Je suis un utilisateur régulier de Pandora FMS depuis des années et le mieux que je puisse dire à leur sujet est qu’ils ont toujours quelque chose de nouveau à ajouter à mon apprentissage. Aujourd’hui, par exemple, j’ai redécouvert l’authentification à double facteur dans Pandora FMS.
*Et je l’ai fait, en partie, à cause de cet article déjà publié sur le blog
Bien que je me consacre à la programmation (et c’est ce que j’aime faire le plus), j’aime plus le Web 2.0 que le Web 3.0 parce que je considère que ce dernier a été trop abusé.
En 2.0 la communication est bidirectionnelle et au même niveau, en 3.0 quand on demande quelque chose on répond :
« Et qui demande ? »
Ayant déjà profité, sans consultation, bien sûr, de vérifier votre géolocalisation au moyen de votre adresse IP.
Non contents de cela, bref, ils vous collent une étiquette comme si vous étiez du bétail numérique…
*Et non, je ne suis pas paranoïaque, plusieurs pays dans le monde veulent modifier leurs lois nationales concernant la vie privée ! (C’est pourquoi j’utilise principalement le moteur de recherche DuckDuckGo).
Je ne reculerais pas non plus pour rester au Web 1.0 ; à cette époque, dans les années 1970 et 1980 (ma jeunesse), nous étions trop innocents.
*Par exemple, pendant de nombreuses années, le mot de passe pour lancer des armes de destruction massive américaines était simplement le zéro répété huit fois…
Bien évidemment nous avons besoin de systèmes d’authentification plus robustes. Et l’un d’eux est venu, non pas d’un programmeur mais d’un entrepreneur très avant-gardiste, Kenneth P. Weiss.
Sa contribution a été essentielle au monde et à la question dont nous discutons ici aujourd’hui.
Comme parler de cryptage et de sécurité donne à écrire des livres entiers, mieux vaut entrer dans le vif du sujet maintenant.
Connaissez l’authentification à double facteur dans Pandora FMS
Il est important de distinguer ce qu’est l’authentification à double facteur et l’authentification double.
De nombreuses banques nous obligent à ajouter plusieurs questions de sécurité qu’elles utilisent après avoir entré votre mot de passe. Ils choisissent au hasard un ou plusieurs d’entre eux et vous devez répondre. Le fait est qu’ils sont toujours des choses que vous connaissez.
Un deuxième facteur d’authentification est « ce que vous avez ».
C’est là que réside le génie de M. Weiss. Comment authentifier « quelque chose que nous avons » ?
Eh bien, en bref : au moyen de clés publiques et clés privées. Comme nous le faisons sur notre ordinateur depuis des années.
C’est à dire, « ce que vous êtes ».
Mon téléphone portable, par exemple, comprend la lecture d’empreintes digitales. Mais il vaudrait aussi la peine d’une identification faciale basée sur l’infrarouge pour détecter par la chaleur les veines et les artères de notre visage.
*Même les jumeaux identiques du même œuf n’ont pas la même distribution sanguine.
Plus récemment, une autre catégorie a été ajoutée : ce que vous faites.
La façon dont vous chantez ou dont vous effectuez un geste. Même la vitesse de votre frappe, y compris les pauses, et bien plus encore.
Dans tous ces cas, il s’agit d’une couche de sécurité supplémentaire. Pour être considérés comme un deuxième facteur d’authentification, au moins deux d’entre eux doivent être utilisés.
L’acronyme MFA est utilisé lorsque trois ou quatre des méthodes ci-dessus sont utilisées.
Enfin, il est important de souligner le cas des périphériques matériels comme authentification à double facteur : YubiKey ou le module de plateforme sécurisée version 2.0 (TPM 2.0) très à la mode.
Mécanisme de fonctionnement
Comme je l’ai dit, tout va dans la paire de clés privée et publique.
En bref, une clé privée est générée qui est partagée avec nous utilisateurs et lorsqu’il faut l’utiliser, la date et l’heure sont prises et une clé publique est calculée.
Cette clé n’est valable que pour une période de temps, disons une minute, et sera celle que nous donnerons pour nous identifier.
À l’endroit où nous allons entrer, où ladite clé privée a été générée, la même chose est faite, la clé publique est également calculée pour cette période de temps et comparée à celle livrée à l’utilisateur à ce moment-là.
Bien sûr, c’est beaucoup plus complexe que la façon dont je le décris, mais comme l’a dit Léonard de Vinci : « La simplicité est la sophistication ultime ».
Pandora FMS et Google Authenticator
Dans Pandora FMS, Google Authenticator a été choisi, ce qui n’est pas surprenant, car cette société Alphabet Inc. a été pendant plus de vingt ans dans nos vies et est devenue « l’éléphant dans la pièce ».
Bien sûr, il en existe aussi beaucoup d’autres, comme LastPass Authenticator ou Microsoft Authenticator.
Dans la documentation officielle de Pandora FMS il est expliqué très bien comment configurer l’authentification à double facteur, cependant, j’ai quelque chose à ajouter.
L’authentification à double facteur n’est pas, en soi, une sauvegarde de mots de passe forts. Nous devons utiliser des mots de passe forts afin d’avoir une période d’au moins un mois (et nous devrions les changer tous les mois).
*S’il y a une fuite du hash de notre mot de passe, puisqu’il est robuste, il faudra plus d’un mois aux voleurs pour le déchiffrer et avant cela nous l’aurons déjà changé nous-mêmes.
• Les deux authentificateurs que j’ai testés peuvent fonctionner hors ligne en toute sécurité car ils dépendent de l’heure et de la date comme je l’ai expliqué.
*Cependant, si un problème improbable se produit avec l’heure et la date sur votre portable, Google Authenticator a la possibilité de synchroniser en ligne sans affecter l’heure et la date de l’appareil.
• Tout n’est pas beau : J’imprime également des codes de sauvegarde que je stocke dans un endroit sûr pour les e-mails dans gmail.
*Pour télécharger Google Authenticator, ils vous demanderont d’implémenter le deuxième facteur d’authentification pour le courrier électronique.
Une fois que vous souhaitez vous connecter à un nouvel appareil, vous pouvez utiliser l’option « Essayer d’autres méthodes » et saisir l’un des codes de secours à 8 chiffres. N’oubliez pas de rayer ce code de la liste car ils ne peuvent être utilisés qu’une seule fois.
• Depuis notre profil utilisateur Pandora FMS, juste à côté du bouton pour désactiver l’authentification à double facteur, il y a le bouton « Afficher les informations », qui vous permettra d’afficher à nouveau le code privé pour l’ajouter à un autre périphérique de sauvegarde.
*Disons que la batterie de notre mobile principal est complètement déchargée : on gagne du temps pour entrer dans Pandora FMS avec le dispositif de secours.
• Le temps est précisément l’une des plaintes les plus fréquentes dans l’utilisation de l’authentification à double facteur, car il prend plus de temps à entrer.
**Mais ne vous inquiétez pas, je vais vous dire au revoir avec le fait réconfortant que vous attendiez :
80 % des tentatives de piratage de vos comptes peuvent être évitées en utilisant l’authentification à double facteur !
Ressources
Bibliothèque de plugins Pandora FMS
Programmer since 1993 at KS7000.net.ve (since 2014 free software solutions for commercial pharmacies in Venezuela). He writes regularly for Pandora FMS and offers advice on the forum . He is also an enthusiastic contributor to Wikipedia and Wikidata. He crushes iron in gyms and when he can, he also exercises cycling. Science fiction fan. Programmer since 1993 in KS7000.net.ve (since 2014 free software solutions for commercial pharmacies in Venezuela). He writes regularly for Pandora FMS and offers advice in the forum. Also an enthusiastic contributor to Wikipedia and Wikidata. He crusher of irons in gyms and when he can he exercises in cycling as well. Science fiction fan.