Authentification à deux facteurs sur paheko

L’authentification à deux facteurs c’est quoi ?

Si vous avez activé l’authentification à deux facteurs (2FA) sur votre compte paheko, la séquence d’authentification sera la suivante :

1. Vous entrez votre identifiant et votre mot de passe
2. Si le mot de passe est reconnu, paheko vous demande d’entrer un nombre à 6 chiffres
3. Pour connaître ce nombre, suivant ce que vous avez configuré (voir ci-dessous) vous pouvez : utiliser une application spécialisée distincte de votre navigateur, et de préférence - mais pas obligatoirement, sur un autre appareil (votre téléphone par exemple).
4. Vous entrez le nombre affiché
5. Vous êtes connecté !

Pourquoi se compliquer la vie ?

Cette procédure est plus longue et plus complexe que d’entrer un simple mot de passe, mais elle apporte de la sécurité : il est possible que votre mot de passe soit connu des "méchants pirates". Quelques scénarios pas si invraisemblables que ça :

• Vous utilisez les mêmes identifiants sur tous les services en ligne que vous utilisez, et l’un d’eux a été piraté. Votre mot de passe est connu, et sans doute revendu sur le dark web.
• Votre mot de passe est trop simpliste (le nom de votre chat, par exemple)
• Vous stockez le mot de passe dans votre navigateur, et celui-ci a été compromis par l’intermédiaire d’un plugin un peu chelou
• ....

Dans tous ces cas, le fait d’utiliser le 2FA ajoute un obstacle sur la voie des pirates. Les deux facteurs peuvent être :

• Deux applications sur le même appareil
• Deux applications sur deux appareils différents (le navigateur de l’ordinateur et une application spécialisée sur votre ordiphone, par exemple).
  ATTENTION :
• Les cas évoqués ci-dessus sont le résultat d’une mauvaise pratique en matière de mots de passe. Si vous mettez en place la double authentification, vous améliorez la situation, mais cela ne vous dispense pas d’adopter les bonnes pratiques : mots de passe robustes, etc.
• Il vaut mieux utiliser deux appareils différents pour les deux facteurs : en effet si votre ordinateur a été piraté peut-être que les deux applications, navigateur et lecteur de mail, sont aux mains des pirates et dans ce cas le 2FA n’apporte pas grand-chose. Par contre on peut espérer que votre téléphone ne sera pas piraté au même moment que votre ordinateur.

Le TOTP

TOTP signifie "Time based One time password", ce qui peut se traduire par "mot de passe à usage unique calculé à partir de la date et de l’heure". Une application distincte de votre navigateur, qui va tourner sur un appareil que vous maîtrisez (ordinateur, téléphone), de préférence lui-même distinct de l’appareil que vous utilisez pour travailler sur paheko, va calculer un nombre de 6 chiffres (le mot de passe à usage unique), en utilisant :

• La date et l’heure
• Un "code secret" généré par paheko
• Un algorithme de cryptographie, utilisé aussi bien par votre application que par paheko (généralement sha1)

Le principe est donc très simple : votre second appareil calcule le mot de passe à usage unique (le nombre de 6 chiffres) en utilisant les données ci-dessus, et paheko fait la même chose, en utilisant les mêmes données (car il connaît le code secret, et grâce à internet tout le monde a la même heure, à la fraction de seconde près). Vous communiquez à paheko le mot de passe calculé : si le résultat des deux calculs est le même, l’authentification est validée.

Mise en place

Pour mettre en place le 2FA sur paheko, vous devez :

1. Vous connecter sur paheko avec vos identifiants habituels
2. A partir de la page d’accueil, cliquez sur :
   • Mes informations personnelles
     _

     

   • Puis sur Mot de passe et options de sécurité
     _

     

3. Cliquer alors sur le bouton Activer
   

   

4. paheko vous affiche la clé secrète, que vous pouvez recopier dans votre application 2FA. Vous pouvez aussi photographier le QR code associé, cela revient au même.
   

   

5. Votre application vous proposera alors un code à 6 Chiffres, vous devez le recopier dans le champ du bas afin de valider définitivement le 2FA.
6. Paheko vous propose ensuite de générer 10 codes de récupération. Ces codes sont autant de mots de passe à usage unique, que vous pouvez utiliser en cas de besoin (voir ci-dessous). Pensez à les générer dès que vous activez le 2FA et à les conserver en lieu sûr !
   __

   

Quels outils de 2FA utiliser ?

Nous avons testé avec succès les outils libres suivants (en gras les versions testées, si vous testez d’autres applications ou d’autres versions, dites-le nous !)

• 2FAS Auth (Android + ios)
• Aegis (Android )
• FreeOTP (Android + ios)
• FreeOTP+ (Android )
• KeepassXC (Android + ios + gnu/linux + win + mac Os)

Il existe aussi des applications propriétaires, vous pouvez les utiliser mais nous ne le conseillons évidemment pas. Utiliser des applications dont on ne maîtrise pas le code pour assurer sa sécurité constitue un paradoxe, voire une dissonance cognitive.

Au secours j’ai perdu mon portable

... et je ne peux donc plus me connecter au cloud !

Pas de panique : adressez-vous à l’administrateur de paheko pour votre association, celui-ci ou celle-ci pourra désactiver l’authentification à 2 facteurs, vousn’aurez plus qu’à la réactiver en utilisant votre nouveau portable. Pas la peine de s’adresser directement au Pic, nous n’accepterons la demande qu’à la condition qu’elle provienne de l’admin, que nous connaissons (sinon ce serait trop simple de prendre le contrôle de votre compte...).

Sauf que : comme vous avez pris vos précautions vous pourrez vous en sortir par vous-même :

1. Les applications 2FA vous proposent de sauvegarder vos codes secrets, n’oubliez pas de le faire de temps en temps, sur un support distinct de votre téléphone ou de votre ordinateur. Vous pourrez ainsi redémarrer sur un nouveau téléphone.
2. Lors de l’activation du 2FA vous avez bien entendu généré et gardé en lieu sûr vos 10 codes de récupération : c’est le moment de vous en servir ! Du coup vous pouvez perdre 10 fois votre portable (et même bien plus car vous pouvez à tout moment régénérer de nouveaux codes).