11 nov.

Sécuriser ses comptes avec une clé FIDO2

• linux
• 3 min

Après m'être fait cambriolé et volé mes données, je me suis attaqué à améliorer la sécurité de mes comptes en ligne avec une clé FIDO2 pour se connecter à mes différents comptes ainsi qu'à mon ordinateur.

Les mots de passes

Pour commencer, j'ai rajoute la double authentification partout où il était possible de le faire : Google, Github, Facebook, Twitter... Les mots de passe initiaux étaient déjà forts car générés par mon gestionnaire de mot de passe mais il a faut quand même les changer.

Pour la double authentification, j'ai ajouté deux méthodes. La première, la plus simple : un OTP (One Time Password) basé sur le temps, que mon logiciel sait prendre en charge. Lorsque je me connecte avec mon login et mot de passe habituel, le service me demande ensuite un second mot de passe, que l'on va plutôt associer à un pin, composé de six chiffres qui change toutes les 30 secondes. Cela permet, dans un premier temps, si les mots de passes sont enregistrés dans le navigateur (ce que je ne fais jamais), de limiter l'accès au compte après avoir déconnecté les sessions, option souvent diposible sur ces services.

Authentification FIDO2/U2F

En plus de cette authentification à double facteur, j'ai ajouté une clé U2F (Universal Second Factor) sur ces mêmes services le proposant. J'ai donc acheté deux clés FIDO2 de chez Nirtokey qui gère WebAuthn que j'utilise désormais. Ça fait tout plein de noms barbares, mais au final, ils désignent tous la même chose : une authentification à double facteur matériel plutôt que numérique. 😉

Il existe tout plein d'alternatives de ce type de clés comme Yubico pour citer le plus connus, j'ai préféré Nitrokey car opensource, open hardware et le firmware est mis à jour régulièrement. Pour ajouter la cerise sur le gâteau : c'est européen, fabriqué en Allemange.

Sécurité de l'ordinateur

Ma session de mon ordinateur était protégée par un mot de passe faible, le genre de mot de passe que tous les articles qui parlent de ça te disent qu'il ne faut pas utiliser : ton prénom. abrutit

C'est pas trop une excuse mais lorsque j'avais fait mon installation j'avais un peu galéré donc quand ça a marché, je métais dit que c'était une installation de test et que je la refereai avec le chiffrement en plus. Et comme tous les tests, ils finissent par être la prod... naïf

J'ai pu récupérer un ordinateur temporaire, le temps d'en acheter un nouveau qui tienne la route, du coup je m'en suis servi de test. Un mot de passe un peu plus fort (c'est du vrai test cette fois), chiffrement de la partition avec un mot de passe beaucoup plus fort (du moins c'est ce que me disent certains sites, mon gestionnaire de mot de passe est moins d'accord sur ce point ^^) et enfin, lorsque j'ai reçu ma clé FIDO2, j'ai configuré le processus de login afin qu'il ne demande plus de mot de passe mais simplement la clé. Ce qui est plutôt pas mal, je trouve. Je ferais un nouvel article là dessus prochainement.

Conclusion

Je suis passé d'une passoire ambulante à une quasi forteresse en l'espace de deux semaines et en dehors du login grâce à la clé, ce n'était pas bien compliqué de mettre de la double authentification partout, chiffrer le disque ou mettre un mot de passe un peu fort. Comme souvent, on se rend compte de ces choses qu'une fois qu'il est trop tard, avant que ça arrive, on a toujours l'impression d'en faire trop...

Autre chose "amusante" que j'ai pu remarquer : la plupart des sites que j'utilise quotidiennement permettent la double authentification. En dehors de stocker des données personnelles, ils ne font pas grand chose. Par contre les sites de mes banques, ils ne proposent rien en dehors d'une saisie d'un code pin de 6 à 8 chiffres, à la souris sur pavé numérique virtuel avec un arrangement aléatoire. Triste quand même.