Les médias nous informent régulièrement de nouvelles brèches dans la sécurité des entreprises et des sites de e-commerce. Les informations dérobés sont ensuite revendus au marché noir. Ce qui permet à des robots pirates d'essayer de se connecter avec les millions de mots de passes récupérés. On appelle ça une attaque de force brute.
Alors, sommes nous totalement impuissant contre ce phénomène ?
Certainement pas ! Notre réponse est l'authentification à double facteur.
Introduction
La double authentification est une méthode d'authentification forte par laquelle un utilisateur peut accéder à une ressource informatique après avoir présenté deux preuves d'identité distinctes à un mécanisme d'authentification.
Un exemple de ce processus est l'accès à un compte bancaire grâce à un guichet automatique bancaire : seule la combinaison de la carte bancaire (que l'usager détient) et du NIP (que l'usager connaît) permet de consulter le solde du compte et de retirer de l'argent.
Dans le cas qui nous intéresse, nous allons utiliser un smartphone comme deuxième facteur d'authentification.
Pour cela, nous allons devoir installer une application d'authentification.
Il en existe plusieurs, mais elles fonctionnent toutes sur le même principe.
Nous avons choisi pour cet exemple Microsoft Authenticator.
Principe de fonctionnement
Le principe de fonctionnement de l'authentification à double facteur est assez simple.
Le serveur et l'application échangent une clé. Cet échange de clé peut-être facilité par la prise en photo d'un QR Code. Grace à cette clé, le serveur et l'application sont capables de réaliser un calcul dépendant de l'heure. De ce calcul découle un code à 6 chiffres qui reste valable pour une durée maximum de 30 secondes.
Le code à 6 chiffre est donné à l'utilisateur par l'application d'authentification, et vérifié par le serveur après que celui-ci ait renseigné son identifiant et son mot de passe.
Installation de Microsoft Authenticator
Rendez-vous sur l'AppStore Apple ou sur le Play Store de Google et installez l'application.
Premier lancement
Au premier lancement, un message vous avertit que Microsoft collecte des données d'utilisation. Bien que cela ne concerne que des données d'utilisation et en aucun cas des données personnelles, vous pouvez optez pour désactiver cette option. Il suffit de se rendre dans les préférences une fois le premier lancement de l'application effectué.
Une fois que vous avez cliqué sur Ok, l'application vous propose de vous connecter avec un compte microsoft. Ce n'est pas nécessaire dans le cas qui nous occupe, mais si vous en avez un vous pouvez vous en servir.
Vous avez également la possibilité de scanner un QR code à ce stade, mais nous allons simplement cliquer sur IGNORER pour l'instant. L'écran suivant vous propose d'ajouter un compte non Microsoft, c'est l'opération qui nous intéresse.
En cliquant sur Ajouter un compte non Microsoft pour la première fois, l'application va devoir vous demander l'autorisation d'accéder à votre appareil photo et éventuellement de stocker des images. Ne vous inquiétez pas, c'est tout à fait normal, et vous devez répondre favorablement à cette demande. Après avoir donné cette autorisation, vous serez en mesure de scanner des QR codes.
Si vous refusez cette autorisation, il vous sera tout de même possible d'utiliser l'application, mais vous devrez alors saisir à la main le code initial que le serveur vous donnera lors de l'apairage.
Passons maintenant au cas concrêt. L'enregistrement d'un code d'authentification pour un serveru NAS Synology.
Connexion à un serveur NAS Synology
Afin d'illustrer l'utilisation de l'authentification à double facteur, nous allons prendre pour exemple la connexion à un serveur NAS Synology.
Lorsque vous vous connectez pour la première fois à un serveur NAS Synology après que l'authentification à double facteur ait été activée, un assistant vous propose de configurer votre application d'authentification. Nous allons voir en détail les étapes nécessaires pour effectuer cette configuration.
La première page de l'assistant vous informe de la mise en place du renforcement de la sécurité par votre administrateur.
Une fois que vous l'avez lu, je vous invite à cliquer sur le bouton Suivant.
Pour l'étape suivante, vous allez vous munir de l'application d'authentification Microsoft Authenticator que vous avez préalablement installé sur votre smartphone.
Vous devrez scanner le QR Code qui est affiché à l'écran pour configurer l'application.
Il peut être utile dans certains cas, de configurer plusieurs applications d'authentifications (cas de deux personnes qui se connectent avec le même compte).
Notez dans ce cas, il faudra que chaque application scanne le code à cette étape.
Vous avez également la possibilité d'entrer le code manuellement. Pour afficher ce code, vous devez cliquer sur le lien, "Vous pouvez également entrer cotre clé secrète manuellement", qui apparait en bleu dans l'exemple ci-dessous.
Une fois le code scanné, l'écran de votre smartphone devrait maintenant ressembler à ça.
Une nouvelle tuile a été créée comportant un numéro de 6 chiffres à côté duquel un compteur à rebourd affiche le temps restant pour sa validité.
Une fois le temps écoulé, le numéro à 6 chiffres change et le compteur reprend son décompte à partir de 30 secondes.
Vous devrez donc vous assurez que vous aurez le temps de taper le code et de valider votre saisie avant que le temps restant ne soit écoulé. Si pensez ne pas avoir ce temps, attendez un nouveau code à 6 chiffres.
Revenez maintenant sur l'écran de votre ordinateur, et saisissez le code dans l'assistant de configuration de la vérification en deux étapes. Cette opération est indispensable pour valider la bonne configuration de votre application d'authentification avant d'activer l'authentification à double facteur sur votre compte.
Si vous vous trompez dans la saisie du code à six chiffres à cette étape, ce n'est pas grave. L'assistant vous donnera une seconde chance.
Mais gardez à l'esprit que le code à 6 chiffres délivré par votre application d'authentification sera peut-être périmé. Vous devrez donc retourner sur l'écran de votre smartphone et attendre un nouveau code.
Vous devez maintenant confirmer votre adresse de courriel. C'est une étape importante, car en cas de perte ou de vol de votre smartphone, un code de secours pourra vous être envoyé par e-mail afin de vous connecter à votre NAS Synology.
En cliquant sur le bouton OK, vous activez l'authentification à double facteur sur votre compte.
Désormais, pour vous connecter à votre serveur NAS Synology, vous devrez saisir un code d'authentification à 6 chiffres qui sera généré par votre téléphone portable, comme illustré ci-dessous.
Une case à cocher permet de mémoriser l'authentification afin qu'elle ne soit pas redemandée la prochaine fois sur le même navigateur. Toutefois, il n'est pas recommandé de le faire si vous souhaitez maintenir un haut niveau de sécurité sur votre serveur.
En cas de perte de votre téléphone, vous pouvez cliquer sur le lien en dessous du bouton Connexion. Un code de récupération vous sera envoyé et vous serez capable dès lors d'appairer une nouvelle application d'authentification avec votre serveur.