Google Authenticator est une application gratuite qui s’installe sur votre SmartPhone et permet une authentification en deux étapes ou validation en deux étapes.
En effet les piratages des comptes de comptes internet deviennent de plus en plus courants.
Parfois ces comptes stockent des données bancaires ou donnent accès à des crypto-monnaies, compte Paypal, etc.
Ainsi il convient donc des les protéger.
Ainsi on propose de nouvelles méthodes de protection comme la double authentification.
Certaines de ces méthodes s’appuie sur l’envoi de SMS ou de code généré à partir d’une application sur votre smartphone.
Dans cet article, nous allons voir la méthode Google Authenticator avec cette application qui génère un code.
Table des matières
Présentation
Google Authenticator est une application sur votre smartphone qui permet donc l’authentification en deux étapes.
Cela permet d’avoir une application unique et de faciliter aussi la mise en place de ce type d’authentification sur les sites WEB.
Pour rappel, l’authentification en deux étapes consiste à utiliser votre SmartPhone comme moyen d’authentification en plus du mot de passe de votre compte.
Ce mode d’authentification s’utilise dans la plupart des comptes en ligne majeure : Google, Facebook, Paypal, Banque et paiement avec 3D Secure, etc).
Quelques exemples :
Ainsi on trouve la méthode avec le code par SMS.
On ne conseille pas la méthode par SMS car elle peut faire l’objet d’attaque dont le SIM Swap. Plus d’informations : SIM Swap : piratage de compte internet
Ainsi Google Authenticator permet de progéter contre ce type d’attaque.
Cela fonctionne de la même manière en générant un code temporaire à partir de votre téléphone.
A chaque identification sur le site, ce dernier va vous demander un code Google Authenticator qui apparaîtra sur l’application.
Installer Google Authenticator
Lancez le PlayStore sur votre Smartphone et installer Google Authenticator.
Un petit tutoriel s’ouvre alors avec quelques informations données par l’application.
L’installation sur le téléphone n’a rien de complexe.
Il suffit de se laisser guider dans les différentes étapes.
Vous devez posséder un compte Google et connecter à ce dernier.
Enfin un message indique que l’installation terminé et réussi.
Enfin on arrive à l’application qui permet d’ajouter un compte WEB.
Comme expliqué précédemment, soit à partir d’un code-barre (QR Code), soit à partir d’une clé ou code secret.
Ensuite il faut configurer ses comptes en ligne afin d’utiliser Google Authenticator.
Voici la procédure standard :
- On se connecte au compte en ligne et on active Google Authenticator.
- Un QR-Code ou une clé s’affiche
- Puis on enregistre celle-ci dans l’application Google Authenticator du téléphone
- Enfin cela ajoute l’application dans la liste et on peut générer un code à tout moment.
Utilisation Google Authenticator
Voici un exemple d’activation et utilisation de l’authentification avec Google Authenticator.
Ces deux services permettent aussi la protection de compte via cette application de sécurité.
Pour Facebook, il faut se rendre dans les paramètres puis Sécurité et connexion.
Ensuite cliquer sur le bouton Modifier dans la partie “Utiliser l’authentification à deux facteurs“.
On vous demande votre mot de passe Facebook.
Ensuite vous pouvez configurer le mode de connexion.
Sur Twitter
Enfin pour Twitter, c’est aussi dans les paramètres puis Sécurité.
Le bouton “Passer en revue vos méthodes de vérifications de connexion” donne accès au paramètre.
Enfin on active une application de sécurité mobile et on se laisse guidé.
OVH
OVH permet une authentification par SMS ou par une application Smartphone.
Cela se gère dans votre compte > Sécurité.
Ici, nous allons donc utiliser Google Authenficator.
Le manager OVH génère alors un QR Code.. mais vous pouvez aussi générer un code Secret.
Il vous suffit de rentrer ce dernier dans votre application Google Authenficator afin d’ajouter votre compte OVH dessus.
A la prochaine authentification, la valide en deux étapes s’activent après avoir saisi votre mot de passe habituel.
Il ne reste plus qu’à saisir le code généré par Google Authenticator depuis votre SmartPhone.
A noter qu’OVH permet aussi de filtrer les accès à son manager avec une blacklist/whilist sur les IP.
WordPress et Google Authenticator
Il existe pas mal d’extension pour WordPress qui permettent d’ajouter l’authentification par Google Authenticator : https://fr.wordpress.org/plugins/tags/two-factor-authentication
Dans cet exemple, on utilisera une des plus populaires Shield WordPress Security
On active l’authentification en deux étapes dans les options de Shield WordPress Security.
Dans le Profil de l’utilisation se trouve le code Barre ou clé secrète, que l’on doit insérer dans son application Google Authenticator.
Sur la page de logging de WordPress, un code est alors demandé (l’extension de sécurité ajoute aussi un champs “Im a Human” contre les attaques par BruteForce)
Il ne reste plus qu’à saisir son code issue de Google Authenticator :
Conclusion
Bref, ces méthodes de double authentification vont devenir un standard afin de sécuriser les accès à votre compte WEB.
C’est aussi un moyen de récupérer les numéros de téléphone des utilisateurs et de tracer les accès.
Enfin pour sécuriser vos comptes internet, vous pouvez lire l’article : Comment protéger et sécuriser ses comptes internet