dimanche 3 avril 2011

Quand Google se met à l’authentification forte…

Vous connaissez certainement tous ce qu’est l’authentification forte. Vous savez, c’est la possibilité de s’authentifier avec soit ce que l’on est (en utilisant la biométrie), soit ce que l’on possède (un token ou un téléphone), et tout cela en plus de ce que l’on sait (généralement un mot de passe statique).


Bref rappel sur l'authentification forte et le One Time Password


L’authentification forte peut être permise par le One Time Password (aussi appelé OTP). Ce mot de passe dynamique généré soit par un token ou une application sur un téléphone mobile, sert à authentifier l’utilisateur. Comment me direz-vous? Et en quoi est-ce une authentification forte?


L’OTP doit être généré (avec ce que l’utilisateur possède i.e. un token ou un téléphone) puis l’OTP doit être saisi par l’utilisateur, soit en complément d’un mot de passe statique (ce que l’on sait), soit en utilisant un mot de passe (souvent appelé PIN) pour autoriser la génération de l’OTP par le token ou le téléphone (ce que l’on sait). Voici par exemple l’image d’un token OTP Gemalto qui peut être utilisé en complément d’un mot de passe statique (ce token là ne dispose pas de clavier permettant de saisir un PIN pour autoriser la génération d’un OTP, mais Gemalto propose toute une gamme de produits complémentaires permettant une authentification forte dont une application Mobile OTP):


easyotpv3



Il existe un standard définissant (entre autres choses) l’algorithme de génération des OTPs. Cette norme s”appelle OATH. Et Google est compatible OATH.


Google et l'authentification forte


Vous faites certainement partie des nombreux utilisateurs des applications Google: Gmail, Picasa, Blogger, Adwords et j’en passe. Jusqu’à ce jour l’authentification permettant d’accéder aux applications Google était basée sur un unique mot de passe statique. Il n’est bien sûr pas nécessaire de rappeler à quel point les mots de passe statiques représentent une faible sécurité. Pour pallier ce problème, Google vient de sortir son Google Authenticator qui permet de transformer l’authentification Google en authentification forte.


Comment configurer Google Authenticator pour sécuriser son compte Google?


La première étape consiste à activer l’authentification forte (aussi appelée authentification 2 facteurs) sur votre compte Google. Pour cela authentifiez-vous comme d’habitude sur votre compte Gmail, séléctionner “Settings”, puis l’onglet “Accounts and import” et cliquer sur “Using 2 steps verification


ScreenShot113



Vous devez ensuite choisir le type de votre téléphone (l’iPhone dans notre exemple).


Puis il est nécessaire de télécharger l’application Google qui correspond à votre téléphone mobile. Sur l’AppStore d’Apple on retrouve facilement l’application.


Une fois l’application installée, il est nécessaire de la configurer. Pour cela il suffit de suivre les instructions très claires fournies par Google (Google vous permet d’utiliser un “code-barres 2D appelé également QR Code” pour vous éviter d’avoir à saisir vos identifiants de compte! Très bien vu!). Vous devez, entre autres choses, récupérer des OTPs qui vous permettront de vous authentifier dans le cas où vous perdez votre téléphone (c’est ballot mais indispensable!), puis fournir un autre numéro de téléphone pour les cas extrêmes (non seulement vous avez perdu votre téléphone mais également vos OTPs de secours; il y a des jours comme cela!).


ScreenShot116



Vous pouvez, bien entendu, configurer plusieurs comptes Google sur votre application mobile Google Authenticator.


Il faut cependant noter que lorsque vous activez l’authentification forte Google (qui ne fonctionne que pour les applications “web”), vous devez définir un nouveau mot de passe statique (généré automatiquement par Google) pour vous permettre de continuer à accéder à, par exemple, votre compte Gmail que vous utilisez dans Outlook, ou bien à votre application Picasa installée sur votre ordinateur personnel.


Et pour finir regardons de plus près la phase d’authentification! C’est très simple, vous entrez vos identifiants habituels (adresse email et mot de passe), puis vous saisissez le code OTP qui apparaît sur votre application mobile. On peut noter que l’OTP est valide pendant une minute seulement (voir le petit cadran sur votre application mobile) et que lorsque l’OTP devient rouge cela signifie qu’il est préférable de ne pas l’utiliser car il est sur le point de changer).


image



Lorsque vous vous authentifiez vous avez la possibilité de dire que vous ne souhaitez pas réutiliser l’authentification forte pendant les 30 prochains jours. Si vous cochez la case correspondante, l’OTP ne vous sera pas demandé pendant 30 jours.


Certains sont critiques par rapport à cette fonctionnalité. Moi je la trouve plutôt intéressante et je m’explique. Soit je suis sur un PC de confiance et je ne vois pas la nécessité (voir contrainte) de réaliser une authentification forte en moyenne 2 fois par jour pour lire mes mails, soit je ne suis pas sur un PC de confiance et il est alors obligatoire d’effectuer une authentification forte.


Bienvenue dans le monde de l’OTP!

4 commentaires:

  1. Bonjour
    j'aimerai savoir si le telephone portable doit etre connecté a l'internet pour genéré le OTP qui devras etre validé sur le site web google ?

    RépondreSupprimer
    Réponses
    1. Bonsoir Azyz405,
      La connexion à internet n'est pas nécessaire pour générer l'OTP (une connexion à internet est uniquement nécessaire pendant la phase d'activation de l'application mobile).
      Philippe

      Supprimer
  2. bonjour je suis bloqué a fond sur mon wordpress je n ai plus le telpehone avec l appli google et et wordpress me demande le code je suis dans la mierda aidez moi impossible de recuperer mon blo

    RépondreSupprimer
    Réponses
    1. Bonjour,
      Lorsque vous avez activé l'option "authentification avec un OTP", Google vous a proposé des OTPs à utiliser en cas de problème. Les avez-vous gardés?
      Philippe

      Supprimer

Partager avec...