2FAS, une appli gratuite d'authentification à 2 facteurs, Open Source, pour iOS, Android et navigateurs web

Il y a 2 ans je vous présentais Authy, une application d'authentification à 2 facteurs qui au moment de la rédaction dudit article était aussi compatible avec une version de bureau. Aujourd'hui, le support de la version de bureau Authy a été abandonné, poussant les utilisateurs à exploiter l'application exclusivement depuis leur mobile. Et cela vaut pour toutes les versions (Windows, macOS et Linux).

Concrètement, leur appli de bureau n'est pas (encore) déconnectée à l'heure de l'écriture de cet article. Il est en effet toujours possible de l'utiliser pour gérer ses identifiants, ajouter, supprimer des comptes, etc. Là où le bât blesse, c'est que l'application ne bénéficiera plus de mises à jour, nous ignorons ce qu'il en est des éventuelles failles critiques qui pourraient être découvertes. Et comme il s'agit d'un outil propriétaire dont le code source est fermé, c'est d'autant plus compliqué à passer le code en revue de manière indépendante. D'où cette dernière trouvaille, une véritable pépite dans le monde des applications A2F (Authentification à 2 Facteurs), il s'agit de 2FAS.

2FAS, une application A2F open source des plus complètes

Je vous présente donc 2FAS, un autre outil de gestion de codes A2F mais pas n'importe lequel, sa principale force est qu'il est Open Source. Vous pouvez consulter le code de l'application iOS, Android, mais ce n'est pas tout, y-compris côté serveur/API et extension de navigateurs. L'application peut être auditée par tout un chacun pour peu que vous ayez des connaissances en la matière, mais je suis sûr que d'autres développeurs confirmés se sont déjà bien sûr penchés sur les différents codes sources afin de vérifier que tout soit sécurisé pour les utilisateurs.

Cerise sur le gâteau, vous avez la possibilité d'importer vos comptes depuis une autre application A2F supportée. Malheureusement, Authy n'en fait pas (encore) officiellement partie, mais vous trouverez la liste dans cet article.

En quelques chiffres

9 années de développement minutieux et d'améliorations continues
4.7, note moyenne sur l'App Store et Play Store
6+ millions de téléchargements dans le monde

Source

Je l'utilise depuis maintenant plusieurs semaines, et c'est tout simplement la meilleure appli en la matière, tant sur le design que sur l'ergonomie. Je continue à ce jour d'y migrer tous mes comptes depuis Authy.

Les fonctionnalités 2FAS

Un tel outil s'accompagne toujours de fonctionnalités plus ou moins étendues (selon l'app utilisée), et le moins que l'on puisse dire est que 2FAS surpasse largement Authy en ce sens. Ce que je déplore notamment sur Authy c'est la complication de la gestion des comptes comme par exemple la suppression d'une entrée, cela ne se fait pas depuis la page d'accueil Authy, il faut aller dans les paramètres puis comptes et glisser l'entrée désirée de la droite vers la gauche. Une démarche plutôt fastidieuse.

Ensuite, il faudra patienter 48h avant de voir l'entrée définitivement supprimée, quand 2FAS la supprime immédiatement. D'un côté cela permet d'annuler une suppression (Authy) sous un délai de 48h et de l'autre d'avoir un listing à jour dans la seconde (2FAS). Il est également possible de grouper vos comptes dans des groupes dédiés que l'on peut créer à la volée.

Passons en revue l'application

Commençons par la vue générale, celle où vous trouverez tous vos comptes à l'ouverture de l'appli. Toucher une entrée permet de copier le code temporaire (30s) TOTP, maintenir l'entrée en appuyant dessus vous offre la possibilité de modifier l'entrée comme le nom du service, l'icône, ajouter une info supplémentaire pour identifier le compte par exemple, et bien plus :

Menu apparence, c'est ici que vous paramétrez la façon dont se comporte 2FAS comme l'affichage du prochain code, le champ de recherche actif au démarrage, le style de vue (liste ou compacte) et la possibilité de cacher les clés contre les regards indiscrets (et ils sont malheureusement nombreux) :

Menu Apparence

Menu sécurité, je vous recommande fortement d'y faire le 1er tour avant de passer dans les autres menus. Vous pourrez y verrouiller l'application par un code ou reconnaissance faciale, limiter le nombre de tentatives d'accès frauduleux, etc. Ne prenez pas à la légère cet aspect, il en va de la sécurité de vos comptes :

Menu sécurité

Menu sauvegarde, c'est ici que vous pourrez (et devez impérativement) sauvegarder vos entrées.

Il y a 2 façons de s'y prendre (sur les appareils Apple, je n'ai pas encore eu l'occasion de tester la version Android). Dans cet exemple il s'agit d'iCloud pour les appareils Apple, mais je suppose que sous Android il s'agira de Google Drive.

La première solution, vous choisissez une sauvegarde iCloud sur les serveurs Apple (Ou Google Drive sur les appareils Android), solution que je ne recommanderais que très peu au vu des données sensibles, en particulier si vous n'avez pas (encore) activé le chiffrement iCloud de bout-en-bout. Par défaut, la sauvegarde iCloud n'est pas complètement chiffrée, certaines données peuvent être lues par un tiers si les serveurs Apple venaient à être compromis par exemple. Pour les utilisateurs Apple, vous pouvez activer le chiffrement en suivant ce tuto (j'ai volontairement inclus un lien qui redirige vers l'association EFF afin de faire connaître cette importante organisation au plus grand nombre). Sinon, voici le tuto officiel Apple.

La seconde solution consiste à créer une sauvegarde locale via un fichier qui sera généré (bouton Exporter dans l'image ci-dessous), c'est ensuite à vous de stocker ce fichier en lieu sûr, vous pouvez (et devez) lui attribuer un mot de passe (fortement recommandé) avant de le télécharger.

Pour ma part, le chiffrement iCloud est activé de bout-en-bout, mais j'ai tout de même choisi de gérer les sauvegardes manuellement sans iCloud (bouton Exporter dans l'image ci-dessous). Mes sauvegardes sont stockées sur mon serveur Bitwarden (j'en ferai un article un peu plus tard), un logiciel de gestion de mots de passe que j'héberge sur mon propre serveur.

Menu Sauvegarde

Menu importer des clés, comme expliqué en début d'article c'est à partir de ce menu que vous pouvez importer vos clés depuis d'autres services. Voici la liste des services compatibles (à ce jour) pour l'import :

Menu importer des clés

Menu extension web, c'est là où vous pourrez associer votre appareil à un navigateur web, cela vous permettra de saisir vos codes automatiquement sur votre pc en synchronisant votre appareil et votre navigateur. Je n'ai pas (encore) utilisé cette fonctionnalité, mais c'est quand même cool de savoir qu'elle existe.

Conclusion

Comment dire ? En fait, c'est tout bonnement la meilleure application A2F que j'ai testé jusqu'à présent et le côté open source y est pour beaucoup. Pour être transparent avec vous, je n'ai jamais daigné utiliser ou tester les applis d'authentifications Microsoft, Google et autres GAFAM, et je ne pense pas les tester un de ces jours.

Je suis sûr que 2FAS fera votre bonheur pour sécuriser davantage vos comptes en ligne. Je vous encourage vivement à l'adopter, et éventuellement abandonner votre application propriétaire dont le code source est fermé.

Par ailleurs, les développeurs se sont "amusés" à comparer 2FAS et d'autres applications A2F (malheureusement) populaires :

De quoi se faire un avis sur les différences des uns et des autres. En ce qui me concerne, 2FAS est une application aboutie, complète, conviviale et dotée d'une très belle interface sur le plan du design. Du beau boulot.

J'en profite pour une piqûre de rappel importante, lorsque vous activez la double authentification sur vos différents comptes en ligne, vous aurez toujours des codes de secours qui seront automatiquement générés par la plateforme, conservez les précieusement car ils vous permettent de vous connecter "d'urgence" si vous perdez l'accès à votre application A2F. Ces codes sont parfois accessibles qu'une seule fois, ils sont généralement générés lorsque vous activez la double authentification, alors notez les bien, et conservez en lieur sûr 😉

Une erreur à signaler ou une suggestion ? Contact.

Ressources

‎2FA Authenticator (2FAS)
‎2FAS is the easiest way to enable two-factor authentication (or multi-factor authentication) to verify your identity and securely log in to accounts to keep your personal data and passwords protected from cyber threats — all from one app, 100% free! The world’s most secure, private, and simple 2FA…
Télécharger l'application officielle iOS sur l'App Store pour iPhone et iPad
2FA Authenticator (2FAS) - Apps on Google Play
Simple, safe and open source 2FA Authenticator app!
Télécharger l'application officielle Android sur le Play Store
2FAS - the Internet’s favorite open-source authenticator
Meet your favorite 2FA app. We are an open-source, community-driven, private and simple solution for Internet’s biggest threat - security breaches.
Site web officiel
2FAS
2FAS has 4 repositories available. Follow their code on GitHub.
Page Github - on y retrouve tous les codes sources : iOS, Android, Server/API, Extensions