étape, c'est le BA BA de la sécurité moderne, désormais beaucoup de sites professionnels (OVH par exemple, les comptes professionnels d'Ama.... il me semble en attendant une extension au grand public) implémentent le protocole. Aux dernières nouvelles Boursorama est la première banque française grand public à avoir implémenté la clé FIDO à titre de second facteur d'authentifcation, bien plus pratique que les applis mobiles bancaires, on peut imaginer que dans les années qui viennent les différentes administrations françaises vont elles-aussi offrir ce service, donc c'est un investissement d'avenir.
A titre de clé de secours ne supportant que le protocole FIDO vous pouvez vous tourner vers une clé plus économique Yubikey autour de 40 EUR, par exemple le modèle "blue". Je vous conseille de rester sur la marque Yubikey la seule supportée sans aucun souci par toutes les plateformes, ce sont les pionniers ceux qui ont inventé le concept, c'est une société américano-suédoise, c'est donc de l'ingéniere occidentale, fabriquée en occident uniquement, pas de Chine là dedans
2) ebay
Notre bon et très cher ebay... pionnier de l'internet avec Yahoo...
- pour le TOTP même chose que pour Paypal. On a désormais la possibilté de choisir l'un des trois mode de second facteur d'authentification : le SMS (qui restera toujours une possibilté d'ultime recours pour récupérer un compte), le TOTP via appli tierce, l'authentication via aplli mobile ebay.
- Et oui bonne nouvelle, eBAY devance pas mal de monde et propose désormais pour le grand public, et pas seulement les commerçants pro, l'enregistrement d'une clé FIDO. Le seul hic, c'est qu'ils en font une implémentation bizarre en dehors des standards. Chez ebay, la clé FIDO est un substitut au mot de passe, si le second facteur d'authenfication n'est pas activé, c'est pas toppissme si on se chouraver la clé.
Si le second facteur d'authentification est activé, on vous demandera systématiquement un TOTP ou la validation via le téléphone. En fait le modèle a été révisé. Au départ il fallait ouvrir l'appli ebay elle-même et ça posait parfois des problèmes sur les téléphones qui coupent les applis pour réduire la consommation. Désormais ebay passe par une fonctionnalité Android intégrée d'autorité de certification.
Brièvement, chaque téléphone est unique car il générè ses propres certicats soigneusement conservés en lieu sûr par chiffrement (même si des sociétés israéliennes ont réussi à "casser" des iphones longtemps réputés assez faussement comme inviolables, mais on parle ici de moyens de type "étatique", la manoeuvre n'est pas à la portée du premier clampin venu). Dès lors que ce téléphone a été validée comme vous appartenant grace à un SMS intial, le téléphone devient lui-même une autorité de certification de type FIDO. ebay n'a plus à intervenir via son appli propre, ebay utlise une "API" standard de Google pour générer le message dans votre liste de notification, il faut dérouler et cliquer approuver. OVH utilise le même principe.
NB : aux dernières nouvelles l'authentification ebay via clé FIDO semble bien marcher sous Windows, sous Linux ça coince, l'option n'est pas proposée, alors que pour Paypal, OVH.... Windows ou Linux, ça fonctionne dans tous les cas. Il faut que j'investigue. Il est possible qu'ebay individualise chaque session par le couple FIDO plus identifiant du navigateur, et qu'il faille donc répéter l'opération d'enregistrement pour chaque navigateur... à vérifier
399ZHleBMtB68SIvg~~_7.JPG "jacquelinedu36"){kind=avatar}
