Il existe deux applications essentielles dans le monde de la sécurisation 2FA. Authy (Twilio) et Google Authenticator qui lui présente quelques lacunes (pas de sauvegardes, favorisées sur Android aux dépens d'iOS). Nous allons voir dans cet article comment configurer un compte sur l'application Authy et renouveler les fonctionnalités 2FA sur les services concernés.
Définition
L'authentification à deux facteurs (2FA) ou vérification en deux étapes (two-factor authentication en anglais, ou 2FA) est une méthode d'authentification forte par laquelle un utilisateur peut accéder à une ressource informatique (un ordinateur, un téléphone intelligent ou encore un site web) après avoir présenté deux preuves d'identité distinctes à un mécanisme d'authentification.
Dans le domaine des cryptomonnaies, un code 2FA (éphémère) peut vous être demandé après votre mot de passe.
Il est fortement recommandé d'activer l'option 2FA dans les réglages de votre compte utilisateur pour le sécuriser.
Ce code est généré toutes les 30 secondes. Il est issu du lien entre le gestionnaire 2FA comme Authy et le 2FA de sauvegarde (clé privée) générés la première fois par le service dédié (Binance, Kucoin, Kryll) puis lié à Authy.
En simplifiant, c'est comme quand vous achetez en ligne par Carte bancaire et que vous recevez le code éphémère de vérification visa par sms ou via votre application de service bancaire. Dans notre cas, vous avez une application de portefeuille de pass 2FA à plusieurs services d'exchanges, d'emails ou en reprenant l'exemple précédent, vous retrouvez vos pass de vérification visa éphémère pour chacune de vos banques directement dans l’application Authy.
Exemple de Binance:
Quand vous activez la fonctionnalité d'accès 2FA, ce sont des services comme Binance qui génèrent la clé privée secrète de ce "laisser passer".
Celui qui possède cette clé peut importer ce laissez-passer 2FA (Binance) dans son gestionnaire Authy. Lors d'une connexion après le mot de passe, l'exchange me demandera le code éphémère du "laissez-passer 2FA Binance" que je trouverai en sélectionnant mon pass 2FA Binance déjà intégré à mon application Authy.
Les points faibles de Google Authenticator
- Pas de service de sauvegarde automatique de vos services connectés aux 2FA.
- Vous devez gérer vous-même la sauvegarde de la clé privée 2FA générée au départ lors de la liaison à un service.
- Au cas où le téléphone est irréparable(dans 11% des cas) ou volé, vous ne pouvez plus accéder à l'application Google Auth et par conséquent l'accès à tous vos services liés aux 2FA sera inaccessible à moins d'avoir sauvegardé vos clés privées 2FA lors de l'activation de la liaison 2FA au service dédié.
- Format propriétaire, impossible d'exporter automatiquement vers un autre gestionnaire de 2FA (comme Authy).
À sa décharge, pas de demande de numéro de téléphone et d'email lors de l'inscription. Il peut également exporter les services connectés 2FA vers un nouveau téléphone avec Google Auth mais encore faut-il que l'ancien téléphone soit fonctionnel...
Pourquoi choisir Authy (Twilio)
Il propose une sauvegarde automatique de vos services connectés aux 2FA avec l'option "backup" sur un cloud sécurisé.
Sans cette option, vous pouvez tout de même récupérer l'accès à vos services connecté aux 2FA sous 24h après vérification de votre numéro de téléphone fourni lors de l'inscription.
Connexion sécurisé à l'application avec le face id ou le code pine contrairement à google Auth qui n'active cette sécurité que lors de l'exportation propriétaire.
Configurer Authy
Compatible android et IOS vous pouvez les télécharger via les liens suivants:
La configuration est simple, il vous suffit de rentrer un email et un numéro de téléphone puis de suivre la procédure standard de liaison 2FA aux services concernés (Binance, Kucoin, Kryll.io...).
Plus loin dans cet article, nous revoyons ensemble ces principales étapes de sécurisation 2FA entre un compte client qui va généré un 2FA de sauvegarde avec liaison par l'utilisateur au service de gestion 2FA comme Authy.
Le processus final donnera la possibilité à l'utilisateur de copier son code 2FA éphémère depuis l'application Authy et de le coller lors de la connexion(après mot de passe) au compte client configuré préalablement par le 2FA.
Renouvellement de votre 2FA
Si vous voulez changer de service de gestion 2FA et passer de Google Auth à Authy. Nous allons voir comment renouveler votre 2FA étape par étape en prenant comme exemple le service Kryll. Ce sera la même méthodologie pour Binance et Kucoin en allant révoquer(ou supprimer) le 2FA dans les réglages de son compte.
Étape 1
Sélectionnez renouvellement 2FA (renew 2FA) dans votre compte Kryll.
Étape 2
Une fenêtre s'ouvre et vous demande de confirmer le renouvellement par le service de gestion 2FA concerné (ici Google Auth).
Aller dans l'application Google Auth pour (certains services demandent de détruire le 2FA avant d'en créer un autre), copier le code éphémère et coller dans le processus de renouvellement 2FA.
Une nouvelle fenêtre s'ouvre et un nouveau 2FA de sauvegarde est généré. Il ne reste plus qu'à le sécuriser et/ou de le lier au gestionnaire 2FA Authy qui va le sécuriser dans son cloud via l'option "backup".
Revoyons ensemble ces étapes de liaison
Étape 3
La demande d'un nouveau code 2FA de sauvegarde a été lancée à l'étape précédente puis une fenêtre s'ouvre avec un nouveau code de sauvegarde 2FA Kryll que vous pouvez copier. Garder ouverte cette fenêtre pour l'étape finale du processus.
Étape 4
Ouvrez l'application Authy: "Add account"
Étape 5
Collez le code de sauvegarde 2FA Kryll dans "enter key manually".
Étape 6
L'option "backup password" (sur le cloud de Authy) est fortement recommandée pour ceux qui ont des difficultés à sécuriser leurs clés de sauvegarde 2FA.
Étapes 7
Pour activer le service de gestion 2FA Authy, copier le code 2FA puis revenir à la fenêtre de l'étape 3 et terminer le processus d'activation 2FA qui va permettre de finaliser la gestion 2FA Authy avec la liaison à votre compte Kryll.
Rappel important
Seul l'utilisateur possède la clé privée 2FA de sauvegarde de son compte utilisateur pour se connecter au service de gestion 2FA dédié.
L'exchange ou un service comme Kryll qui propose le 2FA ne connait pas votre clé 2FA de sauvegarde: il la génère seulement une fois par un programme informatique sécurisé. Le propriétaire de la clé de sauvegarde générée est invité à la sécuriser de lui-même ou dans le cloud via un service externe comme le backup de Authy.
"Si vous ne prenez pas le temps de noter la clé privée de récupération 2FA sur un papier (ou fichier numérique crypté), il est préférable d'utiliser Authy et son backup sécurisé sur son Cloud.
Cela peut vous éviter bien des soucis notamment lors d'un changement pour un nouveau téléphone sans avoir accès à l'ancien.
Si vous choisissez de rester sur Google Auth et que vous ne prenez pas soin de sécuriser votre 2FA de sauvegarde, vous vous exposez à ce que vos comptes utilisateurs liés aux 2FA soient inaccessibles.
Aller plus loin
À titre d'information, vous avez également une gestion de mot de passe par un logiciel comme Bitwarden qui est adapté si vos avez beaucoup de mots de passe différents à gérer ou pour partager votre mot de passe à votre équipe de travail sans que celui-ci ne soit compromis.
La connexion avec la clé physique (pas très nomade, mais très sécurisé) YubiKey ou Ledger Nano et un code anti-phishing activé dans les réglages de l'exchange sont autant de solutions supplémentaires pour sécuriser votre compte Binance par exemple .
Website: https://kryll.io
Twitter : @Kryll.io
Telegram : https://t.me/kryll_io
Discord: https://discord.gg/PDcHd8K
Facebook : https://www.facebook.com/kryll.io
Support : support@kryll.io