Forum général.hors-sujets Authentification à deux facteurs ! Vraiment ?

Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) le 06 février 2025 à 08:38. Licence CC By‑SA.

Étiquettes : aucune

fév.

2025

Depuis quelques temps l'université qui m'emploie demande d'utiliser une authentification à deux facteurs pour se connecter à un service tristement fameux de bureau distant.
En pratique il convient de télécharger sur internet (et non auprès des services informatiques) une application identifiée uniquement par son nom « authenticator, » l'installée sur sa machine ou son navigateur en lui laissant probablement des droits d'accès pharaoniques, et se connecter en utilisant son couple identifiant/mot de passe usuel auquel s'ajoutera un code généré par l'application.

Cela me semble soulever deux questions :
— L'application est-elle sûre ? Comment lui faire confiance ? Pas de code source disponible, pas de chaîne d'approvisionnement de confiance. J'ai un peu du mal à imaginer installer ça sur une machine de travail.
— En quoi disposer d'une application quelconque sur l'ordinateur qui se connecte serait-il un facteur de sécurité ajouté ?

Si une âme charitable peut m'expliquer ?

# C'est standard

Posté par raspbeguy (site web personnel, Mastodon) le 06 février 2025 à 08:52. Évalué à 3 (+2/-0).

Les protocoles utilisés par ce genre d'authentificateur sont ultra répandus et standards. Il en existe plein de libres, par exemple Aegis sur Android ou gnome-authenticator sur linux. Il faut bien comprendre que les codes générés n'ont aucune valeur sans tes identifiants classiques.

Ils n'ont pas besoin de "droits d'accès pharaoniques", d'ailleurs ils peuvent très bien tourner sur un conteneur flatpak avec le minimum de droits (en particulier, pas besoin de réseau). Ils sont d'ailleurs prévus pour tourner sur une machine complètement différente de tes machines de travail, et là on arrive à ta dernière question :

En effet disposer de don authentificateur 2FA sur la machine principale défie en quelques sortes le but du 2FA. Cependant cela peut s'avérer salvateur quand même, à savoir que si tes identifiants fuitent dans la nature, un attaquant n'ayant pas accès à ta machine (ou à ta base de donnée 2FA) ne peut quand même pas les exploiter.

Un gentil du net

Répondre
- [^] # Re: C'est standard
  
  Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) le 06 février 2025 à 09:49. Évalué à 2 (+0/-0).
  
  « [s]i tes identifiants fuitent dans la nature, un attaquant n'ayant pas accès à ta machine (ou à ta base de donnée 2FA) ne peut quand même pas les exploiter. »
  
  C'est bien ça qui m'intrigue : ne lui suffit-il pas d'installer le même (type de) logiciel sur sa machine ?
  
  « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
  
  Répondre
  - [^] # Re: C'est standard
    
    Posté par raspbeguy (site web personnel, Mastodon) le 06 février 2025 à 10:20. Évalué à 2 (+1/-0).
    
    Ton agent 2FA n'as pas accès à ton mot de passe. Ce que je voulais dire dans mon premier message (qui manque sans doute de clarté) c'est que t'as pas besoin de cette extension Firefox, tu peux très bien utiliser autre chose qui n'est pas du tout intégré à ton navigateur.
    
    Un gentil du net
    
    Répondre
- [^] # Re: C'est standard
  
  Posté par dr191 le 06 février 2025 à 11:22. Évalué à 1 (+0/-0).
  
  C'est vrai, c'est standart, mais je trouve que pour un outil de sécurité on ne devrait pas avoir à chercher dans un magasin d'application:
  Celui ci nous donne une liste d'application au nom ou logo qui se ressemblent. C'est assez facile de se tromper.
  
  Un "code d'identification" serait une bonne pratique pour installer la bonne appli. Le service informatique, ma banque m'indique sur son site web "installer xx authentificateur N° 123 456"
  Et avant d'appuyer sur installer, on peut vérifier que le N° est identique.
  
  Répondre
# Sécurité

Posté par Matthieu Moy (site web personnel) le 06 février 2025 à 09:48. Évalué à 4 (+2/-0).

Si tu travailles sur des projets secret-défense, effectivement oublie le 2FA avec un soft installé sur la même machine que celle que tu utilises pour te connecter. Si tu as affaire à un vrai attaquant qui a obtenu un accès à ta machine et qui cherche à s'en servir comme rebond pour accéder aux services/données de ton université, il le fera aussi bien avec que sans 2FA.

Mais pour le commun des mortels, typiquement le personnel standard d'une université, le risque numéro 1, c'est le phishing. N'importe qui peut recopier la page web d'authentification de ton université, t'envoyer un mail disant « cliquez ici et donnez-moi votre mot de passe » et attendre pour récolter les mots de passes. La première chose c'est de faire de la sensibilisation, je vois de plus en plus passer de campagne de faux phishing organisées par les DSI, c'est bien, mais on a quand même environ 20% de gens qui balancent leur mot de passe sans discuter (je parle de labos de recherches où tout le monde est bac+5 à bac+8, hein, pas de la mamie ou du papy du Cantal). Sur une université avec >1000 salariés, c'est quand même 200 mots de passes donc potentiellement 200 comptes compromis par un attaquant qui sait juste bricoler un site web et faire de l'envoi de mail en masse.

Le 2FA même avec un deuxième facteur pas hyper solide est quand même une parade assez efficace contre le phishing. L'attaquant ne peut pas faire grand chose du mot de passe récupéré facilement, maintenant il faut qu'il récupère le secret TOTP stocké sur ta machine, et son script à envoyer des mails ne lui servira à rien pour ça.

Si tu veux une meilleure sécurité que ça, installe une appli TOTP sur une autre machine que celle que tu utilises pour te connecter, c'est assez facile, mais aussi contraignant (typiquement si tu perds l'accès à l'autre machine, genre que ton smartphone n'a plus de batterie, tu perds l'accès, c'est le principe du 2FA).

Répondre
- [^] # Re: Sécurité
  
  Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) le 06 février 2025 à 09:59. Évalué à 2 (+0/-0).
  
  Quel secret TOTP ? Toute la question est là.
  
  Puisque le serveur de l'université acceptera la connexion de n'importe quelle machine qui a installé l'application téléchargée sur le web, et s'identifie avec le bon couple identifiant mot de passe, je comprends mal où et comment sont générés un secret supplémentaire commun. Sans doute une étape dans le protocole que je manque ?
  
  « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
  
  Répondre
  - [^] # Re: Sécurité
    
    Posté par Matthieu Moy (site web personnel) le 06 février 2025 à 10:17. Évalué à 3 (+1/-0).
    
    Il ne suffit pas d'avoir authenticator (ou n'importe quelle autre appli TOTP), l'appli stocke un token secret qui ne sort jamais de ta machine. Quand tu configures l'appli, en général tu scannes un QR code fourni par ton université qui transmet le secret de l'université vers l'appli. Ensuite en gros le deuxième facteur c'est un hash de (date arrondie à quelques secondes près, token secret), que tu ne peux fournir qu'en connaissant le secret et qui n'est valable que quelques secondes.
    
    Répondre
    - [^] # Re: Sécurité
      
      Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) le 06 février 2025 à 10:28. Évalué à 2 (+0/-0).
      
      OK. Merci. C'est l'étape récupération unique du TOTP qui me manquait.
      
      « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
      
      Répondre

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.