Vous ĂȘtes ici : Accueil | 🛡Point SECU #4 : Pourquoi utiliser la double authentification ?

VidĂ©o : 🛡Point SECU #4 : Pourquoi utiliser la double authentification ?



Salut à tous et bienvenue dans cette nouvelle vidéo de sécurité avec Julio !

Julio : Bonjour !

Alex : Aujourd’hui on va parler de double authentification.

Allez c’est parti !

1. La double authentification : c’est quoi ?

Alors du coup, qu’est-ce que c’est que la double authentification ? Julio explique nous un petit peu ce que c’est.

Julio : L’authentification c’est quand vous vous connectez Ă  un service, un site web, une application, etc. Votre WordPress, vous vous authentifiez, Facebook, dans votre Google, etc. Partout oĂč vous mettez votre login et votre mot de passe, vous vous authentifiez.

C’est-Ă -dire que vous envoyez des informations Ă  un serveur qui va vĂ©rifier que c’est bien vous : votre identitĂ© avec votre mot de passe, il va renvoyer Ă  cette application, ce site, l’autorisation d’accĂ©der Ă  un endroit, on va dire, sĂ©curisĂ©, spĂ©cial pour vous.

Alex : OĂč il y a certaines informations auxquelles vous pouvez accĂ©der.

Julio : VoilĂ  ! Pour WordPress, ce serait le back-office, avec justement tous les menus, etc.

qu'est ce que la double authentification

La double authentification, ce sera le fait d’avoir une autre identification, alors attention, ne pas confondre avec une seconde identification : un second mot de passe ne serait pas une double authentification.

Il faut bien qu’elle soit sĂ©parĂ©e de la premiĂšre, physiquement si possible.

Une solution qui est trĂšs connue pour les personnes qui l’utilisent dĂ©jĂ  et qui regardent la vidĂ©o, c’est par exemple le Google Authenticator qui, sur le mobile, nous donne un code Ă  entrer, ça, c’est une double authentification.

C’est-Ă -dire que j’ai un autre appareil ou un autre service qui me demande, en plus du premier, d’ĂȘtre authentifiĂ©.

Alex : Et qui est indépendant du premier.

Julio : C’est ça ! Donc ça peut trĂšs bien ĂȘtre « on vous envoie un mail » : vous devez ouvrir ce mail qui va contenir un code – en fait vous venez de vous authentifier sur votre boite mail – donc c’est lĂ  la seconde identification, elle est dĂ©pendante de votre WordPress.

Si c’est sur votre mobile, vous avez dĂ» taper le code pour dĂ©bloquer le mobile… c’est la seconde authentification. Donc lĂ  vraiment c’est lĂ  oĂč on a une double authentification.

Alex : On a ça souvent sur les sites bancaires, quand on fait des paiements en ligne…

Julio : C’est ça ! Le 3D Secur des sites bancaires est une double identification.C’est-Ă -dire que si quelqu’un a volĂ© votre mot de passe, ce n’est plus suffisant, c’est lĂ  que la sĂ©curitĂ© arrive, c’est-Ă -dire qu’on va vous demander une information que potentiellement vous seul avez.

Il existe aussi des petits boĂźtiers, vous avez peut-ĂȘtre dĂ©jĂ  vu ça, des petits boĂźtiers avec un code Ă  6 ou 8 chiffres dessus et toutes les 30 secondes ce code change.

Le service va vous demander de donner ce code à un instant « T ».

Vous avez des fois un petit timer qui vous dit « le code est bientĂŽt expiré », dans ce cas-lĂ  on attend, ça y est il vient de changer, on a 30 secondes pour taper le code, on le donne dans le nouveau champ du service et lĂ  qu’est-ce qui se passe ?

Il nous dit « oui effectivement c’est bien vous ! », parce que je sais que vous avez le boĂźtier chez vous.

C’est lĂ  la double authentification : donc les boĂźtiers c’est vrai que c’est un systĂšme super excellent, chaque personne a son propre boĂźtier.

Les services bancaires l’utilisent de plus en plus, le recommandent de plus en plus, parce qu’ils n’ont pas envie que les donnĂ©es soient volĂ©es, que quelqu’un entre dans les comptes bancaires, parce qu’Ă  eux, ça leur coĂ»te extrĂȘmement cher. C’est quelque chose que vraiment il faut Ă©viter de leur cĂŽtĂ©.

Ce n’est pas moins grave qu’un blog, Ă©videmment, mĂȘme mon blog je n’ai pas envie qu’il soit piratĂ©.

Alex : Personne n’a envie de se faire pirater.

Julio : J’en ai un ici, un boĂźtier comme ça qui vient de la « Banque Populaire » – pour ne pas la citer – je dois mettre ma carte bleue Ă  l’intĂ©rieur, demander un code spĂ©cifique qui est liĂ© Ă  ma carte bleue, il me ressort sur l’Ă©cran du coup un nouveau code et lĂ  je peux entrer.

C’est-Ă -dire qu’en plus de mon mot de passe il a vĂ©rifiĂ© que j’Ă©tais bien le porteur physique de ma carte de crĂ©dit. Cela veut dire que lĂ  il faudrait voler : mon compte, mon mot de passe, ma carte de crĂ©dit et voler aussi mon appareil.

LĂ  je pense que niveau sĂ©curitĂ©, on a quand mĂȘme atteint un certain niveau.

Pourquoi est-ce qu’il faut l’utiliser pour un WordPress ? Justement on se dit : on n’est pas une banque non plus !

Alex : C’est ça !

Julio : Mais dans un WordPress… un exemple tout simple : vous vendez un produit avec WooCommerce, EDD ou Free NUS, vous n’avez pas envie que ces donnĂ©es soient parties dans la nature ou que quelqu’un vole votre base de donnĂ©es de clients, votre base de donnĂ©es d’abonnĂ©s Ă  votre newsletter.

Vous avez dit Ă  vos abonnĂ©es, je ne vends pas vos emails, ah non vous ne les avez pas vendus, vous vous ĂȘtes fait voler ! C’est un peu dommage !

La double authentification va faire en sorte de bloquer encore plus facilement les robots.

Donc si vous n’avez pas supprimĂ© votre compte « admin », je vous invite Ă  regarder l’ancienne vidĂ©o et si vous n’avez pas dĂ©placĂ© votre page de login, je vous invite aussi Ă  regarder l’ancienne vidĂ©o.

Si quelqu’un ou un bot, un pirate, est sur la page de connexion et qu’il a rĂ©ellement rĂ©ussi Ă  trouver un login et un mot de passe, alors ce ne sera de nouveau plus suffisant.

C’est encore une fois une sĂ©curitĂ© supplĂ©mentaire qui va le bloquer instantanĂ©ment, il n’a pas le mot de passe « supplĂ©mentaire » j’ai envie de dire, il n’a pas cette information qui va lui permettre d’accĂ©der au Graal, le back-office de WordPress.

Alex : Oui ! Parce que si vous vous ĂȘtes fait voler… par exemple si vous l’avez Ă©crit sur un papier, ce qu’il ne faut pas faire ! Votre URL de connexion, votre identifiant et votre mot de passe.

Logiquement, n’importe qui aprĂšs, tant qu’on a ces informations en main, peut se connecter, donc lĂ  c’est vraiment la derniĂšre rampe de dĂ©fense pour pouvoir se connecter et lĂ  c’est un peu plus compliquĂ© Ă  moins de tout voler, mais lĂ , gĂ©nĂ©ralement vous avez des problĂšmes si on vous a tout piquĂ©.

Julio : Ce qui arrive aussi c’est quand vous vous connectez et que vous n’ĂȘtes pas seul, quelqu’un peut trĂšs bien regarder par-dessus votre Ă©paule en regardant votre clavier, des choses comme ça et lĂ  ça ne lui suffisent pas et si jamais il arrive tout de mĂȘme Ă  avoir le code que vous avez rentrĂ©, ce code est dĂ©finitivement utilisĂ©. Au moment oĂč on l’utilise, il est obsolĂšte.

MĂȘme si quelqu’un vous filme, vous voit ou vous enregistre, il ne peut de toute façon pas rĂ©pliquer la double authentification. Toutes les 30 secondes, il a changĂ© et un compte utilisĂ© devient obsolĂšte mĂȘme pour les secondes restantes dans ce laps de 30, donc c’est vraiment impossible.

2. Deux solutions pour la double authentification pour WordPress ?

Alex : D’accord. OK. Alors du coup qu’est-ce que tu peux nous conseiller pour mettre cela en place sur WordPress ?

PremiĂšre solution : une application et une extension

Julio : La solution qui est trĂšs connue qui s’appelle le Google Authenticator, vous retrouver une application iOs, Android et Windows Phone gratuite qui vous donnera accĂšs Ă  la crĂ©ation d’un petit compte sans login, sans rien, vous entrez simplement une URL, etc.

Qui est liĂ© donc Ă  un plugin WordPress qui s’appelle Google Authenticator, donc lĂ  le lien va se faire entre les deux, vous aurez bien sĂ»r Ă  valider une fois pour bien ĂȘtre certain que ce soit bien paramĂ©trĂ©, parce que si c’est mal paramĂ©trĂ©, vous n’aurez plus accĂšs Ă  votre backend.

Alex : C’est ça !

DeuxiĂšme solution : le Password Less de SecuPress

Julio : OĂč l’autre possibilitĂ© aussi avec SecuPress, il y a ce que l’on appelle le « Password Less » donc vous n’entrez plus de mots de passe, vous mettez votre adresse mail et vous recevrez un email contenant un lien unique fait pour vous, pour vous connecter une seule fois.

Une fois que ce lien a Ă©tĂ© utilisĂ©, il est terminĂ© dĂ©jĂ  et mĂȘme si la personne connait le mot de passe, il ne va rien en faire ! LĂ  par contre il faut le mot de passe de la boite mail – lĂ  je vous conseille bien sĂ»r de toujours protĂ©ger votre boite mail au maximum, encore plus que votre site WordPress parce qu’elle va contenir la possibilitĂ© de rĂ©cupĂ©rer vos mots de passe : l’hĂ©bergeur, Facebook, tout… lĂ  ce serait terminĂ©.

LĂ  c’est un autre sujet avec une vidĂ©o qui peut durer trĂšs longtemps.

Alex : Du coup j’ai une autre question sur la double authentification : est-ce que tu peux la rendre sĂ©lective en fonction du rĂŽle ?

Mettons pour la Marmite, moi je peux la mettre en place pour moi, mais est-ce que tous mes contributeurs doivent aussi le faire ? Ou est-ce que je peux le mettre que pour moi ? Tu vois ? Parce que les risques ne sont pas les mĂȘmes !

Julio : Exactement… alors je ne sais plus pour la version gratuite de Google Authenticator, ce serait Ă  vĂ©rifier, ce qui est certain c’est que le champ est toujours visible donc personnellement ça me gĂȘne un peu, parce que justement s’il y a possibilitĂ© de mettre des rĂŽles, les gens diront « OK ! Qu’est-ce que je fais ? Qu’est-ce que je dois y mettre ? », ils ne sont pas forcĂ©ment au courant de ce qu’il faut faire.

Inversement, avec le Password Less vous avez le choix par case à cocher des rÎles qui sont affectés par le Password Less.

Si on a mis que seuls les administrateurs doivent utiliser Password Less : on met son mail, on fait suivant, si on est affectĂ© on reçoit un mail, on nous dit « vous avez reçu un email » et si on ne l’ait pas, alors on nous demande notre mot de passe et lĂ  on entre de façon habituelle parce qu’on n’est pas affectĂ© par le Password Less, donc on n’est pas dĂ©rangĂ© et on n’est pas perdu non plus par l’interface.

Alex : OK super ! Donc lĂ  je crois qu’on a fait le tour ?

Julio : Je pense aussi !

Alex : Super ! Merci de nous avoir Ă©coutĂ©s. Bien sĂ»r, n’oubliez pas de vous abonner, de poser des questions en commentaires, et aussi d’aller voir SecuPress si vous voulez sĂ©curiser votre site.

Voilà à trÚs vite pour une prochaine vidéo. Ciao !

Julio : Ă  plus !

Avez-vous pensé à appliquer ces mesures de protection dans votre vie de tous les jours et pour votre WordPress ? La double authentification : une obsession ou une nécessité ?



Si vous avez apprécié cet article, inscrivez-vous à la newsletter

Recevez gratuitement les prochains articles et accédez à des ressources exclusives. Plus de 10000 personnes l'ont fait, pourquoi pas vous ?

C'est parti, je m'inscris !

d3fe747825928846e5a9ecfdc2a3828fUUUUUUUUUUUUUUUUUUUUUUUUUUUU
Partagez
Tweetez
Partagez