Dans la foule d’informations tombée suite à l’affaire de l’iCloudGate il a été dit que la double authentification n’aurait pas permis le piratage. Faut-il dès lors y penser ? Est-ce la panacée de la sécurité sur internet ? Voici autant de question dont je vais essayer de répondre dans l’article d’aujourd’hui.

Piratage ou pas ?

D’un côté, les médias nous annoncent que les comptes de célébrités ont été piratés et leur contenu dérobé et divulgué. D’un autre coté, nous avons Apple qui affirme ne rien avoir à se reprocher sur la sécurité de ses services. Aucune faille dans le code des applications du service ou des serveurs n’est responsable. Perturbant non ?

Mais si personne n’a accédé à ces comptes en dehors des clous comment se fait-il que des données aient été dérobées ? Tout simplement car il ne s’agit pas de piratage comme la plupart des gens l’imaginent. Il s’agit plutôt de déduction, d’enquête ou de roublardise qui ont permis d’accéder à des comptes iCloud par la grande porte.

En fait, ils ont utilisé l’option de réinitialisation du mot de passe. Oublier son mot de passe n’est pas dangereux en soit.  Cet outil est d’ailleurs terriblement utile lorsque vous avez un trou de mémoire permet à tout qui à l’information demandée de répondre à ces questions et de changer le mot de passe.

Car, quelle information vous demande-t-on ? Souvent vous pouvez choisir vous-même la question lors de la création du compte. Souvent vous allez expédier cette corvée en vous limitant aux choix de base proposés. Quel est le nom de jeune fille de votre mère ? Quel est le nom de votre animal de compagnie ? Dans quelles écoles avez vous fait vos premières années ?

Toutes ces questions peuvent être répondues par toute personne qui s’y prépare vue qu’elles sont demandées par bon nombre de sites web.

Mais comment font-ils pour retrouver votre identifiant ? C’est encore le système qui leur facilite la tâche. Beaucoup de services comme iCloud utilisent les adresses e-mails comme identifiants. Vu que les adresses e-mails ne sont jamais bien cachées (ce n’est pas leur but) elles sont facilement trouvables. C’est ici qu’entre en scene la double authentification.

La double authentification en pratique

Si les deux informations primordiales ne sont pas à l’abri d’esprits plus rusés (ne les appelons pas pirates) la double authentification est censée nous redonner plus de confiance dans ces services. Mais comment cela fonctionne-t-il ?

La plupart des services demanderont que vous fournissiez un numéro de GSM. Celui-ci va leur servir pour vous envoyer un code par SMS à indiquer lors de votre connexion. Pour faire simple, l’authentification se déroule de la manière suivante :

  1. Vous vous connectez avec vos identifiants et mots de passe comme vous le faites pour une authentification classique
  2. le site vous envoie sur votre GSM un code spécifique à votre tentative de connexion. Faites bien attention. Il n’est utilisable qu’une fois et vous  pouvez supprimer le message après l’authentification.
  3. vous rentrer le code fourni par SMS sur une seconde page authentification.
  4. le site vous donne accès à votre compte

Le tout prend plus de temps à chaque authentification. C’est vrai. Par contre, on ne va pas vous demander de valider une connexion par le code SMS à chaque authentification.

D’une part, nous ne nous déconnectons pas de nos comptes Gmail ou Dropbox après chaque utilisation. Ces cessions durent souvent plusieurs jours ou semaines.

D’autre part, certains services dont Google permettent d’identifier un ordinateur comme sur et ne redemanderont pas de code  de double authentification par la suite. C’est une option possible après la connexion après le code SMS.

Par contre, il est prudent de ne pas activer cette option sur un PC d’un ami ou d’un cybercafé. La même prudence peut s’appliquer à l’ordinateur du travail. S’il s’agit d’une cession ou d’un ordinateur utilisable par plusieurs personnes il est conseillé d’éviter.

Est-ce la panacée ?

Maintenant que vous avez bien compris son fonctionnement, va-t-elle vous protéger de tout ?

Avant toute chose, je ne suis pas un spécialiste de la sécurité informatique. J’y suis confronté pour mon travail dans la finance mais cela s’arrête là.

Ceci dit, la double authentification est une réalité pour bon nombre de professionnels se connectant au réseau de leur entreprise à distance. Ce n’est pas un gadget et son utilisation va croissant. Les pirates vont certainement essayer de trouver d’autres stratagèmes mais pour l’instant la double authentification à l’air fiable.

D’autre part, les banques utilisent elle aussi la double authentification avec l’utilisation de token ou de générateurs de codes. Alors pourquoi s’en passer si elle est mise gratuitement à votre disposition ? Évitez, quand même, de perdre trop souvent votre GSM…