Blog
 
"Double authentification", ou "(two-factor authentication" / 2FA
Publiée le : 20/01/2020

OK, il faut parlez français, donc on va parler de "double authentification".
Mais je dois avouer que je préfère le mot anglais "two-factor" authentification".
Le deuxième indique en effet mieux de quoi il s'agit.
Je vous explique pourquoi :

Wikipédia dit que la "double authentification", ou la "vérification en deux étapes" "est une méthode par laquelle un utilisateur peut accéder à une ressource informatique après avoir présenté deux preuves d'identité distinctes à un mécanisme d'authentification".

Cela devient plus précis quand on utilise la traduction "authentification à facteurs multiples" ou l'"authentification multi-facteurs" (même si dans ce cas cela s'approche ... d'un anglicisme.)

Le but n'est pas d'avoir 2 mots de passe (ou plus) l'un après l'autre : non. Le principe consiste à combiner
- quelque chose que l'on connaît (un mot de passe, un code PIN, une phrase secrète qu'on a mémorisé ou que l'on copie d'un gestionnaire d'un mot de passe
- quelque chose de matériel que l'on détient (une carte magnétique, une clé USB, un smartphone, etc....
Pour que cela augmente la sécurité il faut que les deux soit sur des supports matériels différents.

On peut étendre les 2 premiers à des facteurs supplémentaires :
- quelque chose lié à la personne physique (empreinte digitale, rétinienne, ou tout autre élément biométrique)

Le but est surtout de rendre inefficace les attaques qui essayent de trouver le fameux mot de passe "statique"
- par brute force (on essaye toutes les combinaisons jusqu'à trouver le bon : une question de patience)
- par dictionnaire (au lieu de lettres on utilise des mots communs)
- par interception du clavier (keyloggers) ou logiciel espion
- par écoute du réseau (si le protocole de transfert n'est pas chiffré)
- par hameçonnage / filoutage (en trompant l'utilisateur pour le mener à saisir sagement son mot de passe dans une fausse copie de l'interface)
- par ingénierie sociale (on le demande gentiment, ou par autorité -le faux mail du PDG ou du service informatique-
- et (pourquoi pas) par extorsion, torture, ou peut-être plus probable par chantage.

On regarde demain les différentes technologies que l'on peut utiliser pour une authentification forte par double authentification.

Image : Par Sylvain Maret --- Travail personnel, CC BY-SA 2.5, https://commons.wikimedia.org/w/index.php?curid=1532992
"Authentification forte" : contenu soumis à la licence CC-BY-SA 3.0 (http://creativecommons.org/licenses/by-sa/3.0/deed.fr) Source : Article Authentification forte de Wikipédia en français (http://fr.wikipedia.org/wiki/Authentification_forte).
"Double authentification" : contenu soumis à la licence CC-BY-SA 3.0 (http://creativecommons.org/licenses/by-sa/3.0/deed.fr) Source : Article Double authentification de Wikipédia en français (http://fr.wikipedia.org/wiki/Double_authentification).

"KeePass Password Safe" : se protéger des keyloggers / enregistreurs de frappe (Feuilleton, n° 8)
Publiée le : 11/01/2020
1  2  

A quoi sert un mot de passe principal solide si c'est pour se le faire voler quand on le saisit ?
Le risque vient aussi bien
- d'un humain qui observe votre frappe que
- plus subtilement d'un logiciel ou dispositif qui en arrière-plan, sans que vous vous en rendiez compte, enregistre les frappes du clavier.
On les appelle les "keyloggers" ou "enregistreurs de frappe"
(Plus ici : https://fr.wikipedia.org/wiki/Enregistreur_de_frappe )

On pourrait les classer en 2 catégories : 1/ les équipements physiques, et 2/ les logiciels.

Une digression d'abord pour évoquer qu'il existe une façon plus perfectionnée de protéger votre base de données de mot de passe (statique et réutilisable) de son interception : il s'agit de l'authentification à deux facteurs dont un est dynamique (un sorte de mot de passe généré dynamiquement et à chaque fois unique via un équipement (par exemple une yubikey) ou un logiciel sur un smartphone séparé)
Ce type de solution demande l'installation d'un plugin dans KeePass.
Mais commençons aujourd'hui d'abord à regarder ce que l'on peut faire sans cette étape supplémentaire plus technique.

1/ Contre les enregistreurs de frappe physique il y a peu à faire, sauf à inspecter visuellement votre installation matérielle : regardez ou mène le fil de branchement de votre clavier : y a-t-il un adaptateur suspect entre votre clavier et l'ordinateur ?
Hélas il en existe plus qu'on pense, il suffit de faire une recherche "Enregistreur de frappe" sur un site d'e-commerce avec pignon sur rue pour s'apercevoir... de la riche collection ! Certains ont même intégré dans un câble de rallonge USB ! Bref... (Soupire).
Seule solution : surveiller votre installation, verrouiller physiquement l'ouverture de votre ordinateur (plusieurs marques permettent la pose d'un verrou), ou apposer un témoin "Scellés adhésifs antieffraction" pour vérifier que votre station de travail n'a pas été ouverte pendant votre absence.
https://sbedirect.com/fr/scelles-adhesifs-anti-effraction/
Certain boitier sont équipé d'un interrupteur antieffraction qui enregistre si le boitier de l'appareil a été ouvert, à activer dans le BIOS (demander à votre informaticien ou service informatique)

Si vous utiliser un clavier "sans fil" la question à se poser est : est-ce que la transmission sans fil est cryptée ?
Les modèles bas de gamme le sont probablement pas : on peut donc intercepter votre frappe via les ondes radio avec un dispositif adapté (et à distance, c'est un plus !)
Les modèles qui disposent d'un chiffrement de la liaison en sont d'habitude fière : ils le mentionnent.
Si rien n'est mentionné sur le chiffrement : méfiance ...

2/ Pour le deuxième cas (le cas 2/ : logiciels) la solution est plus simple :
- avoir un antivirus de qualité et à jour
- utiliser les paramétrages de KeePass pour utiliser le moins (longtemps) possible de "presse papier" de Windows, - - utiliser le mode de saisie qui permet d'utiliser le mode "bureau sécurisé" de Windows

Regardons cela un par un.

Une fois votre base de donnée ouverte dans KeePass rendez-vous dans la barre de menu sur l'onglet "Outils", puis l'entrée "Options".
Ne pas paniquer : il y en a beaucoup, mais on est pas obligé de toucher à tout !
Regardez seulement quelques éléments pour rendre votre installation de KeePass plus sécurisé.

D'abord regarder tout ce qui concerne le "verrouillement" automatique de la base de données.
- après une période d'inactivité de KeePass
- après une période d'inactivité de l'utilisateur en session.
Plus vous réduisez la fenêtre de temps, plus vous sécurisez votre installation.

Puis regarder ce qui concerne le "presse-papiers" : "Effacement du presse-papier après un délai (en secondes) : mettez-y juste ce qu'il vous faut en tant que humain pour faire le copier/coller. Pas besoin de laisser le mot de passe plus longtemps dans le presse-papier (à la merci d'autres logiciels trop curieux).
Bien sûr on coche aussi "Ne pas enregistrer les données dans l'historique du presse-papier de Windows ni dans le presse-papiers du nuage" (c'est sympathique d'avoir prévu cette possibilité, mais disons que pour la sécurité ce n'est pas vraiment l'idéal...)

Puis regarder ce qu'il y a dans la fenêtre "Avancé" : vous allez y trouver le plus intéressant.
"Saisir la clé principale sur un bureau sécurisé" : à cocher sans hésitez !
Au moment de la saisie du mot de passe principal KeePass demandera un mode de fonctionnement spécial à Windows qui permet d'être "isolé" des autres processus (logiciels) en cours sur l'ordinateur : ainsi ils ne peuvent pas interagir avec la phase de saisie du mot de passe.
Que je sache jusqu'à présent très peu de logiciels (voir aucun) ont réussi à briser ce mode de protection de Windows.

Autres photos
"KeePass Password Safe" : enregistrer et organiser vos mots de passe (Feuilleton, n° 7)
Publiée le : 08/01/2020
1  2  3  4  5  6  7  8  9  

Nous avons terminé hier l'installation de KeePass, et la création de notre première base de données de mots de passe. Le logiciel a créé quelques rubriques dans le panneau de gauche (voir 1 sur l'image en haut) et 2 exemples de mot de passe dans le panneau de droite (voir 2 sur l'image en haut).

Regardons un exemple : Repérer la ligne "Exemple d'entrée #2", et faites un double clic dessus pour ouvrir la fiche détail de cette entrée. (Voir 1 sur l'image).

Une nouvelle fenêtre s'ouvre "Modifier l'entrée". Comme hélas parfois avec les logiciels open source il y a une multitude d'options possibles : ne vous laissez pas impressionner, nous allons besoin que de 3.
1/ Le "Titre" (voir 1 sur l'image) sera montré dans la liste. Mieux vaut y mettre le nom du site ou du service numérique.
2/ Le "Nom d'utilisateur" (voir 2 sur l'image) indique votre nom d'utilisateur sur ce site ou service numérique.
3/ Le "Mot de passe" (voir 3 sur l'image) indique votre mot de passe pour ce site ou service numérique.
C'est le minimum qu'il vous faut.

Il peut être utile d'y ajouter l'URL du site ou service (voir 4 sur l'image) : cela peut vous aider à combattre une tentative de phishing ou un pirate va essayer de vous induire en erreur en essayant de vous faire saisir votre nom d'utilisateur et mot de passe sur un site copié (et avec une autre adresse).

Si cela vous aide vous pouvez choisir une icône pour ce site/service. Une bonne soixantaine vous sont présenter, mais si besoin vous pouvez en ajouter.

Vous avez un bouton "..." pour basculer entre le mot de passe masqué ("**") ou en claire (voir 6 sur l'image).

Vous pouvez aussi ouvrir (avec le bouton avec une clé) un
générateur de mots de passe (voir 7 sur l'image).
Le but étant maintenant que vous disposez d'une base de données, et que
vous n'allez plus devoir mémoriser les mots de passe), d'utiliser des mots de passe longs et difficile à mémoriser !

Le générateur de mots de passe vous propose d'abord
quelques préréglages, mais vous pouvez aussi choisir d'ouvrir le générateur de mots de passe et choisir vous-même vos préférences / exigences.
- Nous vous conseillons une
longueur conséquente (par exemple 50) (voir 1 sur l'image)
- D'utiliser des
Majuscules, Minuscules, Chiffres, Tiret, Souligné et Caractères Spéciaux (voir 2 sur l'image)
Une fois vos critères définis vous pouvez voir des exemples générés aléatoirement dans l'onglet "
Prévisualisation" (voir 3 sur l'image)

Vous pouvez choisir une ligne qui vous plait (par exemple celle sélectionné en 1 sur l'image)
ou accepter la première ligne (voir 2 sur l'image)
en cliquant sur "OK" (voir 3 sur l'image)

Vous revenez alors à l'écran précédent,
et
le mot de passe de la première ligne a déjà été transféré (voir 1 sur l'image).
Vous pouvez aussi y copier/coller la ligne que vous avez choisi dans l'étape précédente.
Cela fait vous pouvez cliquer "OK" pour fermer cet écran (voir 2 sur l'image)

Maintenant attention : vous avez modifié l'entrée, mais n'oubliez pas de sauvegarder votre modification.
Donc il faut cliquer sur le bouton "Enregistrer" !

Pour créer une nouvelle entrée de mot de passe
cliquez à droite dans l'espace libre du panneau de droite (1 dans l'image) et choisir "Ajouter une entrée" (voir 2 dans l'image).

Vous pouvez aussi d'abord
choisir un groupe dans le panneau de gauche (voir 1 dans l'image), puis clic droite dans le panneau de droite pour "Ajouter une entrée" (voir 2 dans l'image) comme dans la précédente étape.

Vous pouvez aussi
créer un nouveau groupe : clic droit dans le panneau des groupes (à gauche, voir 1 sur l'image) afin d'organiser vos mot de passe** dans des groupes.

Autres photos
"KeePass Password Safe" : créer la base de données pour vos mots de passe (Feuilleton, n° 6)
Publiée le : 06/01/2020
1  2  3  4  5  6  

Maintenant que nous avons installé le logiciel "KeePass" et que nous l'avons mis en langue française, il est temps de créer la base de données qui va contenir nos mots de passe (complexe et différents pour chaque site).

Dans la barre de menus (voir 1 sur l'image), choisir la première entrée "Fichier" (voir 2 sur l'image), puis la première entrée "Nouveau..." dans la liste déroulante (voir 3 sur l'image).

Le logiciel vous informe de ce qui va se passer : "Vos données seront stockées dans un fichier de base de données au format KeePass, qui est un fichier régulier.
Après avoir cliqué [OK], vous serez prêt à spécifier la localisation de l'endroit ou KeePass devra sauvegarder ce fichier.

Il est important que vous vous souveniez de l'endroit où est stocké le fichier de la base de données.

Vos devriez régulièrement créer une sauvegarde du fichier de la base de données (sur un équipement de stockage de données indépendant)"

Cliquez "OK" (voir 1 sur l'image)

Une nouvelle fenêtre "Créer une nouvelle base de données" s'ouvre (voir 1 sur l'image).
Nous vous conseillons de créer dans votre dossier "Documents" un nouveau dossier nommé par exemple "Mes Mots de Passe" (voir 2 sur l'image), et de choisir un nom de fichier que vous pourrez retrouver facilement, par exemple "Mes Mots de Passe 1.kdbx" (voir 3 sur l'image).
Puis "Enregistrer" (voir 4 sur l'image)

Une nouvelle fenêtre s'ouvre : "Créer une clé principale composée" (voir 1 dans l'image).
Il s'agit du seul mot de passe que vous allez devoir mémoriser.
Bien sûr, puisqu'il va donner accès à tous les autres mots de passe, il doit être solide.
Un conseil serait d'utiliser une "phrase".
Vous pouvez l'écrire en entier comme mot de passe
(par exemple "Comme chaque année, il ne fait pas très chaud ces premiers jours de 2020 !"
ou prendre que les premières lettres et signes
(ce qui donne alors "Cca,infptccpjd2!")
N'hésitez pas à aller dans l'absurde, mais surtout éviter toute référence à
- votre métier
- votre entreprise
- votre famille
- vos enfants
- votre date de naissance, etc...
En fait : veiller à ce que cette "phrase de passe" n'ait rien à voir avec vous ni votre situation.
Il sera ainsi plus difficile de la deviner.
Pour éviter les erreurs de frappe vous devrez répéter le mot de passe (voir 2 sur l'image)
Le bouton "..." (voir 3 sur l'image) vous permet de voir le mot de passe et le relire / vérifier

Notez la barre "Qualité estimée" : vous devriez être dans le "vert" (voir 4 sur l'image).

Si vous êtes un utilisateur expert vous pouvez rajouter des exigences à l'authentification en cliquant sur l'option "Montrer les options de l'expert". (voir 5 sur l'image)
Nous vous proposons de ne pas vous y rendre pour l'instant : vous pourrez toujours le faire après si besoin.
Une bonne "phrase de passe" est déjà un bon début !
Vous pouvez maintenant cliquer "OK" (voir 6 sur l'image).

Une fenêtre "Paramètres de la base de données" s'ouvre (voir 1 sur l'image).
Nous vous conseillons de ne rien y changer pour commencer. Vous pourrez toujours y revenir après si besoin.
Les réglages par défaut sont suffisants.
Vous pouvez cliquer sur "OK" sans plus (voir 2 sur l'image).

Le logiciel KeePass vous propose maintenant d'imprimer une "Feuille de secours".
Elle contient toutes les informations importantes qui sont requises pour ouvrir une base données si vous oublier le mot de passe.
Nous vous conseillons de l'imprimer, de la compléter et de la stocker en lieu sûr (vous en aurez besoin seulement en cas d'oubli du mot de passe ou d'autres problèmes techniques).
De préférence ne la garder pas près de votre ordinateur, mais amener là dans un autre lieu physiquement et géographiquement séparé.

Le logiciel KeePass ouvre maintenant cette base de données.
Quelques dossiers exemple y sont déjà créé (vous pourrez les effacer/modifier selon vos besoins) dans le panneau de gauche (voir 1 sur l'image).
Vous trouverez aussi 2 exemples d'entrées de mot de passe dans le panneau de droite (voir 2 sur l'image).

Nous pourrons les effacer et créer une structure de dossiers pour nos mots de passe en fonction de vos besoins métier.

Autres photos
"KeePass Password Safe" : (facultatif) ajouter la langue française à l'interface (Feuilleton, n° 5)
Publiée le : 05/01/2020
1  2  3  4  5  6  7  8  9  10  11  12  13  14  15  16  17  

(Trop compliqué ? ICOLEIS peut faire l'installation par télémaintenance sur votre poste de travail sur devis ou vous fournir une clé USB préinstallée avec une version portable du logiciel. Contactez-nous)

Il se peut que vous désiriez disposer d'une interface en langue française.
C'est optionnel et relativement complexe (mais on le fait pas par pas)

Une fois le logiciel "KeePass" lancé, rendez-vous dans la barre de menu (voir 1 sur l'image), puis la 5ième entrée "View" (voir 2 sur l'image), puis cliquez sur le sous-menu "Change Language ..." (voir 3 sur l'image).

Une nouvelle fenêtre s'ouvre "Select Language".
Pour l'instant vous ne voyez qu'une langue "English (English)" (voir 1 sur l'image).
Nous allons rajouter la langue française.
Il nous faut faire deux choses pour cela :
1/ ouvrir le dossier sur votre ordinateur ou nous allons mettre le fichier nécessaire pour la langue française en cliquant sur le bouton "Open Folder" (voir 2 sur l'image)
2/ ouvrir la page web sur le site de l'éditeur ou nous pouvons récupérer le fichier de la langue française en cliquant sur le bouton "Get More Languages..." (voir 3 sur l'image).

La première action nous ouvre le navigateur Windows sur le dossier
c:Program Files (x86)KeePass Password Safe 2Languages (voir 1 sur l'image).
C'est normal qu'il est vide (voir 2 sur l'image).

La deuxième action "Get More Languages..." nous ouvre la page web de l'éditeur "Translations" (voir 1 sur l'image) ou nous pouvons récupérer le fichier nécessaire à la langue française.
Repérer la ligne "French" (voir 2 sur l'image) et cliquez sur le lien "2.43+" à droite (voir 3 sur l'image).

Le site web vous demande de patienter ("Your download will start shortly..." (voir 1 sur l'image), le temps de vous montrer quelques publicités (voir 2 sur l'image)... .
(Le "gratuit" à un prix...)

Windows vous demande "que faire de ce fichier". Choisissez d'enregistrer le fichier (voir 1 et 2 sur l'image).

Choisir le dossier de votre choix (ou bien le "bureau", ou le dossier "Téléchargements"), vous pourrez l'effacer après l'avoir utilisé dans les étapes suivantes.

Ce fichier est un fichier compressé.
Windows vous propose de l'extraire dans un nouveau dossier, le plus simple est d'accepter le choix proposé (voir 1 sur l'image) et d' "Afficher les dossiers extraits une fois l'opération terminée" (voir 2 sur l'image) : c'est parfait, le laissé coché. Cliquez sur "Extraire" (voir 3 sur l'image).

Un nouveau sous-dossier est créé avec comme nom le nom du fichier compressé ("KeePass-2.43-French-c") (voir 1 sur l'image). Dedans vous trouvez (enfin) le fichier qu'il vous faut : "French.lngx" (voir 2 sur l'image).
Cliquez à droite sur le nom du fichier (voir 1 sur l'image) pour voir le menu contextuel (voir 2 sur l'image), puis choisir "Copier" (voir 3 sur l'image).

Rendez-vous maintenant dans le dossier qui a été ouvert en "1/" : là ou KeePass va chercher ces définitions de langue. Dans notre cas il s'agit du dossier
c:Program Files (x86)KeePass Password Safe 2Languages
Cliquez à droite dans le vide de ce dossier (voir 1 sur l'image) pour faire apparaitre le menu contextuel (voir 2 sur l'image), puis choisir "Coller" (voir 3 sur l'image).

Windows vous demandera des droits d'administration pour cette opération. Si vous l'avez cliquez "Continuer" (voir 1 dans l'image)

Le fichier "French.lngx" (voir 1 dans l'image) est maintenant dans le dossier
c:Program Files (x86)KeePass Password Safe 2Languages
(voir 2 dans l'image).

Vous pouvez maintenant retourner dans le logiciel "KeePass", allez dans la barre de menu (voir 1 sur l'image), puis "View" (voir 2 sur l'image), et choisir "Change Language..." (voir 3 sur l'image).

La fenêtre "Select Language" s'ouvre (voir 1 sur l'image).
Sélectionner la ligne "French (Français)" (voire 2 sur l'image), puis cliquez sur le bouton "Close" (voir 3 sur l'image).

Le logiciel indique maintenant que la langue française a été activé mais que KeePass doit redémarrer pour l'appliquer (voir 1 sur l'image). Cliquer sur "Oui" (voir 2 sur l'image) pour redémarrer KeePass.

Voilà, nous y sommes (enfin) : l'interface est maintenant en langue française.

Nous allons maintenant pouvoir enregistrer nos mots de passe des différents services web dans KeePass.

Autres photos
"KeePass Password Safe" : installer le logiciel téléchargé (Feuilleton, n° 4)
Publiée le : 04/01/2020
1  2  3  4  5  6  7  8  

(Trop compliqué ? ICOLEIS peut faire l'installation par télémaintenance sur votre poste de travail sur devis ou vous fournir une clé USB préinstallée avec une version portable du logiciel. Contactez-nous)

Une fois le logiciel d'installation téléchargé sur votre ordinateur, cliquez (double clic) pour le lancer.

Windows vous demandera confirmation si vous avez les droits d'installation,
ou vous demandera de vous connecter avec un compte d'administrateur si besoin.
(voir capture écran en haut de cet article).

Cliquez sur "Oui" (voir 1 sur l'image).
Le logiciel d'installation vous demande la langue dans lequel il doit s'exprimer.
Choisissez ce qui vous convient le mieux.

Lisez la licence d'utilisation (voir 1 sur l'image), accepter-la (voir 2 sur l'image) et passer à l'écran suivant (voir 3 sur l'image)

Le logiciel d'installation vous propose des composants à installer.
Le plus simple pour vous est de tout accepter (voir 1 sur l'image), puis passer à l'écran suivant (voir 2 sur l'image).

Le logiciel d'installation vous propose alors quelques tâches supplémentaires, accepter les (voir 1 sur l'image), puis passer à l'écran suivant (voir 2 sur l'image).

Un résumé "Prêt à installer" vous est montré.
Vérifier si besoin si tout correspond à vos choix (voir 1 sur l'image), puis cliquez sur "Installer" (voir 2 sur l'image).

L'écran "Installation en cours" vous est présenté. Patientez....

L'écran "Fin d'installation" vous est présenté. Le logiciel d'installation vous propose de "Exécuter KeePass", c'est une bonne idée, laisser le coché (voir 1 sur l'image) et cliquer sur "Terminer" (voir 2 sur l'image) pour sortir du logiciel d'installation.

Voilà que le logiciel "KeePass" s'ouvre.

Pour l'instant tout est vide : c'est normal, vous n'avez encore entré aucune information. On va y travailler demain.

Autres photos
Retour à l'accueil de l'extranet