Introduction

En cette période où les fuites de données personnelles se succèdent et où nos logins et mots de passe se retrouvent dans des bases de données qui s’échangent sous le manteau dans les tréfonds du net, il devient nécessaire de renforcer l’identification à nos nombreux comptes en ligne.

Choisir un mot de passe long, complexe et unique pour chaque service ne suffit plus pour garantir la protection de nos données.

On pourra alors opter pour une validation en deux étapes :

Par SMS

Malheureusement, une faille dans le protocole SS7 découverte en 2014 permet à des cybercriminels d’intercepter les SMS. Ceci rend cette authentification très « fragile ».

Avec Google Authenticator

À partir d’une longue clef initiale Google Authenticator génère un mot de passe éphémère à 6 chiffres dont la validité ne dépasse pas 20 secondes.

Cette méthode est robuste pour autant que la clef de base ne soit pas communiquée. Elle nécessite néanmoins un accès à un générateur de codes (App sur smartphone, smartwatch, …) et d’encoder à chaque fois les 6 chiffres au moment de l’identification.

Avec une clef FIDO U2F

La clef FIDO (Fast IDentity Online) U2F (Universal Second Factor) permet une identification rapide grâce à un périphérique USB ou NFC.

Une clef USB « HyperFIDO Mini » peut se trouver pour moins de 10€ sur Amazon : https://amzn.to/2Jf3b2N

Pour s’authentifier, il suffit d’introduire le login et le mot de passe du site et, ensuite, d’appuyer sur le petit bouton de la clef qui clignote pour valider l’identification.

L’U2F est supporté nativement par Google Chrome depuis la version 38 et Opera depuis la version 40. Microsoft Edge le gère avec un module. ^[Wikipedia]

Quant à Firefox, les premiers tests ont été opérés sur les Nightly de la version 57 et l’intégration est finalisée mais non activé par défaut depuis la version 58.

Activer une clef FIDO U2F dans Firefox 58 et suivants

Pour activer la clef nous allons taper about:config dans la barre URL de Firefox :

Puis, nous allons modifier ces paramètres avec la valeur true :

security.webauth.u2f
security.webauth.webauthn
security.webauth.webauthn_enable_usbtoken

Contourner l’exclusivité de Chrome

Certains sites n’acceptent pas encore de proposer U2F sur Firefox… On utilisera alors le plugin User-Agent Switcher pour simuler l’User-Agent de Chrome.

Liste des sites qui supportent OTP et U2F

Liste des sites Web qui prennent ou pas en charge One Time Passwords (OTP) ou Universal 2nd Factor (U2F) : https://www.dongleauth.info/