Tu as un compte Instagram avec 30M d'abonné·es et tu ne veux pas te faire voler tes accès ?

Utilise le MFA!

2FA, MFA c'est quoi ce charabia ?

Depuis quelques années tu as remarqué que sur certaines apps on te demande un code de vérification envoyé par mail, SMS ou une application.

On appelle ça l'authentification à 2 facteurs, ou authentification multifacteurs. Leur abréviation: 2FA ( 2 factor authentication ) et MFA ( Multi-Factor Authentication ). On retrouve aussi parfois le terme 2-step verification.

A quoi ça sert le MFA ?

Dans notre exemple il faut se mettre à la place d'instagram.

L'objectif d'instagram c'est de pouvoir certifier que quand quelqu'un se connecte à ton compte, il s'agit bien de toi lea propriétaire légitime, et non pas une personne malveillante.

C'est le concept d'authentification.

L'authentification est le moyen pour une application d'identifier que tu es bien la personne propriétaire du compte auquel tu essaies de te connecter.

A la base l'authentification reposait sur le fait que tu possèdes les credentials, c'est le combo email + mot de passe.

Personne d'autre que toi, propriétaire de ton compte, n'est censé connaître ces deux informations.

Sauf que l'eau a coulé sous les ponts et le vol de ces credentials est devenu très courant, notamment avec la hausse du phishing.

Donc pour authentifier que c'est bien toi qui te connectes à ton compte, les applications ont eu besoin d'ajouter des éléments de "preuve". C'est ce qu'on va appeler les "facteurs d'authentification".

Les facteurs d'authentification sont des preuves supplémentaires qui permettent de certifier que c'est bien toi qui est propriétaire du compte.

Quand l'application t'envoie un code de vérification par email, cela permet à l'application de savoir:

  1. que tu connais la combinaison des credentials ( email + mot de passe )
  2. que tu possèdes l'accès à l'email du compte !

Et c'est déjà mieux, parce que si une personne malveillante te vole ton mot de passe Instagram elle ne pourra pas accéder à ton compte si elle n'a pas accès à tes mails.

L'objectif de l'authentification multifacteurs c'est d'empêcher les personnes malveillantes d'accéder à ton compte même si elle possède ton mot de passe.

Le concept de multifacteur se base sur vérifier que vous possédez à la fois:

  • quelque chose de secret que vous connaissez ( mot de passe )
  • quelque chose que vous possédez ( accès à une boîte mail, accès au téléphone )

Tous les multifacteurs ne se valent pas

Le MFA par SMS

Et oui ... Le MFA c'est bien, mais il y a plusieurs niveau de sécurité dans la grande famille des MFA.

Effectivement, puisque tu accèdes à Instagram de la même manière que tu accèdes à tes emails ( connection internet sur ton ordinateur ), si une personne malveillante a pu te voler le mot de passe de ton compte Insta, il est très possible qu'elle ai pu aussi te voler l'accès à tes emails.

Jean-Michel chipoteur dirait à ce moment que les codes de vérification par email sont ce qu'on appelle de la 2-step verification, mais pas précisément du multi-facteur car l'accès à la boîte mail n'est pas exactement un deuxième support.

Donc pour augmenter la sécurité, il vaut mieux utiliser un second facteur qui n'utilise pas le même type de réseau de communication.

Et c'est donc pour ça que la 2FA se base énormément sur les SMS !

Puisque les SMS ne transitent pas par le réseau internet, si l'attaque se situe au niveau de ton navigateur ou du réseau, la personne malveillante pourra te voler ton mot de passe instagram, mais ne pourra pas intercepter tes SMS et ne pourra donc pas se connecter à ton compte.

Donc pour le MFA: SMS > Email.

Mais c'est pas encore tout à fait parfait ...

Pour deux raisons:

  • Puisqu'on utilise énormément nos smartphones pour se connecter à nos comptes, une attaque au niveau du téléphone peut permettre d'accéder à la fois aux accès aux comptes facebook, mais aussi aux SMS.
  • Des attaques permettent d'intercepter les SMS ( je reviendrai là dessus certainement dans d'autres articles ! ). Bon ces attaques sont un peu plus élaborées, mais ça reste relativement abordable.

Pour l'accès à des comptes très sensibles ( genre le serveur avec les données de tous tes clients ...) s'est donc diffusé l'utilisation de plusieurs autres méthodes d'authentification:

  • les applications d'authentication ( google ou microsoft authenticator, authy ...)
  • les clés USB cryptographiques
  • les supports biométriques: là on arrive à un très haut niveau parce qu'on vérifie quelque chose tu connais, quelque chose que tu possèdes, mais carrément aussi qui tu es.

Je vais pas rentrer dans les détails de ces 3 outils pour le moment, peut-être dans un autre cadre !

Allez, file donc allumer le MFA partout, et stay safe on the wild wide web 😘

Pour ne rien rater tu peux t'inscrire pour recevoir chaque article directement par mail ! Tu peux aussi t'abonner sur Linkedin 😎

🔓 C’est quoi l’authentification ?
Petit disclaimer: si tu n’es pas à l’aise avec les concepts de requêtes HTTP je te conseille de commencer par lire la mini-série “Comment fonctionne une web-app”. Bonne lecture ! 🤩 L’Authentification est la première pierre fondatrice de toute web-application.En anglais, on utilise le terme “auth…
Decode - by TancrèdeTancrède Simonin

License

Toute cette mini-série est open-source. ( ouaip il y a pas que le code qui peut être open-source ! )

La license choisie signifie que tu peux faire ce que tu veux avec son contenu tant que tu me crédites 😎. royal au bar j'ai dit !

Tech me about it: "comment se protéger des cyberattaques | pour startups et PME" © 2022 by Tancrède Simonin is licensed under Attribution 4.0 International

Tagué dans

cybersecurité les bases tech me about it questions à un dev