L’authentification à deux facteurs c’est quoi ?
Si vous avez activé l’authentification à deux facteurs (2FA) sur votre compte du cloud, la séquence d’authentification sera la suivante :
- Vous entrez votre identifiant et votre mot de passe
- Si le mot de passe est reconnu, le cloud vous demande d’entrer un nombre à 6 chiffres
- Pour connaître ce nombre, suivant ce que vous avez configuré (voir ci-dessous) vous pouvez :
- Consulter votre boîte mail.
- Utiliser une application spécialisée distincte de votre navigateur, et de préférence sur un autre appareil (votre téléphone par exemple).
- Vous entrez le nombre affiché
- Vous êtes connecté !
Pourquoi se compliquer la vie ?
Cette procédure est plus longue et plus complexe que d’entrer un simple mot de passe, mais elle apporte de la sécurité : il est possible que votre mot de passe soit connu des "méchants pirates". Quelques scénarios pas si invraisemblables que ça :
- Vous utilisez les mêmes identifiants sur tous les services en ligne que vous utilisez, et l’un d’eux a été piraté. Votre mot de passe est connu, et sans doute revendu sur le dark web.
- Votre mot de passe est trop simpliste (le nom de votre chat, par exemple)
- Vous stockez le mot de passe dans votre navigateur, et celui-ci a été compromis par l’intermédiaire d’un plugin un peu chelou
- ....
Dans tous ces cas, le fait d’utiliser le 2FA ajoute un obstacle sur la voie des pirates. Les deux facteurs peuvent être :
- Deux applications sur le même appareil (le navigateur et le lecteur de mail par exemple)
- Deux applications sur deux appareils différents (le navigateur de l’ordinateur et une application spécialisée sur votre ordiphone, par exemple).
ATTENTION :
- Les cas évoqués ci-dessus sont le résultat d’une mauvaise pratique en matière de mots de passe. Si vous mettez en place la double authentification, vous améliorez la situation, mais cela ne vous dispense pas d’adopter de bonnes pratiques : mots de passe robustes, etc.
- Il vaut mieux utiliser deux appareils différents pour les deux facteurs : en effet si votre ordinateur a été piraté peut-être que les deux applications, navigateur et lecteur de mail, sont aux mains des pirates et dans ce cas le 2FA n’apporte pas grand-chose. Par contre on peut espérer que votre téléphone ne sera pas piraté au même moment que votre ordinateur.
Le TOTP
TOTP signifie "Time based One time password", ce qui peut se traduire par "mot de passe à usage unique calculé à partir de la date et de l’heure". Une application distincte de votre navigateur, qui va tourner sur un appareil que vous maîtrisez (ordinateur, téléphone), de préférence lui-même distinct de l’appareil que vous utilisez pour travailler sur le cloud, va calculer un nombre de 6 chiffres (le mot de passe à usage unique), en utilisant :
- La date et l’heure
- Un "code secret" généré par le cloud
- Un algorithme de cryptographie, utilisé aussi bien par votre application que par le cloud (généralement
sha1
)
Le principe est donc très simple : votre second appareil calcule le mot de passe à usage unique (le nombre de 6 chiffres) en utilisant les données ci-dessus, et le cloud fait la même chose, en utilisant les mêmes données (car il connaît le code secret, et grâce à internet tout le monde a la même heure, à la fraction de seconde près). Vous communiquez au cloud le mot de passe calculé : si le résultat des deux calculs est le même, l’authentification est validée.
Mise en place
Pour mettre en place le 2FA sur le cloud, vous devez :
- Vous connecter sur le cloud avec vos identifiants habituels
- Cliquer sur votre avatar, en haut à droite de l’écran, puis "Voir le profil"
- Cliquer sur "Modifier le profil"
- Dans la partie gauche de l’écran, cliquer sur "sécurité"
- Vous pouvez alors activer l’authentification à deux facteurs par email (simple mais pas très sûr) ou par TOTP (meilleur du point de vue de la sécurité).
- Si vous avez activé le TOTP, NextCloud vous propose un code secret et un QR-Code : celui-ci contient le code secret. Si vous utilisez une application 2FA sur votre téléphone portable, elle vous proposera sans doute d’utiliser ce QR-Code plutôt que de taper le code secret... flemme quand tu nous tiens.
- Votre application vous proposera alors un code à 6 Chiffres, vous devez le recopier dans le champ du bas afin de valider définitivement le 2FA.
- NextCloud vous propose ensuite de générer 10 codes de récupération (voire le bouton, copie d’écran ci-dessous). Ces codes sont autant de mots de passe à usage unique, que vous pouvez utiliser en cas de besoin (voir ci-dessous). Pensez à les générer dès que vous activez le 2FA et à les conserver en lieu sûr !
__
Quels outils de 2FA utiliser ?
Nous avons testé avec succès les outils libres suivants (en gras les versions testées, si vous testez d’autres applications ou d’autres versions, dites-le nous !)
- 2FAS Auth (Android + ios)
- Aegis (Android )
- FreeOTP (Android + ios)
- FreeOTP+ (Android )
- KeepassXC (Android + ios + gnu/linux + win + mac Os)
Il existe aussi des applications propriétaires, vous pouvez les utiliser mais nous ne le conseillons évidemment pas. Utiliser des applications dont on ne maîtrise pas le code pour assurer sa sécurité constitue un paradoxe, voire une dissonance cognitive.
Note : L’algorithme utilisé par NextCloud, à savoir sha1
, est considéré comme peu sûr, car il a été "cassé" récemment. Du coup, FreeOTP
vous affichera un message alarmiste sur cet algorithme, les autres applications testées à ce jour ne font pas de commentaire. Et de fait dans le contexte du 2FA, sha1 n’apporte pas de vulnérabilité significative. Pour les curieux, ce forum apporte quelques précisions sur la question (en anglais) : https://github.com/nextcloud/twofactor_totp/issues/26
Au secours j’ai perdu mon portable
... et je ne peux donc plus me connecter au cloud !
Pas de panique : adressez-vous à l’administrateur de cloud de votre association, celui-ci ou celle-ci pourra vous fournir un code à usage unique valable 48 heures (il faudra que l’admin s’adresse à nous pour cela !). Pas la peine de s’adresser directement au Pic, nous n’accepterons la demande qu’à la condition qu’elle provienne de l’admin, que nous connaissons (ce serait trop simple de prendre le contrôle de votre compte...).
Sauf que : comme vous avez pris vos précautions vous pourrez vous en sortir par vous-même :
- Les applications 2FA vous proposent de sauvegarder vos codes secrets, n’oubliez pas de le faire de temps en temps, sur un support distinct de votre téléphone ou de votre ordinateur. Vous pourrez ainsi redémarrer sur un nouveau téléphone.
- Lors de l’activation du 2FA vous avez bien entendu généré et gardé en lieu sûr vos 10 codes de récupération : c’est le moment de vous en servir ! Du coup vous pouvez perdre 10 fois votre portable (et même bien plus car vous pouvez à tout moment régénérer de nouveaux codes).
Mes partages Dav ou CalDAV ne fonctionnent plus !
Dav = Accès à vos fichiers depuis votre bureau, CalDAV = Accès à votre calendrier à partir de thunderbird ou autre application compatible CalDAV.
Maintenant que vous avez activé le 2FA, vous n’accédez plus à votre calendrier à partir de thunderbird, ou à vos fichiers à partir de Nextcloud Desktop : c’est normal, ces applications ne peuvent utiliser le 2FA. Pour vous en sortir, retour sur l’écran Sécurité, en bas de l’écran vous avez maintenant les champs suivants :
Mettez un nom quelconque (qui vous permettra de vous y retrouver) dans le champ Nom de l’application et validez : Nextcloud vous proposera un mot de passe bien robuste que vous pourrez donner à votre application. Nous vous conseillons de générer un mot de passe par application, cela vous apportera de la souplesse (possibilité de supprimer une appli avec son mot de passe, sans perturber les autres) et de la sécurité (si une application est compromise et que le mot de passe est divulgué, le problème ne s’étendra pas aux autres applications).
Forcer la double authentification pour un groupe d’utilisateurs
Ce qui précède décrit la situation du point de vue de chaque utilisateur : chacun peut activer la double authentification, ou pas.
Mais on peut aller plus loin : Il est ainsi possible d’imposer à un groupe d’utilisateurs de configurer l’authentification à deux facteurs. Une association peut alors décider que tous ses adhérents devront utiliser le 2FA. Ou tous les membres d’un sous-groupe de l’asso...
Pour cela il faut se rapprocher du pic, car les administrateurs d’associations ne peuvent pas le faire eux-mêmes. Mais avant tout, réfléchissez : le jeu en vaut-il la chandelle ?
Si votre association a peu d’adhérents, s’ils sont rompus à l’usage du numérique, et si l’association manipule des données sensibles (par exemple des données personnelles), c’est une bonne idée. Mais si vos adhérents sont peu avertis et que vos données sont complètement anodines, pourquoi chercher les ennuis ? Tous les cas intermédiaires existent certainement.