Annonce

Lorsque vous exposez un problème que vous rencontrez sur votre site, n’omettez pas de bien préciser l’adresse de la page (URL) concernée.

Ouvrez un nouveau sujet de discussion pour poser une question, n'utilisez pas une discussion déjà ouverte si votre problème est différent.
Lorsque votre sujet est résolu, indiquez-le en cliquant sur le lien "Passer le sujet en résolu".

Pour les possesseurs de sites Minecraft : Tous les ports TCP/UDP en sortie sont ouverts.
Pour en savoir plus : https://www.franceserv.fr/wiki/minecraft

#1 19/10/2013 19:17:39

elodie
Responsable/CEO FranceServ Hébergement
Lieu : Jura
Inscription : 02/04/2010
Messages : 7 463
Site Web

Double authentification à l'aide de l'OTP Google Authenticator

Bonjour,

J'ai mis en place il y a quelques jours, un système de double authentification à l'aide d'un mot de passe temporaire (OTP) obtenu par l’algorithme de Google Authenticator. Ce mécanisme n'est pas entièrement finalisé et est proposé en version bêta.

Google Authenticator est un algorithme de sécurité s'interfaçant entre la saisie d'un mot de passe correct et l'authentification finale de l'usager. L'algorithme se base sur une clef secrète fixe pour générer toutes les 30 secondes un nouveau code valide pour ce même temps.

Il suffit alors d'utiliser une petite application sur son téléphone portable pour afficher toutes les 30 secondes un nouveau code. Une fois cette petite application configurée (moins de 10 secondes pour ce faire), c'est aussi simple que de lire l'heure smile

Ainsi, si le mot de passe de son compte est dévoilé, une personne malveillante ne pourra pas se connecter à votre compte si vous utilisez la validation en deux étape de Google Authenticator. Il me reste énormément de travail pour généraliser cette protection aux services ... mais c'est déjà un début, ça vas déjà éviter par exemple le vol de compte. Il y a des services comme le serveur FTP où l'OTP sera pratiquement impossible à implémenter dans l'état actuel.

Bien que cet algorithme ait été "développé" (mis en avant) par Google, il n'y aucune relation avec les services ou les comptes de Google et cet algorithme aurai pu s'appeler autrement.

Google Authenticator est un système de validation OTP (One-Time Password) tout comme le système SecurID développé par RSA Security, mais en solution libre.

Voici le lien pour y accéder : https://www.franceserv.fr/admin/protection/otp/
et la précédente protection par IP est accessible ici : https://www.franceserv.fr/admin/protection/ip/

Par la même occasion, j'ai commencé un remaniement de toutes les adresses des pages de l'interface de gestion. Les anciennes URL fonctionnent encore pour le moment afin d'effectuer cette modification progressivement.


P8OdseCN.gifVous avez une question ?

Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, utilisez alors dans ce cas le formulaire de contact ou alors le téléphone.

Hors ligne

#2 19/10/2013 22:31:08

inconnu
(Compte supprimé)
Inscription : 29/12/2010
Messages : 0

Re : Double authentification à l'aide de l'OTP Google Authenticator

Pour ceux qui veulent des explications plus précises :

"Google Authenticator est un logiciel open-source basé sur l’authentification en deux étapes, développé par Google. Le logiciel fournit un nombre de 6 chiffres que l'utilisateur doit donner lors de son authentification, en plus de son pseudo et de son mot de passe. Développé à l'origine pour les services Google (comme Gmail), le logiciel permet de s'authentifier sur des services tiers."

"Google Authenticator implémente l'algorithme de mot de passe unique définie dans l'IETF RFC 6238 et l’algorithme de génération de mot de passe unique basé sur HMAC défini dans l'IETF RFC 4226."

(Source : Wikipedia https://fr.wikipedia.org/wiki/Google_Authenticator)

Dernière modification par inconnu (20/10/2013 00:22:03)


Ce commentaire provient d'un utilisateur du forum qui a supprimé son compte après avoir envoyé cette contribution. La suppression d'un compte client n'entraine pas la suppression de ses contributions dans le forum ou dans le wiki, son nom de participant est alors modifié en "inconnu" avec comme titre "(Compte supprimé)".

Hors ligne

#3 22/10/2013 14:03:32

tilde3
Membre
Lieu : Sedan
Inscription : 19/10/2011
Messages : 460
Site Web

Re : Double authentification à l'aide de l'OTP Google Authenticator

Avec l'appli GA, on pourra donc choisir de se connecter via double-identification à la plateforme Franceserv. Excellente nouvelle: j'utilise ce mécanisme sur plein de sites, et c'est très sécurisant.


Le wiki des membres de FSH - Faites des sauvegardes régulières de votre FTP !

Hors ligne

#4 20/03/2016 12:34:26

elodie
Responsable/CEO FranceServ Hébergement
Lieu : Jura
Inscription : 02/04/2010
Messages : 7 463
Site Web

Re : Double authentification à l'aide de l'OTP Google Authenticator

Bonjour,

Jusqu'à maintenant, la protection de la double authentification empêchait les personnes ne disposant pas du code OTP à se connecter à l'interface de gestion pour effectuer des modifications importantes comme modifier l'adresse e-mail de contact par exemple, supprimer le compte ou un site ou encore transférer en sortie un nom de domaine pour le voler.

Dorénavant, il n'est plus possible de réinitialiser le mot de passe d'un compte que la personne indique avoir oublié sans s’être identifié via la double authentification si cette protection est active.

Cette modification permet ainsi de protéger encore plus vos données avec la double authentification via OTP.


P8OdseCN.gifVous avez une question ?

Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, utilisez alors dans ce cas le formulaire de contact ou alors le téléphone.

Hors ligne

#5 20/03/2016 16:24:19

elodie
Responsable/CEO FranceServ Hébergement
Lieu : Jura
Inscription : 02/04/2010
Messages : 7 463
Site Web

Re : Double authentification à l'aide de l'OTP Google Authenticator

Bonjour de nouveau,

Étant donné qu'il y a trop peu d'hébergés utilisant cette protection (qui est gratuite), je vais envoyer le mail suivant à tous les hébergés afin de les inviter à activer et à utiliser cette protection :

Depuis octobre 2013, vous avez la possibilité de protéger votre compte chez FranceServ Hébergement à l’aide de la double authentification OTP ou plus communément appelée Google Authenticator.

Google Authenticator est un algorithme de sécurité se plaçant entre la saisie d'un mot de passe valide et l'accès final à la ressource protégée. L'algorithme se base sur une clef secrète fixe pour générer toutes les 30 secondes un nouveau code pour ce temps donné.

Sachez qu’il n’a de Google que son nom, cet algorithme a été mis en avant par leurs équipes mais il n'y a aucune relation avec les services ou les comptes de Google, cet algorithme aurait pu s'appeler autrement. Google Authenticator est un système de validation OTP (One-Time Password) tout comme le système SecurID développé par le groupe de renom RSA Security, mais en solution libre.

Voici comment ça fonctionne :

Lorsque l’on se connecte à son interface de gestion à l’aide de son identifiant et son mot de passe, il ne reste plus qu’à regarder l’écran de son téléphone portable pour y lire le code OTP de 6 chiffres à saisir sur la page Web OTP dans les 30 secondes. C’est aussi simple que de lire l’heure.

Ce code OTP est composé de 6 chiffres uniquement, il est simple à lire et il ne vous sera pas redemandé jusqu’à votre prochaine connexion.

Pour l’installer :

Pour configurer l’application Google Authenticator sur votre téléphone portable, il suffit de l’installer via le magasin d’applications de votre téléphone (Google Store, Apple Store, Windows Store, etc …) et scanner le QR Code présent sur votre interface de gestion lors de son installation. En moins de 2 secondes, celui-ci est alors mémorisé dans votre téléphone pour une utilisation ultérieure.

En conclusion :

Si un pirate découvre le mot de passe de votre compte ou s’il a réussi à avoir accès à votre adresse email de contact, celui-ci ne pourra pas finaliser la connexion sur l’interface de gestion sans le code OTP qui est impossible à connaitre vu qu’il change toutes les 30 secondes.

Ce code OTP est demandé après la connexion à son interface de gestion ou pendant la procédure de réinitialisation de mot de passe quand on indique l’avoir oublié.

Cette protection permet d’éviter :

- La suppression non désirée de son compte (même s’il existe une autre protection retardant pendant 7 jours la suppression définitive par sécurité),
- la modification de son adresse email de contact,
- la réinitialisation de son mot de passe,
- la modification de ses coordonnées,
- l’ajout ou la suppression d’un site ou d’un nom de domaine depuis son interface,
- le vol de ses noms de domaine par transfert sortant,
- la modification de ses boites et redirections email,
- etc ...

En un mot : la protection par double authentification OTP ou Google Authenticator permet de ne pas se faire voler son compte et/ou ses noms de domaines achetés chez FranceServ Hébergement.

Malheureusement, je compte 1 % seulement des hébergés qui ont activés cette protection sur leur compte et c’est vraiment trop peu.

La semaine dernière par exemple, 2 clients se sont vu voler leurs comptes dont un avec un transfert sortant de son nom de domaine qu’un pirate à voulu lui dérober. J’ai pu bloquer en urgence cette action en formulant une opposition de transfert auprès de l’AFNIC un samedi soir avec les procédures de vérifications habituelles (délais rallongés, vérification de la carte d’identité, etc …)

Avant qu'il ne soit trop tard, protégez votre compte ainsi que vos données en activant cette protection, elle est gratuite.

Voici l’adresse pour installer ou configurer la protection par double authentification OTP :
https://www.franceserv.fr/admin/protection/otp/


P8OdseCN.gifVous avez une question ?

Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, utilisez alors dans ce cas le formulaire de contact ou alors le téléphone.

Hors ligne

#6 20/03/2016 17:25:11

montpelliermeteo
Membre
Lieu : Garrigue de l'Hérault
Inscription : 01/09/2011
Messages : 24
Site Web

Re : Double authentification à l'aide de l'OTP Google Authenticator

Bonjour.
Cette double authentification est-elle utile sur un poste informatique classique, sans tablette ni téléphone ou autre accès Internet.
Dans le formulaire d'authentification pourquoi y a-t-il marqué "Non recommandé" ?
Merci de vos réponses.

-


-               PRÉVISIONS MÉTÉO POUR MONTPELLIER ET SA BANLIEUE       -
                  http://montpellier-meteo.fr
Dictons Météo - Faire un abri météo - Dispersion Pluviométrique - Dépressions et Anticyclones

Hors ligne

#7 20/03/2016 18:12:53

elodie
Responsable/CEO FranceServ Hébergement
Lieu : Jura
Inscription : 02/04/2010
Messages : 7 463
Site Web

Re : Double authentification à l'aide de l'OTP Google Authenticator

Bonjour,

montpelliermeteo a écrit :

Cette double authentification est-elle utile sur un poste informatique classique, sans tablette ni téléphone ou autre accès Internet. Dans le formulaire d'authentification pourquoi y a-t-il marqué "Non recommandé" ?

Il n'est pas recommandé d'utiliser son ordinateur pour générer le code OTP pour la double authentification car si un logiciel espion est présent sur l'ordinateur pour subtiliser le mot de passe, il en profitera pour récupérer également la clef privé de l'OTP.

Par contre si l'on ne possède pas de téléphone portable "intelligent" (smartphone) ni de tablette, je pense que est utile d'utiliser son poste informatique. Ça ne sera pas pleinement efficace mais c'est mieux que rien.

Votre question était intéressante, je vais d'ailleurs mettre "recommandé" sur les "Applications mobiles" à la place de "non recommandé" sur Applications sur poste informatique.


P8OdseCN.gifVous avez une question ?

Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, utilisez alors dans ce cas le formulaire de contact ou alors le téléphone.

Hors ligne

#8 20/03/2016 18:49:14

montpelliermeteo
Membre
Lieu : Garrigue de l'Hérault
Inscription : 01/09/2011
Messages : 24
Site Web

Re : Double authentification à l'aide de l'OTP Google Authenticator

Merci bien Élodie

Amitiés

-


-               PRÉVISIONS MÉTÉO POUR MONTPELLIER ET SA BANLIEUE       -
                  http://montpellier-meteo.fr
Dictons Météo - Faire un abri météo - Dispersion Pluviométrique - Dépressions et Anticyclones

Hors ligne

#9 20/03/2016 20:39:19

rowin
Membre
Inscription : 03/07/2012
Messages : 64
Site Web

Re : Double authentification à l'aide de l'OTP Google Authenticator

Bonsoir,

Je suis assez favorable à l'authentification en 2 étapes, seulement j'ai un mauvais souvenir (vous vous en souvenez peut-être) de formatage de mon téléphone qui m'avait fait perdre la clé...
Je pense sauvegarder la clé dans un trousseau, comme celui où je stocke mes clés privés GPG, par exemple.
Mais à part cela, il n'existe pas de procédure "de secours" pour le moment (mis à part vous contacter ? ^^)

Bonne soirée


Défenseur des libertés sur Internet - @AnhydrideAcide

Hors ligne

#10 20/03/2016 20:43:59

elodie
Responsable/CEO FranceServ Hébergement
Lieu : Jura
Inscription : 02/04/2010
Messages : 7 463
Site Web

Re : Double authentification à l'aide de l'OTP Google Authenticator

rowin a écrit :

Je pense sauvegarder la clé dans un trousseau, comme celui où je stocke mes clés privés GPG, par exemple.

C'est ce que je fais avec une clef protégée via Rohos Disk Encryption le tout crypté.

rowin a écrit :

Mais à part cela, il n'existe pas de procédure "de secours" pour le moment (mis à part vous contacter ? ^^)

Actuellement non, pour le moment je vérifie l'identité de la personne via sa carte d'identité puis je lui téléphone et accorde un délai de sécurité de 24h avant de faire quoi que ce soit.

Mais je vais améliorer le système pour automatiser les vérifications de secours.


P8OdseCN.gifVous avez une question ?

Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, utilisez alors dans ce cas le formulaire de contact ou alors le téléphone.

Hors ligne

#11 20/03/2016 20:53:32

rowin
Membre
Inscription : 03/07/2012
Messages : 64
Site Web

Re : Double authentification à l'aide de l'OTP Google Authenticator

elodie a écrit :
rowin a écrit :

Je pense sauvegarder la clé dans un trousseau, comme celui où je stocke mes clés privés GPG, par exemple.

C'est ce que je fais avec une clef protégée via Rohos Disk Encryption le tout crypté.

Je vais me pencher sur le sujet. Ça va être l'occasion de rationaliser un peu mon usage de SeaHorse et de GNOME Keyring, notamment en terme de sauvegarde !

elodie a écrit :
rowin a écrit :

Mais à part cela, il n'existe pas de procédure "de secours" pour le moment (mis à part vous contacter ? ^^)

Actuellement non, pour le moment je vérifie l'identité de la personne via sa carte d'identité puis je lui téléphone et accorde un délai de sécurité de 24h avant de faire quoi que ce soit.

Mais je vais améliorer le système pour automatiser les vérifications de secours.

Notez qu'on a encore pas fait mieux qu'une vérification manuelle ! Mais ça risque de finir par vous prendre pas mal de temps !


Défenseur des libertés sur Internet - @AnhydrideAcide

Hors ligne

#12 25/03/2016 09:17:52

notre-famille
Membre
Inscription : 17/05/2012
Messages : 33

Re : Double authentification à l'aide de l'OTP Google Authenticator

Bonjour,

je viens d installer ce système, sensibilisé par votre alerte.

j'en profite pour noter la qualité de l'herbergeur... Merci pour vos services et conseils permanents.

il ne sert donc qu'à l authentification sur l interface de gestion.
Je n ai pas un site super important, c est un site plaisir, mais je pense que ce système peut effectivement être utile et éviterai de vous contacter en cas de piratage....

MAIS ma question: aujourd’hui on sait que les tel vivent et meurent trés vite....

quelle sera la procédure si je perd , casse mon tel... voir change de tel ?

ne devriez vous pas demander deux numéro,  car pour m appeler si je n'ai plus le tel ??

le tchat permettrai t il de nous identifier ou tout au moins de prendre contacte pour trouver une solution.?

merci de votre réponse.

Amicalement.
Stéphane.

Dernière modification par notre-famille (25/03/2016 09:19:06)

Hors ligne

#13 25/03/2016 11:17:08

elodie
Responsable/CEO FranceServ Hébergement
Lieu : Jura
Inscription : 02/04/2010
Messages : 7 463
Site Web

Re : Double authentification à l'aide de l'OTP Google Authenticator

Bonjour de même,

notre-famille a écrit :

je viens d installer ce système, sensibilisé par votre alerte. j'en profite pour noter la qualité de l'herbergeur... Merci pour vos services et conseils permanents.

C'est un plaisir et merci également pour votre confiance, n'hésitez pas à laisser un petit commentaire à l'adresse http://www.guide-hebergeur.fr/avis/ajou … rgementfr/ smile

notre-famille a écrit :

quelle sera la procédure si je perd , casse mon tel... voir change de tel ?

Le mieux est de conserver par écrit la clef secrète qui s'affiche au moment de l'activation de l'OTP et de conserver cette clef en lieu sûr, par exemple dans un coffre à la maison et/ou une clef USB chiffré.

Pour chiffré une clef USB, vous pouvez utiliser par exemple http://www.rohos.fr/free-encryption/index.htm qui est une version gratuite qui vas très bien pour sécuriser jusqu'à 8 Go de donnée ce qui est largement suffisant pour des codes et mots de passe.

Cette clef secrète est la correspondance entre le QRCode et sa valeur textuelle et ces deux éléments permettent de recréer un compte dans l'application OTP d'un autre téléphone.

Si la personne perd son code OTP et n'avait pas de sauvegarde de sa clef privé, la procédure est de vérifier son identifié par carte d'identité entre autre.


P8OdseCN.gifVous avez une question ?

Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, utilisez alors dans ce cas le formulaire de contact ou alors le téléphone.

Hors ligne

#14 25/03/2016 13:17:21

notre-famille
Membre
Inscription : 17/05/2012
Messages : 33

Re : Double authentification à l'aide de l'OTP Google Authenticator

Merci des éclaircissement qui étaient d'ailleurs clairs sur le site...

on prend pas toujours le temps de lire.

cela veut donc dire que l on pourrait dors et déjà installer sur un deuxième tel l'apl otp.

vous m’arrêtez si je me trompe. mais je perd mon tel , je me sers de celui de ma femme....
et je peux le paramétrer des aujourd’hui avant de perdre le mien....

j entre la clé dans configurer un compte  " saisir la clé fournie"...

ou ne peut il y avoir un tel paramétré ?

Le principal c'est que j ai déjà compris comment recup la cle.

Merci.

Hors ligne

#15 25/03/2016 13:29:13

elodie
Responsable/CEO FranceServ Hébergement
Lieu : Jura
Inscription : 02/04/2010
Messages : 7 463
Site Web

Re : Double authentification à l'aide de l'OTP Google Authenticator

notre-famille a écrit :

cela veut donc dire que l on pourrait dors et déjà installer sur un deuxième tel l'apl otp.

Oui c'est bien ça car la clef secrète ou le QR Code restent les mêmes jusqu'à la désactivation de l'OTP.

notre-famille a écrit :

vous m’arrêtez si je me trompe. mais je perd mon tel , je me sers de celui de ma femme.... et je peux le paramétrer des aujourd’hui avant de perdre le mien....

Oui tout à fait, vous pouvez "flasher" le QR Code ou saisir la clef secrète à la main sur plusieurs équipement mobiles. Vous pourriez même imprimer sur papier le QR Code afin de le conserver dans un lieu sécuriser pour le flasher ultérieurement mais la clef secrète est plus facile à imprimer/conserver.

Si on perd son mobile, il faut se connecter à son interface de gestion pour désactiver et réactiver l'OTP afin de changer la clef secrète, ceci afin d'éviter qu'une personne malveillante qui retrouverai notre téléphone ne puisse pas l'utiliser à mauvais escient.


P8OdseCN.gifVous avez une question ?

Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, utilisez alors dans ce cas le formulaire de contact ou alors le téléphone.

Hors ligne

Pied de page des forums

[ Générées en 0.044 secondes, 9 requêtes exécutées - Utilisation de la mémoire : 884.91 Kio (pic d'utilisation : 940.3 Kio) ]