Salut à tous et bienvenue dans cette nouvelle vidéo de sécurité avec Julio !
Julio : Bonjour !
Alex : Aujourd’hui on va parler de double authentification.
Allez c’est parti !
Sommaire
La double authentification : c’est quoi ?
Alors du coup, qu’est-ce que c’est que la double authentification ? Julio explique nous un petit peu ce que c’est.
Julio : L’authentification c’est quand vous vous connectez Ă un service, un site web, une application, etc. Votre WordPress, vous vous authentifiez, Facebook, dans votre Google, etc. Partout oĂą vous mettez votre login et votre mot de passe, vous vous authentifiez.
C’est-Ă -dire que vous envoyez des informations Ă un serveur qui va vĂ©rifier que c’est bien vous : votre identitĂ© avec votre mot de passe, il va renvoyer Ă cette application, ce site, l’autorisation d’accĂ©der Ă un endroit, on va dire, sĂ©curisĂ©, spĂ©cial pour vous.
Alex : Où il y a certaines informations auxquelles vous pouvez accéder.
Julio : VoilĂ ! Pour WordPress, ce serait le back-office, avec justement tous les menus, etc.
La double authentification, ce sera le fait d’avoir une autre identification, alors attention, ne pas confondre avec une seconde identification : un second mot de passe ne serait pas une double authentification.
Il faut bien qu’elle soit sĂ©parĂ©e de la première, physiquement si possible.
Une solution qui est très connue pour les personnes qui l’utilisent dĂ©jĂ et qui regardent la vidĂ©o, c’est par exemple le Google Authenticator qui, sur le mobile, nous donne un code Ă entrer, ça, c’est une double authentification.
C’est-Ă -dire que j’ai un autre appareil ou un autre service qui me demande, en plus du premier, d’ĂŞtre authentifiĂ©.
Alex : Et qui est indépendant du premier.
Julio : C’est ça ! Donc ça peut très bien ĂŞtre “on vous envoie un email” : vous devez ouvrir ce mail qui va contenir un code – en fait vous venez de vous authentifier sur votre boite mail – donc c’est lĂ la seconde identification, elle est indĂ©pendante de votre WordPress.
Si c’est sur votre mobile, vous avez dĂ» taper le code pour dĂ©bloquer le mobile… c’est la seconde authentification. Donc lĂ vraiment c’est lĂ oĂą on a une double authentification.
Alex : On a ça souvent sur les sites bancaires, quand on fait des paiements en ligne…
Julio : C’est ça ! Le 3D Secure des sites bancaires est une double identification. C’est-Ă -dire que si quelqu’un a volĂ© votre mot de passe, ce n’est plus suffisant, c’est lĂ que la sĂ©curitĂ© arrive, c’est-Ă -dire qu’on va vous demander une information que potentiellement vous seul avez.
Il existe aussi des petits boîtiers, vous avez peut-être déjà vu ça, des petits boîtiers avec un code à 6 ou 8 chiffres dessus et toutes les 30 secondes ce code change.
Le service va vous demander de donner ce code Ă un instant “T”.
Vous avez des fois un petit timer qui vous dit “le code est bientĂ´t expirĂ©”, dans ce cas-lĂ on attend, ça y est il vient de changer, on a 30 secondes pour taper le code, on le donne dans le nouveau champ du service et lĂ qu’est-ce qui se passe ?
Il nous dit “oui effectivement c’est bien vous !”, parce que je sais que vous avez le boĂ®tier chez vous.
C’est lĂ la double authentification : donc les boĂ®tiers c’est vrai que c’est un système super excellent, chaque personne a son propre boĂ®tier.
Les services bancaires l’utilisent de plus en plus, le recommandent de plus en plus, parce qu’ils n’ont pas envie que les donnĂ©es soient volĂ©es, que quelqu’un entre dans les comptes bancaires, parce qu’Ă eux, ça leur coĂ»te extrĂŞmement cher. C’est quelque chose que vraiment il faut Ă©viter de leur cĂ´tĂ©.
Ce n’est pas moins grave qu’un blog, Ă©videmment, mĂŞme mon blog je n’ai pas envie qu’il soit piratĂ©.
Alex : Personne n’a envie de se faire pirater.
Julio : J’en ai un ici, un boĂ®tier qui vient de la “Banque Populaire” – pour ne pas la citer – je dois mettre ma carte bleue Ă l’intĂ©rieur, demander un code spĂ©cifique qui est liĂ© Ă ma carte bleue, il me ressort sur l’Ă©cran du coup un nouveau code et lĂ je peux entrer.
C’est-Ă -dire qu’en plus de mon mot de passe il a vĂ©rifiĂ© que j’Ă©tais bien le porteur physique de ma carte de crĂ©dit. Cela veut dire que lĂ il faudrait voler : mon compte, mon mot de passe, ma carte de crĂ©dit et voler aussi mon appareil.
Là je pense que niveau sécurité, on a quand même atteint un certain niveau.
Pourquoi est-ce qu’il faut l’utiliser pour un WordPress ? Justement on se dit : on n’est pas une banque non plus !
Alex : C’est ça !
Julio : Mais dans un WordPress… un exemple tout simple : vous vendez un produit avec WooCommerce, EDD ou Free NUS, vous n’avez pas envie que ces donnĂ©es soient parties dans la nature ou que quelqu’un vole votre base de donnĂ©es de clients, votre base de donnĂ©es d’abonnĂ©s Ă votre newsletter.
Vous avez dit Ă vos abonnĂ©es, je ne vends pas vos emails, ah non vous ne les avez pas vendus, vous vous ĂŞtes fait voler ! C’est un peu dommage !
La double authentification va faire en sorte de bloquer encore plus facilement les robots.
Donc si vous n’avez pas supprimĂ© votre compte “admin”, je vous invite Ă regarder l’ancienne vidĂ©o et si vous n’avez pas dĂ©placĂ© votre page de login, je vous invite aussi Ă regarder l’ancienne vidĂ©o.
Si quelqu’un ou un bot, un pirate, est sur la page de connexion et qu’il a rĂ©ellement rĂ©ussi Ă trouver un login et un mot de passe, alors ce ne sera de nouveau plus suffisant.
C’est encore une fois une sĂ©curitĂ© supplĂ©mentaire qui va le bloquer instantanĂ©ment, il n’a pas le mot de passe “supplĂ©mentaire” j’ai envie de dire, il n’a pas cette information qui va lui permettre d’accĂ©der au Graal, le back-office de WordPress.
Alex : Oui ! Parce que si vous vous ĂŞtes fait voler… par exemple si vous l’avez Ă©crit sur un papier, ce qu’il ne faut pas faire ! Votre URL de connexion, votre identifiant et votre mot de passe.
Logiquement, n’importe qui après, tant qu’on a ces informations en main, peut se connecter, donc lĂ c’est vraiment la dernière rampe de dĂ©fense pour pouvoir se connecter et lĂ c’est un peu plus compliquĂ© Ă moins de tout voler, mais lĂ , gĂ©nĂ©ralement vous avez des problèmes si on vous a tout piquĂ©.
Julio : Ce qui arrive aussi c’est quand vous vous connectez et que vous n’ĂŞtes pas seul, quelqu’un peut très bien regarder par-dessus votre Ă©paule en regardant votre clavier, des choses comme ça et là ça ne lui suffisent pas et si jamais il arrive tout de mĂŞme Ă avoir le code que vous avez rentrĂ©, ce code est dĂ©finitivement utilisĂ©. Au moment oĂą on l’utilise, il est obsolète.
MĂŞme si quelqu’un vous filme, vous voit ou vous enregistre, il ne peut de toute façon pas rĂ©pliquer la double authentification. Toutes les 30 secondes, il a changĂ© et un compte utilisĂ© devient obsolète mĂŞme pour les secondes restantes dans ce laps de 30, donc c’est vraiment impossible.
Deux solutions pour la double authentification pour WordPress
Alex : D’accord. OK. Alors du coup qu’est-ce que tu peux nous conseiller pour mettre cela en place sur WordPress ?
Première solution : une application et une extension
Julio : La solution qui est très connue qui s’appelle le Google Authenticator, vous retrouver une application iOs, Android et Windows Phone gratuite qui vous donnera accès Ă la crĂ©ation d’un petit compte sans login, sans rien, vous entrez simplement une URL, etc.
Qui est liĂ© donc Ă un plugin WordPress qui s’appelle Google Authenticator, donc lĂ le lien va se faire entre les deux, vous aurez bien sĂ»r Ă valider une fois pour bien ĂŞtre certain que ce soit bien paramĂ©trĂ©, parce que si c’est mal paramĂ©trĂ©, vous n’aurez plus accès Ă votre backend.
Alex : C’est ça !
Deuxième solution : le Password Less de SecuPress
Julio : OĂą l’autre possibilitĂ© aussi avec SecuPress, il y a ce que l’on appelle le “Password Less” donc vous n’entrez plus de mots de passe, vous mettez votre adresse mail et vous recevrez un email contenant un lien unique fait pour vous, pour vous connecter une seule fois.
Une fois que ce lien a Ă©tĂ© utilisĂ©, il est terminĂ© dĂ©jĂ et mĂŞme si la personne connait le mot de passe, il ne va rien en faire ! LĂ par contre il faut le mot de passe de la boite mail – lĂ je vous conseille bien sĂ»r de toujours protĂ©ger votre boite mail au maximum, encore plus que votre site WordPress parce qu’elle va contenir la possibilitĂ© de rĂ©cupĂ©rer vos mots de passe : l’hĂ©bergeur, Facebook, tout… lĂ ce serait terminĂ©.
LĂ c’est un autre sujet avec une vidĂ©o qui peut durer très longtemps.
WPMarmite News, votre antisèche sur l’actu WordPress
Recevez gratuitement les dernières infos de l’écosystème WordPress tous les 15 jours et créez de meilleurs sites.
La double authentification sélective
Alex : Du coup j’ai une autre question sur la double authentification : est-ce que tu peux la rendre sĂ©lective en fonction du rĂ´le ?
Mettons pour la Marmite, moi je peux la mettre en place pour moi, mais est-ce que tous mes contributeurs doivent aussi le faire ? Ou est-ce que je peux le mettre que pour moi ? Tu vois ? Parce que les risques ne sont pas les mĂŞmes !
Julio : Exactement… alors je ne sais plus pour la version gratuite de Google Authenticator, ce serait Ă vĂ©rifier, ce qui est certain c’est que le champ est toujours visible donc personnellement ça me gĂŞne un peu, parce que justement s’il y a possibilitĂ© de mettre des rĂ´les, les gens diront “OK ! Qu’est-ce que je fais ? Qu’est-ce que je dois y mettre ?”, ils ne sont pas forcĂ©ment au courant de ce qu’il faut faire.
Inversement, avec le Password Less vous avez le choix par case à cocher des rôles qui sont affectés par le Password Less.
Si on a mis que seuls les administrateurs doivent utiliser Password Less : on met son mail, on fait suivant, si on est affectĂ© on reçoit un mail, on nous dit “vous avez reçu un email” et si on ne l’est pas, alors on nous demande notre mot de passe et lĂ on entre de façon habituelle parce qu’on n’est pas affectĂ© par le Password Less, donc on n’est pas dĂ©rangĂ© et on n’est pas perdu non plus par l’interface.
Alex : OK super ! Donc lĂ je crois qu’on a fait le tour ?
Julio : Je pense aussi !
Alex : Super ! Merci de nous avoir Ă©coutĂ©s. Bien sĂ»r, n’oubliez pas de vous abonner Ă la chaĂ®ne, de poser des questions en commentaires, et aussi d’aller voir SecuPress si vous voulez sĂ©curiser votre site.
Voilà à très vite pour une prochaine vidéo. Ciao !
Julio : Ă plus !
Avez-vous pensé à appliquer ces mesures de protection dans votre vie de tous les jours et pour votre WordPress ? La double authentification : une obsession ou une nécessité ?
Recevez gratuitement les prochains articles et accédez à des ressources exclusives. Plus de 20000 personnes l'ont fait, pourquoi pas vous ?
La dernière fournée d'articles
Tous les articlesSpectra : plongée dans ce constructeur de page intégré à l’éditeur de WordPress
Sortir de l’interface native de WordPress ? Jamais de la vie. Proposer une kyrielle de widgets ? MĂŞme pas en rĂŞve. Avec lui, la star, ce sont les blocs. CrĂ©er votre prochain site WordPress sans quitter l’éditeur par dĂ©faut (Gutenberg),…
WPMarmite News fĂŞte sa 100e Ă©dition (avec un concours) !
Aujourd’hui est un jour un peu spĂ©cial pour WPMarmite. Nous fĂŞtons la 100e Ă©dition de WPMarmite News, notre newsletter de veille WordPress ! 🥳 Si vous ĂŞtes un abonnĂ© de longue date, vous vous en rappelez peut-ĂŞtre : l’aventure avait…
cPanel : fonctionnalités et guide d’utilisation de cette interface pour votre site WordPress
Besoin de modifier la version PHP de votre site web ? C’est lĂ que ça se passe. Une adresse e-mail Ă crĂ©er ? C’est aussi lĂ que ça se passe. Il vous faut installer un certificat SSL au pied levĂ©…