WPMarmite

🛡Point SECU #4 : Pourquoi utiliser la double authentification ?

Alex

Salut à tous et bienvenue dans cette nouvelle vidéo de sécurité avec Julio !

Julio : Bonjour !

Alex : Aujourd’hui on va parler de double authentification.

Allez c’est parti !

Sommaire

  1. La double authentification : c’est quoi ?
    1. Deux solutions pour la double authentification pour WordPress
      1. La double authentification sélective

        La double authentification : c’est quoi ?

        Alors du coup, qu’est-ce que c’est que la double authentification ? Julio explique nous un petit peu ce que c’est.

        Julio : L’authentification c’est quand vous vous connectez à un service, un site web, une application, etc. Votre WordPress, vous vous authentifiez, Facebook, dans votre Google, etc. Partout où vous mettez votre login et votre mot de passe, vous vous authentifiez.

        C’est-à-dire que vous envoyez des informations à un serveur qui va vérifier que c’est bien vous : votre identité avec votre mot de passe, il va renvoyer à cette application, ce site, l’autorisation d’accéder à un endroit, on va dire, sécurisé, spécial pour vous.

        Alex : Où il y a certaines informations auxquelles vous pouvez accéder.

        Julio : Voilà ! Pour WordPress, ce serait le back-office, avec justement tous les menus, etc.

        La double authentification, ce sera le fait d’avoir une autre identification, alors attention, ne pas confondre avec une seconde identification : un second mot de passe ne serait pas une double authentification.

        Il faut bien qu’elle soit séparée de la première, physiquement si possible.

        Une solution qui est très connue pour les personnes qui l’utilisent déjà et qui regardent la vidéo, c’est par exemple le Google Authenticator qui, sur le mobile, nous donne un code à entrer, ça, c’est une double authentification.

        C’est-à-dire que j’ai un autre appareil ou un autre service qui me demande, en plus du premier, d’être authentifié.

        Alex : Et qui est indépendant du premier.

        Julio : C’est ça ! Donc ça peut très bien être “on vous envoie un email” : vous devez ouvrir ce mail qui va contenir un code – en fait vous venez de vous authentifier sur votre boite mail – donc c’est là la seconde identification, elle est indépendante de votre WordPress.

        Si c’est sur votre mobile, vous avez dû taper le code pour débloquer le mobile… c’est la seconde authentification. Donc là vraiment c’est là où on a une double authentification.

        Alex : On a ça souvent sur les sites bancaires, quand on fait des paiements en ligne…

        Julio : C’est ça ! Le 3D Secure des sites bancaires est une double identification. C’est-à-dire que si quelqu’un a volé votre mot de passe, ce n’est plus suffisant, c’est là que la sécurité arrive, c’est-à-dire qu’on va vous demander une information que potentiellement vous seul avez.

        Il existe aussi des petits boîtiers, vous avez peut-être déjà vu ça, des petits boîtiers avec un code à 6 ou 8 chiffres dessus et toutes les 30 secondes ce code change.

        Le service va vous demander de donner ce code à un instant “T”.

        Vous avez des fois un petit timer qui vous dit “le code est bientôt expiré”, dans ce cas-là on attend, ça y est il vient de changer, on a 30 secondes pour taper le code, on le donne dans le nouveau champ du service et là qu’est-ce qui se passe ?

        Il nous dit “oui effectivement c’est bien vous !”, parce que je sais que vous avez le boîtier chez vous.

        C’est là la double authentification : donc les boîtiers c’est vrai que c’est un système super excellent, chaque personne a son propre boîtier.

        Les services bancaires l’utilisent de plus en plus, le recommandent de plus en plus, parce qu’ils n’ont pas envie que les données soient volées, que quelqu’un entre dans les comptes bancaires, parce qu’à eux, ça leur coûte extrêmement cher. C’est quelque chose que vraiment il faut éviter de leur côté.

        Ce n’est pas moins grave qu’un blog, évidemment, même mon blog je n’ai pas envie qu’il soit piraté.

        Alex : Personne n’a envie de se faire pirater.

        Julio : J’en ai un ici, un boîtier qui vient de la “Banque Populaire” – pour ne pas la citer – je dois mettre ma carte bleue à l’intérieur, demander un code spécifique qui est lié à ma carte bleue, il me ressort sur l’écran du coup un nouveau code et là je peux entrer.

        C’est-à-dire qu’en plus de mon mot de passe il a vérifié que j’étais bien le porteur physique de ma carte de crédit. Cela veut dire que là il faudrait voler : mon compte, mon mot de passe, ma carte de crédit et voler aussi mon appareil.

        Là je pense que niveau sécurité, on a quand même atteint un certain niveau.

        Pourquoi est-ce qu’il faut l’utiliser pour un WordPress ? Justement on se dit : on n’est pas une banque non plus !

        Alex : C’est ça !

        Julio : Mais dans un WordPress… un exemple tout simple : vous vendez un produit avec WooCommerce, EDD ou Free NUS, vous n’avez pas envie que ces données soient parties dans la nature ou que quelqu’un vole votre base de données de clients, votre base de données d’abonnés à votre newsletter.

        Vous avez dit à vos abonnées, je ne vends pas vos emails, ah non vous ne les avez pas vendus, vous vous êtes fait voler ! C’est un peu dommage !

        La double authentification va faire en sorte de bloquer encore plus facilement les robots.

        Donc si vous n’avez pas supprimé votre compte “admin”, je vous invite à regarder l’ancienne vidéo et si vous n’avez pas déplacé votre page de login, je vous invite aussi à regarder l’ancienne vidéo.

        Si quelqu’un ou un bot, un pirate, est sur la page de connexion et qu’il a réellement réussi à trouver un login et un mot de passe, alors ce ne sera de nouveau plus suffisant.

        C’est encore une fois une sécurité supplémentaire qui va le bloquer instantanément, il n’a pas le mot de passe “supplémentaire” j’ai envie de dire, il n’a pas cette information qui va lui permettre d’accéder au Graal, le back-office de WordPress.

        Alex : Oui ! Parce que si vous vous êtes fait voler… par exemple si vous l’avez écrit sur un papier, ce qu’il ne faut pas faire ! Votre URL de connexion, votre identifiant et votre mot de passe.

        Logiquement, n’importe qui après, tant qu’on a ces informations en main, peut se connecter, donc là c’est vraiment la dernière rampe de défense pour pouvoir se connecter et là c’est un peu plus compliqué à moins de tout voler, mais là, généralement vous avez des problèmes si on vous a tout piqué.

        Julio : Ce qui arrive aussi c’est quand vous vous connectez et que vous n’êtes pas seul, quelqu’un peut très bien regarder par-dessus votre épaule en regardant votre clavier, des choses comme ça et là ça ne lui suffisent pas et si jamais il arrive tout de même à avoir le code que vous avez rentré, ce code est définitivement utilisé. Au moment où on l’utilise, il est obsolète.

        Même si quelqu’un vous filme, vous voit ou vous enregistre, il ne peut de toute façon pas répliquer la double authentification. Toutes les 30 secondes, il a changé et un compte utilisé devient obsolète même pour les secondes restantes dans ce laps de 30, donc c’est vraiment impossible.

        Deux solutions pour la double authentification pour WordPress

        Alex : D’accord. OK. Alors du coup qu’est-ce que tu peux nous conseiller pour mettre cela en place sur WordPress ?

        Première solution : une application et une extension

        Julio : La solution qui est très connue qui s’appelle le Google Authenticator, vous retrouver une application iOs, Android et Windows Phone gratuite qui vous donnera accès à la création d’un petit compte sans login, sans rien, vous entrez simplement une URL, etc.

        Qui est lié donc à un plugin WordPress qui s’appelle Google Authenticator, donc là le lien va se faire entre les deux, vous aurez bien sûr à valider une fois pour bien être certain que ce soit bien paramétré, parce que si c’est mal paramétré, vous n’aurez plus accès à votre backend.

        Alex : C’est ça !

        Deuxième solution : le Password Less de SecuPress

        Julio : Où l’autre possibilité aussi avec SecuPress, il y a ce que l’on appelle le “Password Less” donc vous n’entrez plus de mots de passe, vous mettez votre adresse mail et vous recevrez un email contenant un lien unique fait pour vous, pour vous connecter une seule fois.

        Une fois que ce lien a été utilisé, il est terminé déjà et même si la personne connait le mot de passe, il ne va rien en faire ! Là par contre il faut le mot de passe de la boite mail – là je vous conseille bien sûr de toujours protéger votre boite mail au maximum, encore plus que votre site WordPress parce qu’elle va contenir la possibilité de récupérer vos mots de passe : l’hébergeur, Facebook, tout… là ce serait terminé.

        Là c’est un autre sujet avec une vidéo qui peut durer très longtemps.

        WPMarmite News, votre antisèche sur l’actu WordPress

        Recevez gratuitement les dernières infos de l’écosystème WordPress tous les 15 jours et créez de meilleurs sites.

        Découvrir WPMarmite News

        La double authentification sélective

        Alex : Du coup j’ai une autre question sur la double authentification : est-ce que tu peux la rendre sélective en fonction du rôle ?

        Mettons pour la Marmite, moi je peux la mettre en place pour moi, mais est-ce que tous mes contributeurs doivent aussi le faire ? Ou est-ce que je peux le mettre que pour moi ? Tu vois ? Parce que les risques ne sont pas les mêmes !

        Julio : Exactement… alors je ne sais plus pour la version gratuite de Google Authenticator, ce serait à vérifier, ce qui est certain c’est que le champ est toujours visible donc personnellement ça me gêne un peu, parce que justement s’il y a possibilité de mettre des rôles, les gens diront “OK ! Qu’est-ce que je fais ? Qu’est-ce que je dois y mettre ?”, ils ne sont pas forcément au courant de ce qu’il faut faire.

        Inversement, avec le Password Less vous avez le choix par case à cocher des rôles qui sont affectés par le Password Less.

        Si on a mis que seuls les administrateurs doivent utiliser Password Less : on met son mail, on fait suivant, si on est affecté on reçoit un mail, on nous dit “vous avez reçu un email” et si on ne l’est pas, alors on nous demande notre mot de passe et là on entre de façon habituelle parce qu’on n’est pas affecté par le Password Less, donc on n’est pas dérangé et on n’est pas perdu non plus par l’interface.

        Alex : OK super ! Donc là je crois qu’on a fait le tour ?

        Julio : Je pense aussi !

        Alex : Super ! Merci de nous avoir écoutés. Bien sûr, n’oubliez pas de vous abonner à la chaîne, de poser des questions en commentaires, et aussi d’aller voir SecuPress si vous voulez sécuriser votre site.

        Voilà à très vite pour une prochaine vidéo. Ciao !

        Julio : à plus !

        Avez-vous pensé à appliquer ces mesures de protection dans votre vie de tous les jours et pour votre WordPress ? La double authentification : une obsession ou une nécessité ?

        Découvrez aussi :

        🛡Point SECU #3 : Pourquoi changer l’URL de la page de connexion de WordPress

        🛡 Point SECU #19 : 3 moyens simples d’augmenter la sécurité de son site

        Quitter la version mobile