Étiquette : sécurité

Activer l’authentification à double facteur sur votre compte Google

Aujourd’hui, nous allons parler d’un sujet sérieux. Ok, mes billets sont toujours sérieux. mais celui-ci encore plus. Si si. Nous allons apprendre comment configurer correctement son compte Google avec l’authentification à double facteur. Parce que c’est nécessaire.

Si vous ne l’avez pas encore fait, lisez cet article jusqu’au bout. Et c’est un ordre. Parce que l’on ne plaisante pas avec la sécurité, ça n’arrive pas qu’aux autres. Nan nan, pas de « plus tard, plus tard » !

L’authentification à double facteur, c’est quoi ce truc encore ?

Non, on ne vous demande pas ici de faire appel à la doublette Chronopost + UPS.
Lorsque vous vous connectez à votre espace client sur un site, vous saisissez votre mot de passe. Il s’agit d’un premier élément permettant au site de savoir qui vous êtes, en d’autres termes, un premier élément d’authentification. Ensuite, selon les méthodes proposées par tel ou tel site, l’on peut vous proposer par exemple :

  • L’envoi d’un code unique par SMS ;
  • L’utilisation d’une application d’authentification ;
  • L’utilisation d’une clé USB physique ;
  • L’utilisation de la reconnaissance facile ou de vos empreintes digitales.

Pourquoi j’irais faire un truc pareil ? C’est déjà compliqué de retenir son mot de passe non ?

Oui c’est contraignant. Mais cela ajoute une couche de protection supplémentaire à votre compte.

Par exemple, votre mot de passe pourrait ressembler au suivant :

  • azerty
  • 123456
  • Votre date de naissance

Si c’est le cas, vous êtes prié d’aller le modifier IMMÉDIATEMENT. Voici un outil proposé par la CNIL permettant de créer un mot de passe à la fois complexe et facile à retenir : https://www.cnil.fr/fr/generer-un-mot-de-passe-solide.

Bref, nous nous éloignons du sujet, mais un petit rappel ne fait jamais de mal.

D’une part, si votre mot de passe est trop simple, il peut être facile pour un pirate de le deviner. Même s’il l’est moins, un pirate peut le découvrir par la force brute (qui consiste à tester toutes les combinaisons possibles, mais c’est déjà plus compliqué à deviner si le mot de passe est costaud), ou par un simple fishing (fausse page de connexion pour vous faire entrer votre mot de passe, que le pirate récupère) si vous n’êtes pas très attentif. Ou encore, un site Web mal sécurisé peut laisser s’échapper dans la nature les mots de passe de ses membres. Et si vous pensez qu’un piratage de mot de passe est plutôt rare, je vous invite à visiter le site Haveibeenpwned.com, qui regroupe toutes les plus grosses failles et sur lequel vous pourrez voir le nombre de sites touchés ainsi que le nombre d’identifiants qui ont fuité.

Supposons maintenant qu’un deuxième élément d’authentification est activé sur votre compte. Le pirate a mis la main sur votre mot de passe, il tente donc de l’utiliser sur la page de connexion, et… il obtient donc un message lui demandant de taper le code reçu par SMS ou d’ouvrir son application d’authentification sur votre smartphone. Et comme il n’a pas tout ça, bim, vous êtes sauvé. Oui oui, sauvé. Parce qu’avec un compte piraté, je ne vous dis pas les ennuis. Convaincu ? Allez, entrons maintenant dans le vif du sujet, à savoir comment activer l’authentification à double facteur sur votre compte Google.

Activer l’authentification à double facteur sur Google

Pour commencer, rendez-vous sur la page de gestion de votre compte Google : https://myaccount.google.com/

Dans le volet de gauche, cliquez sur Sécurité, puis choisissez Validation en deux étapes.

Devinez quoi ? Oui ! On clique sur Commencer.

S’agissant de réglages sensibles, vous serez probablement invité à entrer votre mot de passe actuel. Pas d’inquiétude, pas de fishing en vue, tout est normal, prenez le réflexe de regarder dans la barre d’adresse, le site commence bien par https://accounts.google.com donc ouiiii, je valide.

Par défaut, Google vous demande votre numéro de téléphone afin de vous communiquer votre code temporaire lorsque vous souhaiterez vous connecter à votre compte Google. Il peut soit s’agir d’un SMS envoyé, soit un appel téléphonique de la part d’un robot qui vous dictera le code. Faites votre choix avant de cliquer sur Suivant. Vous noterez en bas de page la possibilité de sélectionner un autre facteur d’authentification autre que le téléphone, tel que l’insertion d’une clé de sécurité, ou une invite Google sur votre téléphone. Nous reviendrons sur ces méthodes plus tard.

Ensuite, vous allez recevoir par SMS / Appel un code de validation. Entrez-le pour passer à la suite.

INCROYABLE, cela fonctionne. La validation à double facteur fonctionne. Oui bon, heureusement. Mais n’oubliez pas de cliquer sur Activer quand même.

La prochaine fois que vous vous connecterez à votre compte Google, que ce soit sur PC, tablette, smartphone, console de jeu, etc., un code vous sera automatiquement envoyé. Code que devrez indiquer lorsque demandé.

ATTENDEZ ! CE N’EST PAS FINI !!!!

Tout d’abord, pardon pour cette agression avec ces lettres énormes et en majuscules, je m’excuse. Mais maintenant que j’ai votre attention, ne partez pas. En effet, nous allons voir les autres options disponibles sur cette page, où vous pourrez voir comment vous sauvez si par malchance vous avez résilié votre numéro de téléphone, ou activer d’autres méthodes d’authentification que votre numéro de téléphone si vous ne souhaitez pas que Google vous espionne (Spoiler : de toute façon c’est trop tard).

En premier lieu, vous pouvez supprimer toute méthode d’authentification que vous ne souhaitez plus sur cette page, via le petit crayon tout à droite.

Étape essentielle ensuite : la création de codes de secours. Comme le nom l’indique, ils sont là en cas de secours : Votre ligne téléphonique n’est plus accessible, vous avez fait tomber votre smartphone au fond de la Méditerranée, vous avez prêté votre clef USB de sécurité à votre cousin afin qu’il s’en serve comme marque-page. Dans tous les cas, vous ne pouvez plus connecter à votre compte, puisque vous ne pouvez plus recevoir de code de confirmation. Dans ce cas, vous n’avez plus qu’à créer un nouveau compte Google et le renseigner dans les 1492 sites Web sur lesquels vous êtes inscrit(e). Ou alors, parce que votre second prénom est Génie, vous aurez créé des codes de secours vous permettant de vous tirer de toute situation malencontreuse.

Sur votre page Validation en deux étapes, cliquez sur le lien Afficher les codes sous Codes de secours.

Téléchargez-les, imprimez-les, tatouez-les-vous, gravez-les sur le collier de votre chien, mais conservez-les. Vous choisirez Essayer une autre méthode, puis Entrer un code de secours en cas de besoin.

Autres méthodes d’authentification

Nous avons vu comment utiliser son numéro de téléphone pour recevoir un code, mais Google propose d’autres méthodes, à savoir :

  • Des invites Google ;
  • L’application Google Authenticator ;
  • Un numéro de téléphone secondaire ;
  • Une clé de sécurité.

Voyons voir en quoi tout cela consiste.

➡️ Invites Google

Une invite Google, c’est une notification envoyée sur votre smartphone à chaque tentative de connexion à votre compte. Vous n’avez qu’à cliquer sur la notification, confirmer que c’est bien vous qui en avez fait la demande, et l’accès vous sera accordé immédiatement.

Pour les invites, vous noterez la remarque présente sur la page :

Remarque : Si vous vous connectez à votre compte Google sur n’importe quel téléphone compatible, des invites Google seront ajoutées comme autre méthode de validation en deux étapes.

En d’autres termes, si vous avec enregistré votre compte Google dans votre smartphone, les invites Google sont automatiquement activées.

Allez, on active ! Cliquez pour cela sur le bouton Ajouter un numéro de téléphone. Vous verrez alors cela :

Voilà, tout ce que je raconte depuis tout à l’heure résumé en une image. Je me demande pourquoi j’ai écrit tout ça. Appuyez sur Commencer.

Il vous est alors demandé d’ajouter votre compte Google à votre téléphone. Les procédures d’ajout pour les smartphone Android et iOS sont décrites, une fois ceci fait, cliquez sur le lien 4. Cliquez ici pour réessayer, le bouton Suivant devrait s’activer pour vous permettre de valider la configuration.

➡️ Application Google Authenticator

Ici, au lieu de recevoir un code par SMS ou par notification, l’application Google Authenticator génèrera un code pour vous, valable pendant 30 secondes, une fois ce délai passé, un nouveau code sera généré.

À noter que si Google vous propose son application maison, vous pouvez très bien utiliser n’importe quelle application similaire, telles que Authy ou Microsoft Authenticator.

Pour activer cette option, cliquez sur Configurer sous Application Google Authenticator. Vous sélectionnez alors votre type de téléphone, vous noterez alors la présence d’un lien pour télécharger l’application. De toute façon ce n’est pas très compliqué, vous recherchez Google Authenticator sur le Play Store si vous avez un smartphone Android, ou sur l’App Store pour un appareil d’Apple.

Sur la même page, vous trouverez un QR Code. Qu’est ce qu’on en fait ? Vous ouvrez simplement l’application depuis votre téléphone, appuyez sur Scanner un code QR, et pointez la caméra du téléphone vers l’écran de l’ordinateur.

Votre compte s’affiche automatiquement à l’écran et vous pouvez voir le code temporaire avec le petit compte à rebours de 30 secondes avant la génération d’un nouveau code. Afin de valider la procédure, cliquez sur Suivant sur la page de configuration depuis l’ordinateur, et entrez un code généré.

➡️ Numéro de téléphone secondaire

Ici, la procédure est la même que ce qui a été proposé au début. Vous pouvez simplement ajouter un numéro de téléphone supplémentaire, si jamais le précédent rencontrait un problème quelconque.

➡️ Clé de sécurité

Une clé de sécurité peut être une clé USB physique. Elle peut également posséder des connectivités Bluetooth ou NFC. Cela s’avèrera pratique pour s’authentifier sur un smartphone par exemple. La Titan Security Key de Google ou la YubiKey 5 de Yubico sont de bons exemples de clés que vous pouvez utiliser.

Pour appairer une clé de sécurité physique à votre compte Google, cliquez sur Ajouter une clé de sécurité sous Clé de sécurité. Cliquez sur Suivant, et… Bin suivez les instructions pardi.

Une clé de sécurité peut également être virtuelle. Il va falloir utiliser une application sur votre smartphone, puis enregistrer la clé de sécurité de votre smartphone sur votre compte Google.

Pour cela, commencez par télécharger l’application Google Smartlock sur votre smartphone à partir de votre magasin d’applications préféré. Puis lancez-là et connectez votre compte Google. Une fois ceci fait, retournez à la configuration sur votre ordinateur et cliquez sur Ajouter une clé de sécurité sous Clé de sécurité. Cette fois, vous verrez apparaître votre smartphone. Cliquez dessus pour ajouter la clé.

Désormais, lors d’une connexion, une notification sur smartphone vous demande si vous êtes bien à l’origine de la tentative de connexion. Attention cependant, cette méthode ne fonctionne que si les deux appareils sont proches l’un de l’autre, si la connexion bleutooth est activée, et vous devez utiliser le navigateur Google Chrome.

Comment choisir telle ou telle méthode d’authentification ?

Par défaut, l’utilisation d’une clé de sécurité et les notifications envoyées sur smartphone sont prioritaires. Mais si vous avez activé d’autres méthodes d’authentification, rien ne vous empeche de les choisir. Après avoir entré votre mot de passe, cliquez sur le lien Essayer une autre méthode et sélectionnez celle de votre choix.

À présent, à vous de jouer !

Vérifier le contenu d’un fichier pkg sous macOS

Vous venez de récupérer un fichier chelou sur le web qui possède l’extension .pkg. Le site Web vous a dit de vite cliquer dessus car il s’agit d’un logiciel permettant de générer les numéros gagnants du loto. Pas de temps à perdre, une fois récupéré, vous enchaînez les clics sur suivant, jusqu’à ce qu’un message vous indique la réussite de l’installation.

Bravo, vous venez d’utiliser un fichier d’installation qui a dissimulé tout un tas de fichiers peu recommandables sur votre disque dur. Mais ne le sachant pas, vous allez donc vous vanter auprès de votre ami de votre trouvaille à propos de ce logiciel miracle, qui vous répondra alors : NON MAIS T’ES OUF ?? C’EST DU FAKE, SUPPRIME TOUT DE SUITE!!!

Oui, mais supprime quoi ? Qu’a fait ce fichier pkg sur votre ordinateur ? C’est ce que nous allons voir.

Qu’est-ce qu’un fichier pkg ?

Oui, vous avez raison, commençons par le début. Le fichier pkg est tout simplement un « package » renfermant tous les fichiers d’un certain programme. Pour s’installer, certaines applications demandent à ce qu’on les déplace simplement dans le menu Application du Mac. Pour d’autres, un fichier pkg est fourni, utilisant des scripts pour l’installation de ces dernières.

Sauf que lorsque ce package s’installe, beh vous ne savez pas trop ce qu’il fait justement. Peut-être fait-il tout proprement. Ou peut-être installe-t-il des fichiers pas très propres quelque part. Pour avoir le cœur net, nous pouvons analyser son contenu d’une manière très simple.

Dis donc, tu caches quoi comme fichiers ?

Bon, le loto ne m’intéressant pas, je ne possède pas ce générateur de numéros gagnants sous la main (ou ne l’ai pas encore trouvé). Je vais donc utiliser le fichier pkg de l’application Crazy Talk.

Commencez par lancer le fichier, comme si vous l’alliez procéder à l’installation. Une fois le premier écran qui s’affiche, allez dans le menu Fichier et Afficher tous les fichiers.

La liste des fichiers ainsi que l’emplacement où ils seront placés sont indiqués.

Tout ça, c’est bien beau. Mais cela ne nous indique pas ce que d’éventuels scripts font dans votre dos. Pour cela, nous allons utiliser une application bien pratique appelée Suspicious Package.

Suspicious Package, le Monsieur je sais tout

Commencez par vous rendre sur le site de l’éditeur, et télécharger l’application. Tout cela se passe par ici.

Une fois déposé sur votre disque, ouvrez-le. Les fichiers pkg devraient automatiquement s’afficher dans le volet de droite. Si ce n’est pas le cas, cliquez sur le lien Vous ne voyez pas le paquet que vous voulez ?, naviguez jusqu’à son emplacement, et sélectionnez votre package.

Une fois ceci fait, une fenêtre s’ouvre.

L’application affiche alors les éléments suivants, avec à chaque fois la possibilité de cliquer sur la petite flèche à droite afin d’accéder à la rubrique correspondante :

  • Le nombre d’éléments installés ainsi que la place prise sur le disque : vous pouvez voir quels fichiers sont installés et où, avec quelles permissions ;
  • Le certificat de l’éditeur : un certificat provenant de Microsoft est toujours plus crédible que celui de GagneUnIphone Inc;
  • Les scripts exécutés : vous pouvez voir en détail le code source des différents scripts exécutés;
  • Des éventuels avertissements.

Après avoir tout analysé en détail, si vous estimez que tout est en ordre, vous n’avez plus qu’à exécuter votre package.

Fièrement propulsé par WordPress & Thème par Anders Norén