Double authentification à l'aide de l'OTP Google Authenticator

Les annonces officielles de FranceServ Hébergement.
Avatar de l’utilisateur
Elodie
Fondatrice / Responsable
Fondatrice / Responsable
Messages : 7937
Inscription : 2 avril 2010 à 20:14

Bonjour,

J'ai mis en place il y a quelques jours, un système de double authentification à l'aide d'un mot de passe temporaire (OTP) obtenu par l’algorithme de Google Authenticator. Ce mécanisme n'est pas entièrement finalisé et est proposé en version bêta.

Google Authenticator est un algorithme de sécurité s'interfaçant entre la saisie d'un mot de passe correct et l'authentification finale de l'usager. L'algorithme se base sur une clef secrète fixe pour générer toutes les 30 secondes un nouveau code valide pour ce même temps.

Il suffit alors d'utiliser une petite application sur son téléphone portable pour afficher toutes les 30 secondes un nouveau code. Une fois cette petite application configurée (moins de 10 secondes pour ce faire), c'est aussi simple que de lire l'heure :)

Ainsi, si le mot de passe de son compte est dévoilé, une personne malveillante ne pourra pas se connecter à votre compte si vous utilisez la validation en deux étape de Google Authenticator. Il me reste énormément de travail pour généraliser cette protection aux services ... mais c'est déjà un début, ça vas déjà éviter par exemple le vol de compte. Il y a des services comme le serveur FTP où l'OTP sera pratiquement impossible à implémenter dans l'état actuel.

Bien que cet algorithme ait été "développé" (mis en avant) par Google, il n'y aucune relation avec les services ou les comptes de Google et cet algorithme aurai pu s'appeler autrement.

Google Authenticator est un système de validation OTP (One-Time Password) tout comme le système SecurID développé par RSA Security, mais en solution libre.

Voici le lien pour y accéder : https://www.franceserv.fr/admin/protection/otp/
et la précédente protection par IP est accessible ici : https://www.franceserv.fr/admin/protection/ip/

Par la même occasion, j'ai commencé un remaniement de toutes les adresses des pages de l'interface de gestion. Les anciennes URL fonctionnent encore pour le moment afin d'effectuer cette modification progressivement.
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Inconnu
Cet utilisateur a supprimé son compte et n’existe plus.
Messages : 6340
Inscription : 29 décembre 2010 à 18:15

Pour ceux qui veulent des explications plus précises :

"Google Authenticator est un logiciel open-source basé sur l’authentification en deux étapes, développé par Google. Le logiciel fournit un nombre de 6 chiffres que l'utilisateur doit donner lors de son authentification, en plus de son pseudo et de son mot de passe. Développé à l'origine pour les services Google (comme Gmail), le logiciel permet de s'authentifier sur des services tiers."

"Google Authenticator implémente l'algorithme de mot de passe unique définie dans l'IETF RFC 6238 et l’algorithme de génération de mot de passe unique basé sur HMAC défini dans l'IETF RFC 4226."

(Source : Wikipedia https://fr.wikipedia.org/wiki/Google_Authenticator)
Avatar de l’utilisateur
Tilde3
Messages : 461
Inscription : 19 octobre 2011 à 13:11
Contact :

Avec l'appli GA, on pourra donc choisir de se connecter via double-identification à la plateforme Franceserv. Excellente nouvelle: j'utilise ce mécanisme sur plein de sites, et c'est très sécurisant.
Avatar de l’utilisateur
Elodie
Fondatrice / Responsable
Fondatrice / Responsable
Messages : 7937
Inscription : 2 avril 2010 à 20:14

Bonjour,

Jusqu'à maintenant, la protection de la double authentification empêchait les personnes ne disposant pas du code OTP à se connecter à l'interface de gestion pour effectuer des modifications importantes comme modifier l'adresse e-mail de contact par exemple, supprimer le compte ou un site ou encore transférer en sortie un nom de domaine pour le voler.

Dorénavant, il n'est plus possible de réinitialiser le mot de passe d'un compte que la personne indique avoir oublié sans s’être identifié via la double authentification si cette protection est active.

Cette modification permet ainsi de protéger encore plus vos données avec la double authentification via OTP.
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Avatar de l’utilisateur
Elodie
Fondatrice / Responsable
Fondatrice / Responsable
Messages : 7937
Inscription : 2 avril 2010 à 20:14

Bonjour de nouveau,

Étant donné qu'il y a trop peu d'hébergés utilisant cette protection (qui est gratuite), je vais envoyer le mail suivant à tous les hébergés afin de les inviter à activer et à utiliser cette protection :
Depuis octobre 2013, vous avez la possibilité de protéger votre compte chez FranceServ Hébergement à l’aide de la double authentification OTP ou plus communément appelée Google Authenticator.

Google Authenticator est un algorithme de sécurité se plaçant entre la saisie d'un mot de passe valide et l'accès final à la ressource protégée. L'algorithme se base sur une clef secrète fixe pour générer toutes les 30 secondes un nouveau code pour ce temps donné.

Sachez qu’il n’a de Google que son nom, cet algorithme a été mis en avant par leurs équipes mais il n'y a aucune relation avec les services ou les comptes de Google, cet algorithme aurait pu s'appeler autrement. Google Authenticator est un système de validation OTP (One-Time Password) tout comme le système SecurID développé par le groupe de renom RSA Security, mais en solution libre.

Voici comment ça fonctionne :

Lorsque l’on se connecte à son interface de gestion à l’aide de son identifiant et son mot de passe, il ne reste plus qu’à regarder l’écran de son téléphone portable pour y lire le code OTP de 6 chiffres à saisir sur la page Web OTP dans les 30 secondes. C’est aussi simple que de lire l’heure.

Ce code OTP est composé de 6 chiffres uniquement, il est simple à lire et il ne vous sera pas redemandé jusqu’à votre prochaine connexion.

Pour l’installer :

Pour configurer l’application Google Authenticator sur votre téléphone portable, il suffit de l’installer via le magasin d’applications de votre téléphone (Google Store, Apple Store, Windows Store, etc …) et scanner le QR Code présent sur votre interface de gestion lors de son installation. En moins de 2 secondes, celui-ci est alors mémorisé dans votre téléphone pour une utilisation ultérieure.

En conclusion :

Si un pirate découvre le mot de passe de votre compte ou s’il a réussi à avoir accès à votre adresse email de contact, celui-ci ne pourra pas finaliser la connexion sur l’interface de gestion sans le code OTP qui est impossible à connaitre vu qu’il change toutes les 30 secondes.

Ce code OTP est demandé après la connexion à son interface de gestion ou pendant la procédure de réinitialisation de mot de passe quand on indique l’avoir oublié.

Cette protection permet d’éviter :

- La suppression non désirée de son compte (même s’il existe une autre protection retardant pendant 7 jours la suppression définitive par sécurité),
- la modification de son adresse email de contact,
- la réinitialisation de son mot de passe,
- la modification de ses coordonnées,
- l’ajout ou la suppression d’un site ou d’un nom de domaine depuis son interface,
- le vol de ses noms de domaine par transfert sortant,
- la modification de ses boites et redirections email,
- etc ...

En un mot : la protection par double authentification OTP ou Google Authenticator permet de ne pas se faire voler son compte et/ou ses noms de domaines achetés chez FranceServ Hébergement.

Malheureusement, je compte 1 % seulement des hébergés qui ont activés cette protection sur leur compte et c’est vraiment trop peu.

La semaine dernière par exemple, 2 clients se sont vu voler leurs comptes dont un avec un transfert sortant de son nom de domaine qu’un pirate à voulu lui dérober. J’ai pu bloquer en urgence cette action en formulant une opposition de transfert auprès de l’AFNIC un samedi soir avec les procédures de vérifications habituelles (délais rallongés, vérification de la carte d’identité, etc …)

Avant qu'il ne soit trop tard, protégez votre compte ainsi que vos données en activant cette protection, elle est gratuite.

Voici l’adresse pour installer ou configurer la protection par double authentification OTP :
https://www.franceserv.fr/admin/protection/otp/
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Montpelliermeteo
Messages : 24
Inscription : 1 septembre 2011 à 16:13

Bonjour.
Cette double authentification est-elle utile sur un poste informatique classique, sans tablette ni téléphone ou autre accès Internet.
Dans le formulaire d'authentification pourquoi y a-t-il marqué "Non recommandé" ?
Merci de vos réponses.

-
Avatar de l’utilisateur
Elodie
Fondatrice / Responsable
Fondatrice / Responsable
Messages : 7937
Inscription : 2 avril 2010 à 20:14

Bonjour,
montpelliermeteo a écrit :Cette double authentification est-elle utile sur un poste informatique classique, sans tablette ni téléphone ou autre accès Internet. Dans le formulaire d'authentification pourquoi y a-t-il marqué "Non recommandé" ?
Il n'est pas recommandé d'utiliser son ordinateur pour générer le code OTP pour la double authentification car si un logiciel espion est présent sur l'ordinateur pour subtiliser le mot de passe, il en profitera pour récupérer également la clef privé de l'OTP.

Par contre si l'on ne possède pas de téléphone portable "intelligent" (smartphone) ni de tablette, je pense que est utile d'utiliser son poste informatique. Ça ne sera pas pleinement efficace mais c'est mieux que rien.

Votre question était intéressante, je vais d'ailleurs mettre "recommandé" sur les "Applications mobiles" à la place de "non recommandé" sur Applications sur poste informatique.
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Montpelliermeteo
Messages : 24
Inscription : 1 septembre 2011 à 16:13

Merci bien Élodie

Amitiés

-
Rowin
Messages : 64
Inscription : 3 juillet 2012 à 14:30

Bonsoir,

Je suis assez favorable à l'authentification en 2 étapes, seulement j'ai un mauvais souvenir (vous vous en souvenez peut-être) de formatage de mon téléphone qui m'avait fait perdre la clé...
Je pense sauvegarder la clé dans un trousseau, comme celui où je stocke mes clés privés GPG, par exemple.
Mais à part cela, il n'existe pas de procédure "de secours" pour le moment (mis à part vous contacter ? ^^)

Bonne soirée
Avatar de l’utilisateur
Elodie
Fondatrice / Responsable
Fondatrice / Responsable
Messages : 7937
Inscription : 2 avril 2010 à 20:14

rowin a écrit :Je pense sauvegarder la clé dans un trousseau, comme celui où je stocke mes clés privés GPG, par exemple.
C'est ce que je fais avec une clef protégée via Rohos Disk Encryption le tout crypté.
rowin a écrit :Mais à part cela, il n'existe pas de procédure "de secours" pour le moment (mis à part vous contacter ? ^^)
Actuellement non, pour le moment je vérifie l'identité de la personne via sa carte d'identité puis je lui téléphone et accorde un délai de sécurité de 24h avant de faire quoi que ce soit.

Mais je vais améliorer le système pour automatiser les vérifications de secours.
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Répondre