Depuis quelques temps l'université qui m'emploie demande d'utiliser une authentification à deux facteurs pour se connecter à un service tristement fameux de bureau distant.
En pratique il convient de télécharger sur internet (et non auprès des services informatiques) une application identifiée uniquement par son nom « authenticator, » l'installée sur sa machine ou son navigateur en lui laissant probablement des droits d'accès pharaoniques, et se connecter en utilisant son couple identifiant/mot de passe usuel auquel s'ajoutera un code généré par l'application.
Cela me semble soulever deux questions :
— L'application est-elle sûre ? Comment lui faire confiance ? Pas de code source disponible, pas de chaîne d'approvisionnement de confiance. J'ai un peu du mal à imaginer installer ça sur une machine de travail.
— En quoi disposer d'une application quelconque sur l'ordinateur qui se connecte serait-il un facteur de sécurité ajouté ?
Si une âme charitable peut m'expliquer ?
# C'est standard
Posté par raspbeguy (site web personnel, Mastodon) . Évalué à 8 (+7/-0).
Les protocoles utilisés par ce genre d'authentificateur sont ultra répandus et standards. Il en existe plein de libres, par exemple Aegis sur Android ou gnome-authenticator sur linux. Il faut bien comprendre que les codes générés n'ont aucune valeur sans tes identifiants classiques.
Ils n'ont pas besoin de "droits d'accès pharaoniques", d'ailleurs ils peuvent très bien tourner sur un conteneur flatpak avec le minimum de droits (en particulier, pas besoin de réseau). Ils sont d'ailleurs prévus pour tourner sur une machine complètement différente de tes machines de travail, et là on arrive à ta dernière question :
En effet disposer de don authentificateur 2FA sur la machine principale défie en quelques sortes le but du 2FA. Cependant cela peut s'avérer salvateur quand même, à savoir que si tes identifiants fuitent dans la nature, un attaquant n'ayant pas accès à ta machine (ou à ta base de donnée 2FA) ne peut quand même pas les exploiter.
Un gentil du net
[^] # Re: C'est standard
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 2 (+0/-0).
C'est bien ça qui m'intrigue : ne lui suffit-il pas d'installer le même (type de) logiciel sur sa machine ?
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: C'est standard
Posté par raspbeguy (site web personnel, Mastodon) . Évalué à 4 (+3/-0).
Ton agent 2FA n'as pas accès à ton mot de passe. Ce que je voulais dire dans mon premier message (qui manque sans doute de clarté) c'est que t'as pas besoin de cette extension Firefox, tu peux très bien utiliser autre chose qui n'est pas du tout intégré à ton navigateur.
Un gentil du net
[^] # Re: C'est standard
Posté par dr191 . Évalué à 2 (+1/-0).
C'est vrai, c'est standart, mais je trouve que pour un outil de sécurité on ne devrait pas avoir à chercher dans un magasin d'application:
Celui ci nous donne une liste d'application au nom ou logo qui se ressemblent. C'est assez facile de se tromper.
Un "code d'identification" serait une bonne pratique pour installer la bonne appli. Le service informatique, ma banque m'indique sur son site web "installer xx authentificateur N° 123 456"
Et avant d'appuyer sur installer, on peut vérifier que le N° est identique.
[^] # Re: C'est standard
Posté par tkr . Évalué à 2 (+1/-0).
il me semble qu'ici l'auteur initial cherche une solution sur ordinateur, et si vous avez de quoi gérer la 2FA par ordi sans aucune émulation/usage de code android/AOSP, cela m'intéresse également.
zéro appli et tout dans firefox, mon mantra depuis 2024. Android/AOSP plus jamais pour moi.
[^] # Re: C'est standard
Posté par raspbeguy (site web personnel, Mastodon) . Évalué à 4 (+3/-0).
https://apps.gnome.org/fr/Authenticator/
C'était suggéré dans mon premier message.
Un gentil du net
[^] # Re: C'est standard
Posté par Christophe . Évalué à 4 (+2/-0).
Il y a des générateurs de tokens TOTP dans les extensions Firefox, entre autres.
Certains gestionnaires de mots de passe l'intègre aussi (Bitwarden par exemple). Bon ensuite on stocke tout au même endroit ce qui n'est pas génial, mais voilà ça existe.
[^] # Re: C'est standard
Posté par gUI (Mastodon) . Évalué à 4 (+1/-0).
Ça dépend de quoi tu veux te protéger (précepte à toute discussion sur la sécurité). Si c'est du brute force sur les mots de passe ou de la fuite des mots de passe d'un autre serveur, si, c'est génial.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: C'est standard
Posté par eingrossfilou . Évalué à 2 (+1/-0).
KeepassXC permet de gérer le TOTP pour la double auth sur ordinateur.
https://www.it-connect.fr/mfa-comment-configurer-le-totp-dans-keepassxc/
Il y en a d'autre comme celui de google.
# Sécurité
Posté par Matthieu Moy (site web personnel) . Évalué à 10 (+8/-0).
Si tu travailles sur des projets secret-défense, effectivement oublie le 2FA avec un soft installé sur la même machine que celle que tu utilises pour te connecter. Si tu as affaire à un vrai attaquant qui a obtenu un accès à ta machine et qui cherche à s'en servir comme rebond pour accéder aux services/données de ton université, il le fera aussi bien avec que sans 2FA.
Mais pour le commun des mortels, typiquement le personnel standard d'une université, le risque numéro 1, c'est le phishing. N'importe qui peut recopier la page web d'authentification de ton université, t'envoyer un mail disant « cliquez ici et donnez-moi votre mot de passe » et attendre pour récolter les mots de passes. La première chose c'est de faire de la sensibilisation, je vois de plus en plus passer de campagne de faux phishing organisées par les DSI, c'est bien, mais on a quand même environ 20% de gens qui balancent leur mot de passe sans discuter (je parle de labos de recherches où tout le monde est bac+5 à bac+8, hein, pas de la mamie ou du papy du Cantal). Sur une université avec >1000 salariés, c'est quand même 200 mots de passes donc potentiellement 200 comptes compromis par un attaquant qui sait juste bricoler un site web et faire de l'envoi de mail en masse.
Le 2FA même avec un deuxième facteur pas hyper solide est quand même une parade assez efficace contre le phishing. L'attaquant ne peut pas faire grand chose du mot de passe récupéré facilement, maintenant il faut qu'il récupère le secret TOTP stocké sur ta machine, et son script à envoyer des mails ne lui servira à rien pour ça.
Si tu veux une meilleure sécurité que ça, installe une appli TOTP sur une autre machine que celle que tu utilises pour te connecter, c'est assez facile, mais aussi contraignant (typiquement si tu perds l'accès à l'autre machine, genre que ton smartphone n'a plus de batterie, tu perds l'accès, c'est le principe du 2FA).
[^] # Re: Sécurité
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à -1 (+0/-3).
Quel secret TOTP ? Toute la question est là.
Puisque le serveur de l'université acceptera la connexion de n'importe quelle machine qui a installé l'application téléchargée sur le web, et s'identifie avec le bon couple identifiant mot de passe, je comprends mal où et comment sont générés un secret supplémentaire commun. Sans doute une étape dans le protocole que je manque ?
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: Sécurité
Posté par Matthieu Moy (site web personnel) . Évalué à 10 (+8/-0).
Il ne suffit pas d'avoir authenticator (ou n'importe quelle autre appli TOTP), l'appli stocke un token secret qui ne sort jamais de ta machine. Quand tu configures l'appli, en général tu scannes un QR code fourni par ton université qui transmet le secret de l'université vers l'appli. Ensuite en gros le deuxième facteur c'est un hash de
(date arrondie à quelques secondes près, token secret), que tu ne peux fournir qu'en connaissant le secret et qui n'est valable que quelques secondes.[^] # Re: Sécurité
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 3 (+1/-0).
OK. Merci. C'est l'étape récupération unique du TOTP qui me manquait.
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
# Question à ton service informatique
Posté par Walter . Évalué à 4 (+3/-0).
Fais tu les mêmes vérifications pour tous les logiciels, module complémentaire que tu installes sur ta machine ? Et pour le matériel, le fais-tu aussi ?
Le fait d'utiliser la version sur internet permet une simplification de la gestion des mises à jour sans utiliser d'ETP de l'université.
As-tu simplement posé la question à ton service informatique ? Les as-tu écoutés ? Les as-tu crus ? As-tu assisté aux réunions expliquant pourquoi ils mettaient en place un deuxième facteur d'authentification ?
J'ai travaillé dans une université, la relation avec les chercheurs est, au mieux, compliqué voir conflictuel. Au grand jamais, on ne mettait en place une solution de ce type, pour ce type de population, sans expliquer en large et en travers ce qui allait se passer. Après force est de constater, que personne ne venait aux réunions d'informations ou ne lisait les courriels. Par contre, essayer de nous prendre en défaut, là, il y avait du monde.
Pour ta question, un peu de recherche sur internet, tu aurais pu comprendre ce qu'est un double facteur de type TOTP (j'ai fait une recherche du terme TOTP sur duckduckgo) :
https://fr.wikipedia.org/wiki/Mot_de_passe_%C3%A0_usage_unique_bas%C3%A9_sur_le_temps
Tu aurais pu voir que l'application utilise un algorithme connu et référencé dans une RFC, tu aurais pu avoir une liste d'alternative à leur proposition.
Personnellement, j'utilise FreeOTP+ sur mon téléphone et KeepassXC sur mes ordinateurs.
Mais si tu n'utilises pas l'application qu'ils conseillent, tu es autonome sur la résolution de problème, les sauvegardes et tu n'iras pas les embêter avec ta solution personnelle ?
J'ai même réussi à trouver le code de l'extension Firefox : https://github.com/Authenticator-Extension/Authenticator
Sur la page de l'extension Firefox, il y a le terme "open source", qui est un lien qui mène vers la page github de l'extension où se trouve le code source.
Je ne sais pas si c'est ton cas, mais les chercheurs se mettaient en opposition de principe au lieu d'expliquer ce qui ne leur plait pas, de poser des questions et de comprendre les problématiques de sécurités informatiques modernes.
J'ai l'impression que tu es venu sur ce site pour obtenir des munitions pour pouvoir t'opposer à ton service informatique, mais je suis peut-être paranoïaque, voire complotiste.
J'ai quelques anecdotes d'enseignant chercheur sur la sécurité informatique ou l'informatique en général.
Désoler pour le pavé, mais a priori, j'ai besoin d'extérioriser. Tu as le point de vue de quelqu'un qui été dans le camp adverse, si on peut parler de camps.
[^] # Re: Question à ton service informatique
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 6 (+4/-0).
Je compile moi-même tout les logiciels que j'installe sur ma machine de travail. D'où le fait d'être gêné par une démarche qui ressemble à : « télécharge n'importe quoi comme un windowsien, tu cliques, et ça marche ; et surtout ne pose pas de questions. »
Évidemment, il reste tous les firmwares du matériel. Mais là, je ne connais pas de solution. Et pour le matériel lui-même, mon université ne m'en a jamais fourni. Donc la question ne se pose pas.
En l'occurrence, et pour des raisons que j'ignore le magasin d'extension de Firefox proposait des tas de clients authenticator xxx ou autre xxx authenticator mais rien que je puisse clairement identifier aux captures d'écrans, faute d'informations vérifiables comme un hash, présentées sur la page idoine du service informatique.
Pour la petite histoire, je n'ai aucun principe contre ce système. En pratique il ne peut pas me servir puisqu'il repose sur un secret partagé sous forme de QRCode (je n'ai pas de smartphone, mais je sais bien que je pourrais me débrouiller sans), pour des gens qui vont accepter de mettre comme pierre angulaire de la sécurité informatique de leur compte professionnel une boîte de messagerie privée (gmail, outlook, etc). Ça ça me pique déjà beaucoup plus. Pas pour la sécurité, mais plutôt pour le principe (un point pour vous), je préférerais faire confiance à mon employeur qu'à un espion, désormais à la solde de D. Trump. Du coup je n'ai pas poussé plus loin la problématique et renoncé à utiliser ces machines virtuelles sous vmware, usage que je réprouve de toute façon (encore un point pour vous). Oui, je sais, je suis bourré de principes débiles en informatique… Passons, je n'ai de toutes façons pas besoin d'authentification(ni simple ni double) si on ne me propose pas de
sshd'outil dont je pourrais avoir besoin.Revenons à la petite anecdote, parce que vous avez parfaitement deviné, et ce sera l'occasion de vous dépeindre l'autre côté du miroir, celui bien moins brillant : c'est bien en opposition au service informatique que s'inscrit ma démarche.
Il y a quelques années, ces braves gens ont découvert que nos salles de TP utilisaient des ordinateurs. En fait, un mini réseau de terminaux connectés à un serveur LTSP (pour Linux Terminal Serveur Project) — le tout récupéré dans des bennes à déchets, pour pas un rond. Très pratique : pas besoin d'identifiants, l'étudiant prend n'importe quel poste, lance le logiciel d'analyse des données, les saisies, les traites, imprime… Nos TP ne sont pas d'informatique, mais de physique, et nous n'avons absolument pas besoin de postes informatiques, tout juste de grosses calculatrices.
Ces braves gens nous ont imposé, bien malgré nous et sans jamais entendre ces besoins, leurs se~~r~~vices : des postes informatiques complets connectés au réseau de l'université. Il a fallu installer tout un câblage pour connecter les salles, refaire l’électricité, acheter des postes. Ça tombe bien, eux ont visiblement les crédits illimités.
Résultats des années de dysfonctionnements des TP. Entre autre parce que le bâtiment où ils se trouvent est mal, paraît-il, connecté aux serveurs centraux, ça gênerait l'AD paraît-il. Mais aussi parce qu'il a fallu quelques années pour qu'ils trouvent comment permettre l'impression en salle de TP sans trop de difficultés et de circonvolutions. Bilan : même quand tout va au mieux, c'est déjà beaucoup moins bien que ce que nous avions au préalable.
Et c'est seulement là que commence la péripétie qui me fait m'intéresser à ces TOTP : voici quelques jours on nous écrit à peu près en ces termes « Ubuntu 24.04 ne comporte pas de package pour SciDavis. Merci de trouver un autre logiciel pour vos TP. » Ça tombe mal, nous avions déjà essayé à peu près tout ce que référence Wikipedia en la matière, et rien d'autre ne convient.
Je propose donc de faire moi-même le paquet pour SciDavis. On me répond qu'il n'est pas compatible avec le Python 3.12 d'Ubuntu 24.04. J'ai un peu de mal à le croire — vous n'ignorez pas comme les scientifiques ont la tête dure, mais peut-être aussi parce que sur mon poste de travail le même logiciel tourne sans problème avec cette version de Python. D'où une tentative de tester ce qu'il en est sur Ubuntu 24.04. Plutôt que de l'installer, je me tourne vers les VM de l'université, et voilà d'où vient ma petit question.
Notons au passage, que ma proposition de fournir le paquet est restée lettre morte. Ces braves gens nous ont proposé de rester en Ubuntu 22.04 ce que nous avons accepté avec plaisir. Acceptation restée lettre morte également puisqu'on nous a alors informé que les postes passeraient sous windos pour régler le problème :-( Toujours ma tête dure, et mes principes débiles, je trouve inacceptable d'enseigner dans le public avec les logiciels propriétaires quand tout est disponible en libre.) Et c'est là que je me lance dans la production du paquet de SciDavis. Comme mon PC a presque vingt ans, la compilation est toujours en cours. Mais je suis assez certain du résultat. La suite Lundi.
Comme vous le concluez si bien, on a vraiment l'impression d'être perçu par ces gens-là comme des ennemis à abattre. Je suis curieux de votre analyse de ma petite relation.
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.