Comme vous le savez, j’aime bien parler des choses en lien avec la vie privée. Et les mots de passe jouent un grand rôle dans la protection de votre vie privée en ligne. C’est pourquoi j’ai décidé d’ajouter un article sur la protection et la gestion des mots de passe. Et cette fois je vais me concentrer sur le logiciel Google d’authentification en deux étapes de Google, c’est-à-dire Google Authenticator.
Tout d’abord, commençons par dire un mot de l’authentification Google 2FA (Two-factor). Ou de la vérification Google en deux étapes, pour être plus précis. Je suis sûr que vous avez déjà reçu des notifications là-dessus, d’un service ou un autre, mais il se peut que vous ne l’ayez pas encore installé. Car vous ne savez pas de quoi il s’agit. Ou car vous pensez que c’est trop compliqué.
Mais ça ne l’est pas. C’est juste une couche supplémentaire de protection que vous pouvez mettre en place quand vous voulez vous connecter à un site internet. Et qui requiert d’avoir installé l’application Google Authenticator, qui va dynamiquement générer un nombre à 6 chiffres qui est commun à l’utilisateur et au système d’authentification. Donc vous utilisez normalement vos informations de connexion (nom d’utilisateur et mot de passe), puis vous entrez le code automatiquement généré par l’application pour vous connecter. C’est tout.
L’avantage principal est que personne ne peut se connecter sans votre mot de passe à usage unique, même si la personne a réussi à voler vos informations de connexion. Et le code expire après quelques instants pour une plus grande protection. De plus, utiliser l’application Google Auth vous garantit de pouvoir vous connecter même quand votre appareil est en dehors de la zone de couverture. Car si vous utilisez la vérification en deux étapes par SMS, c’est le risque que vous encourrez…
Comme pour la plupart de leurs applications et services, Google Authenticator PC est gratuit. Donc vous pouvez vous en servir sans rien débourser, jamais. Et ça ne couvre pas que les services de Google. Mais tous les sites qui ont permis l’authentification en deux étapes !
| Authentification multi-étapes | Vérification en 2 étapes |
| Algorithmes | RFC 6238 et RFC 4226 |
| Chiffrage | HMAC-SHA1 |
| Appareils supportés | Mobiles (Windows, iOS, Android) |
Pour transformer votre smartphone en outil de sécurité, il n’y a pas grand-chose à mettre en place. Et l’interface Google Auth est très minimaliste, avec seulement les informations obligatoires et les fonctionnalités disponibles.
Ils sont presque inexistants… En effet, il n’y a que le délai de correction des codes, une fonctionnalité de résolution de problème si vos codes ne fonctionnent pas.
La première étape est de télécharger et installer l’application Google Authenticator sur votre appareil. Et vous pouvez trouver l’application aussi bien sur le Play Store, que sur l’App Store. Ensuite vous devez autoriser l’authentification en deux étapes sur le site pour lequel vous voulez utiliser l’application. Parmi les sites les plus populaires, vous pouvez par exemple ajouter :
Et beaucoup d’autres. En général, vous n’avez qu’à vérifier dans les paramètres de votre compte ou les paramètres de confidentialité si vous pouvez autoriser l’authentification en deux étapes. Je vais vous montrer comment j’ai fait sur Coinbase. Je suis allé dans l’onglet Paramètres. Puis j’ai sélectionné l’onglet Sécurité. D’abord, vous devez valider votre numéro de téléphone – c’est obligatoire sur tous les sites.
Ensuite, dans la section Authentification en 2 étapes, cliquez sur Autoriser Authenticator. D’abord, vous devrez valider votre numéro de téléphone, encore une fois, en entrant le code reçu par SMS. Et cliquer sur Valider.
A ce stade vous avez fait le plus dur. Et vous pouvez voir un QR code s’afficher sur la page (j’ai caché le mien pour des raisons évidentes) :
Prenez alors l’appareil sur lequel vous avez téléchargé l’application Google Authenticator. Et ouvrez l’application. Cliquez sur l’icône +, en bas à droite de l’écran, et sélectionnez Scanner un code. Et l’application va lancer la caméra pour scanner votre QR code. Vous n’avez rien à faire, à part centrer le code sur l’objectif de la caméra.
Et c’est presque fini ! Vous pouvez maintenant voir le code que l’application a généré pour votre compte. Et comme je l’ai dit, il expire au bout d’un certain temps. Vous pouvez voir sa durée de validité sur le côté droit ; il y a un compte à rebours.
Enfin, vous devez entrer le code de l’application sur le site, pour vérifier que ça fonctionne. Et cliquer sur Autoriser. Vous avez maintenant un nouveau compte avec vérification en 2 étapes ajouté dans l’application. Et la prochaine fois que vous vous connecterez à Coinbase (ou à n’importe quel autre site), vous devrez utiliser vos informations de connexion et le code de l’application.
Voir les commentaires
Bonjour,
Comment obtenir le code secret Google Authenticator de 16 caractères pour pouvoir faire la manip en manuel ?
J'obtiens bien le QR code mais quand je rentre le code Authenticator, il affiche "Invalid Token". Avez vous une explication ?
Laurent
Bonjour Laurent,
C'est la plateforme sur laquelle vous activer le 2FA qui doit vous fournir cette clé. C'est une sauvegarde, au cas où vous perdez l'accès à Authenticator. L'application en elle-même ne fournit que des codes à 6 chiffres à rentrer sur la plateforme.