Menu Fermer

Google Authenticator : protéger ses comptes internet contre le piratage

Cette entrée fait partie d'une série de 10 sur 12 dans la série Comment se protéger sur internet et éviter les piratages : le dossier

Google Authenticator est une application gratuite qui s’installe sur votre SmartPhone et permet une authentification en deux étapes ou validation en deux étapes.
En effet les piratages des comptes de comptes internet deviennent de plus en plus courants.
Parfois ces comptes stockent des données bancaires ou donnent accès à des crypto-monnaies, compte Paypal, etc.
Ainsi il convient donc des les protéger.

Ainsi on propose de nouvelles méthodes de protection comme la double authentification.
Certaines de ces méthodes s’appuie sur l’envoi de SMS ou de code généré à partir d’une application sur votre smartphone.

Dans cet article, nous allons voir la méthode Google Authenticator avec cette application qui génère un code.

Google Authenticator : protéger ses comptes avec la double authentification

Présentation

Google Authenticator est une application sur votre smartphone qui permet donc l’authentification en deux étapes.
Cela permet d’avoir une application unique et de faciliter aussi la mise en place de ce type d’authentification sur les sites WEB.

Pour rappel, l’authentification en deux étapes consiste à utiliser votre SmartPhone comme moyen d’authentification en plus du mot de passe de votre compte.
Ce mode d’authentification s’utilise dans la plupart des comptes en ligne majeure : Google, Facebook, Paypal, Banque et paiement avec 3D Secure, etc).
Quelques exemples :

Ainsi on trouve la méthode avec le code par SMS.

On ne conseille pas la méthode par SMS car elle peut faire l’objet d’attaque dont le SIM Swap. Plus d’informations : SIM Swap : piratage de compte internet

Ainsi Google Authenticator permet de progéter contre ce type d’attaque.

Cela fonctionne de la même manière en générant un code temporaire à partir de votre téléphone.
A chaque identification sur le site, ce dernier va vous demander un code Google Authenticator qui apparaîtra sur l’application.

Installer Google Authenticator

Lancez le PlayStore sur votre Smartphone et installer Google Authenticator.
Un petit tutoriel s’ouvre alors avec quelques informations données par l’application.

L’installation sur le téléphone n’a rien de complexe.
Il suffit de se laisser guider dans les différentes étapes.

Installer Google Authenticator

Vous devez posséder un compte Google et connecter à ce dernier.

Installer Google Authenticator

Enfin un message indique que l’installation terminé et réussi.

Installer Google Authenticator

Enfin on arrive à l’application qui permet d’ajouter un compte WEB.
Comme expliqué précédemment, soit à partir d’un code-barre (QR Code), soit à partir d’une clé ou code secret.

Installer Google Authenticator

Ensuite il faut configurer ses comptes en ligne afin d’utiliser Google Authenticator.
Voici la procédure standard :

  • On se connecte au compte en ligne et on active Google Authenticator.
  • Un QR-Code ou une clé s’affiche
  • Puis on enregistre celle-ci dans l’application Google Authenticator du téléphone
  • Enfin cela ajoute l’application dans la liste et on peut générer un code à tout moment.

Utilisation Google Authenticator

Voici un exemple d’activation et utilisation de l’authentification avec Google Authenticator.

Facebook

Ces deux services permettent aussi la protection de compte via cette application de sécurité.

Pour Facebook, il faut se rendre dans les paramètres puis Sécurité et connexion.
Ensuite cliquer sur le bouton Modifier dans la partie “Utiliser l’authentification à deux facteurs“.

Google Authenticator sur Facebook

On vous demande votre mot de passe Facebook.
Ensuite vous pouvez configurer le mode de connexion.

Google Authenticator sur Facebook

Sur Twitter

Enfin pour Twitter, c’est aussi dans les paramètres puis Sécurité.
Le bouton “Passer en revue vos méthodes de vérifications de connexion” donne accès au paramètre.

Google Authenticator sur Twitter

Enfin on active une application de sécurité mobile et on se laisse guidé.

Google Authenticator sur Twitter

OVH

OVH permet une authentification par SMS ou par une application Smartphone.
Cela se gère dans votre compte > Sécurité.

Utilisation Google Authenticator sur OVH

Ici, nous allons donc utiliser Google Authenficator.
Le manager OVH génère alors un QR Code.. mais vous pouvez aussi générer un code Secret.

Utilisation Google Authenticator sur OVH

Il vous suffit de rentrer ce dernier dans votre application Google Authenficator afin d’ajouter votre compte OVH dessus.

Utilisation Google Authenticator sur OVH

A la prochaine authentification, la valide en deux étapes s’activent après avoir saisi votre mot de passe habituel.
Il ne reste plus qu’à saisir le code généré par Google Authenticator depuis votre SmartPhone.

Utilisation Google Authenticator sur OVH

A noter qu’OVH permet aussi de filtrer les accès à son manager avec une blacklist/whilist sur les IP.

Utilisation Google Authenticator sur OVH

WordPress et Google Authenticator

Il existe pas mal d’extension pour WordPress qui permettent d’ajouter l’authentification par Google Authenticator : https://fr.wordpress.org/plugins/tags/two-factor-authentication

WordPress et Google Authenticator

Dans cet exemple, on utilisera une des plus populaires Shield WordPress Security

On active l’authentification en deux étapes dans les options de Shield WordPress Security.

WordPress et Google Authenticator

Dans le Profil de l’utilisation se trouve le code Barre ou clé secrète, que l’on doit insérer dans son application Google Authenticator.

WordPress et Google Authenticator

Sur la page de logging de WordPress, un code est alors demandé (l’extension de sécurité ajoute aussi un champs “Im a Human” contre les attaques par BruteForce)

WordPress et Google Authenticator

Il ne reste plus qu’à saisir son code issue de Google Authenticator :

WordPress et Google Authenticator

Conclusion

Bref, ces méthodes de double authentification vont devenir un standard afin de sécuriser les accès à votre compte WEB.
C’est aussi un moyen de récupérer les numéros de téléphone des utilisateurs et de tracer les accès.

Enfin pour sécuriser vos comptes internet, vous pouvez lire l’article : Comment protéger et sécuriser ses comptes internet