TRANSISTORS

Blogger parano? Duo Security!

Poster un commentaire

Après avoir récemment abordé le sujet de l’organisation et la mémorisation en lieu sûr de vos mots de passe, nous avons décidé, chez Chic & Geek, de renforcer un peu notre sécurité (de franchir le pas vers la paranoïa aigüe, dirait Anne à mon encontre…). Nous avons donc installé un outil, développé par Duo Security, une entreprise Américaine, permettant une authentification à deux facteurs, authentification forte, ou « 2 factor authentification » en english.

En résumé, pour celles et ceux qui ne connaîtraient pas, il s’agit d’ajouter à vos login et mot de passe habituels, un second élément, qui peut avoir diverses formes, mais dont la caractéristique commune est d’être en votre possession.

Dans certains cas il s’agira d’un petit boitier affichant un nombre à 6 ou 8 chiffres changeant toutes les minutes, dans d’autres cas votre empreinte digitale, ou votre empreinte vocale.

Ici, pour faire simple, il s’agît de votre téléphone (mobile ou fixe, mais c’est plus pratique avec un mobile, vous allez voir). Les outils développés par Duo Security peuvent être interfaces avec toutes sortes d’applications, mais nous n’allons parler ici que du cas qui nous intéresse: WordPress.

La première étape consiste à ouvrir un compte chez Duo Security, et là commencent les bonnes nouvelles, c’est gratuit pour les sites jusqu’à 10 utilisateurs et les projets Open Source:

Lors de l’ouverture de ce compte, vous allez bien sûr appliquer le même type de mesures de sécurité, et lier votre compte à un numéro de téléphone de votre choix.

Une fois votre compte ouvert, il suffit de télécharger, installer et activer un plugin WordPress, Duo Two-Factor Authentication, puis le configurer en renseignant trois champs à partir d’informations disponibles sur votre compte Duo Security.

A partir de là, chacun des administrateurs de votre blog devra, lors de sa connexion suivante, lier un  ou plusieurs numéros de téléphone à son compte. Le système supporte à la fois la voix, les sms ou les notification via Push pour une application iOS ou Android, vous avez donc le choix en fonction du type d’appareil que vous avez à disposition.

De plus, si vous avez un iPhone ou un smartphone Android et vous choisissez la méthode Push (que je décrirai ci-dessous) il vous est toujours possible de basculer vers le SMS lors de chaque login ultérieur, ce qui est pratique si jamais vous perdez votre iPhone ou qu’il tombe en panne et que temporairement vous utilisez un mobile traditionnel.

Configuration de l’iPhone en mode Push

Voici comment se passe concrètement la première configuration pour chaque utilisateur:

  • Vous arrivez sur la page classique de login WordPress, saisissez votre login et mot de passe.
  • Un formulaire s’affiche alors, vous demandant de saisir votre numéro de téléphone.
  • Un code est envoyé par sms sur votre iPhone, que vous devez saisir dans un champ, ce qui confirme que vous recevez bien les messages sur cet iPhone.
  • Un nouvel SMS vous est envoyé, avec un lien permettant d’installer l’application Duo Mobile
  • L’application génère un code à 6 chiffres que vous devez saisir dans le formulaire.
  • Duo Security vous envoie un dernier sms qui active l’application.

Cela peut sembler compliqué, mais ça prend en tout 3 minutes. Une fois que c’est fait, vous avez donc un iPhone sur lequel est installée une application et les deux sont identifiés de manière unique chez Duo Security.

Procédure d’identification une fois la configuration effectuée

Voilà que vous souhaitez vous connecter à votre blog, pour poster un article, modérer des commentaire sou que sais-je encore. Vous arrivez sur l’écran de login habituel:

Vous saisissez identifiant et mot de passe et arrivez sur un deuxième écran:

Celui-ci vous propose de choisir un téléphone dans la liste de ceux que vous avez autorisés, et de choisir la méthode d’authentification, ici Duo Push puisque j’utilise l’application sur mon iPhone (dans le cas du SMS, vous recevez un SMS avec un code à saisir dans le champ vide).

Vous cliquez sur le bouton Log in et une alerte se présente sur votre iPhone:

 

(Une de ces deux captures provient de mon iPhone, l’autre de celui d’Anne, je vous laisse deviner qui est qui… 😉 )

Vous cliquez sur « Approve » et vous voilà automatiquement identifié et redirigé vers votre tableau de bord habituel.

Conclusion

Qu’avons-nous gagné, me direz-vous?

Nous avons amélioré la sécurité de notre site car désormais, même si quelqu’un devinait, craquait ou récupérait nos mots de passe, d’une manière ou d’une autre, ou si quelqu’un réussissait à pirater nos adresses email, puis à utiliser la fonction « Mot de passe oublié » pour le réinitialiser, au moment où cette personne essaierait de se connecter à Chic & Geek, Anne ou moi recevrions une demande d’autorisation sur nos téléphones, demande que, bien sûr, nous refuserions, en apprenant au passage l’adresse IP du pirate (effacée ci-dessus mais bien présente sinon).

Tout cela au prix d’environ 10 à 15 minutes de temps passé pour installer et configurer ces outils.

Alors, est-ce de la paranoïa que de s’en servir, ou de l’inconscience de s’en passer?

Paolo

Une réflexion sur “Blogger parano? Duo Security!

  1. PARANO.
    Parfois j’ai l’impression que notre site est plus safe que les casinos de Terry Benedict 😉
    Je croyais que c’était un test pour ton article et qu’ensuite on reviendrait comme avant mais je vois que la théorie du complot te gagne et que je vais devoir passer la fin de mes jours à accepter des pushs^^
    Je trouve tout ça indéniablement malin (je préfèrerais l’empreinte rétinienne, couplée à la pantoufle de vair, m’enfin bon c’est déjà bien).
    Y’a tout de même un petit détail que tu ne m’as pas expliqué…
    POURQUOI quelqu’un voudrait pirater Chic & Geek ???
    QUI est notre Danny Ocean ???
    Je soupçonne tout le monde, je me soupçonne moi-même…

    Réponse
  2. maisquelbeautemps dit :

    j’y comprends rien!
    je ne connais que la vestimentaire-parano… ou la bag-parano… genre une collègue jalouse qui renverse son café EXPRES pour neutraliser mes petits fashion-dreams… grrrrr…
    mais peut-être ton logiciel y marche pour les z’habits?

    Réponse
  3. Isis dit :

    Même com que mais quelbeautemps !! je ne comprends rien !!!! Mais tu as très certainement raison !!
    Moi je ne suis pas assez parano… et on m’ a piraté mon adresse mail !!
    Et oui !!!
    Tu as 1000 fois raison mais la parano enlève cette innocence que j’aime tant chez les gens…. no geek comme moi !!!!
    Je vas quand même m’attarder sur ton plan !!!!
    Et aurais tu un plan anti stupidité ? Et aussi un plan anti con ?
    Et si tu as la recette… je t’épouse !!!
    NAN c’est une blague je suis déjà mariée… à un geek !
    Isis
    PS vous formez vraiment un super tandem !!!!

    Réponse
  4. Eudoxie dit :

    Hey Paolo, bon sérieusement avec mon baby-blog que personne n’a envie de pirater, c’est un peu tendu de mettre un truc comme ça. Surtout, je suis sûre que j’aurai oublié la méthode à suivre dès la deuxième utilisation. Ralalalalala je rêve de venir te voir en ce moment et d’être initiée aux arcanes secrètes des trucs wordpress, des trucs IPhone, tout ça. J’aimerai suivre tes conseils de mage.

    Réponse

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Gravatar
Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Annuler

Connexion à %s