[màj 05/07/2024] Authy, synchronisez vos codes A2F (2FA) sur tous vos appareils

Authy est une application d'authentification à 2 facteurs compatible Windows, macOS, Linux, iOS et Android, permettant de générer vos codes à usage unique. Synchronisez automatiquement vos comptes sur tous vos périphériques, ordinateurs, tablettes et mobiles. Compatible toutes plate-formes.

[màj 05/07/2024] Authy, synchronisez vos codes A2F (2FA) sur tous vos appareils
Photo by Markus Spiske / Unsplash

Authy est une application d'authentification à 2 facteurs compatible Windows, macOS, Linux, iOS et Android, permettant de générer vos codes à usage unique. Synchronisez automatiquement vos comptes sur tous vos périphériques, ordinateurs, tablettes et mobiles. Compatible toutes plate-formes.

💡
Mise à jour du 05/07/2024 : l'infrastructure de Twilio (maison mère d'Authy) a été compromise, les pirates ont pu obtenir la liste des numéros de téléphones liés à leur compte Authy. Dans l'immédiat, vos comptes en ligne ne sont pas forcément compromis car l'accès aux codes à usage unique par les pirates n'est pas à l'ordre du jour. Cependant, les numéros de téléphones peuvent bien sûr servir aux hackers pour lancer des attaques de phishing. Ignorez tous les messages douteux, en particulier ceux qui pourraient se faire passer par l'équipe de support Authy, mettez à jour votre application Authy iOS et Android. Et enfin je vous invite à migrer tous vos comptes vers l'application open source 2FAS.
2FAS, une appli gratuite d’authentification à 2 facteurs, Open Source, pour iOS, Android et navigateurs web
Découvrez 2FAS, une application d’authentification à 2 facteurs open source compatible iOS, Android et navigateurs web.
Lire l'article à propos de 2FAS
Security Alert: Update to the Authy Android (v25.1.0) and iOS App (v26.1.0)
Lire le billet de blog Twilio à propos de cette alerte de sécurité

L'authentification à deux facteurs fonctionne comme un second mot de passe en plus de votre mot de passe principal, cette méthode utilise un code à usage unique à six chiffres généralement basé sur le temps et généré par une application dédiée (ordinateurs, tablettes, mobiles, etc). Toutes les 30 secondes, un code est généré de manière aléatoire, ce procédé est plus sécurisé que les codes à 6 chiffres envoyés sur votre téléphone portable par SMS.

Alors personnellement, mon hygiène informatique en terme de sécurité est plutôt bonne, voir même excellente. J'utilise notamment un gestionnaire de mot de passe que j'héberge sur un de mes propres serveurs et dont je contrôle totalement la chaîne (serveur, données, sauvegarde, etc). Ce gestionnaire me permet de générer des mots de passe aléatoires ou des phrases de passes encore plus sécurisés, par conséquent, tous mes comptes en ligne ont chacun un mot de passe différent et ayant au minimum 20 caractères. Seulement voilà, étant informaticien je suis un utilisateur (très) averti sur la sécurité, c'est notamment pour cela que j'active toujours, lorsque cela est proposé dans les options de compte, l'authentification à deux facteurs, plus communément abrégé A2F (2FA en anglais).

Jusqu'à il y a quelques semaines, j'utilisais l'application Duo Mobile sur mon smartphone, mais beaucoup de questions se sont alors posées :

  • Que se passe-t-il si je perds mon téléphone ou que l'on me le vole ?
  • Que se passe-t-il si je change d'appareil ?
  • Que se passe-t-il si j'ai besoin de valider un code en ayant oublié mon téléphone à la maison ?

Pour la première question, c'est très délicat car il existe plusieurs possibilités mais la principale consisterait à bloquer mon appareil depuis mon compte iCloud et en supprimer tout le contenu à distance, très pratique. Cela existe également sous Android. En revanche, je me suis rendu compte que disposer d'une telle application uniquement sur mobile ne me rendrait guère service, dans la mesure où je me retrouverais bloqué si j'avais absolument besoin de valider un accès mais que mon mobile est perdu ou volé. La seule solution serait de restaurer mon compte Apple sur un nouvel iPhone, sauf que dans nos tiroirs nous avons rarement plusieurs iPhone qui y dorment, mais j'en ai toujours un de remplacement prêt à être utilisé dans un tel cas de figure.

Pour la seconde question, la réponse est simple. J'active la synchro et la sauvegarde de mes comptes dans les paramètres de l'application Duo Mobile puis je restaure mes données sur mon nouvel appareil en renseignant le mot de passe de ma sauvegarde.

Pour la troisième question, j'appelle un proche à la maison pour me communiquer un code à la volée, bof bof.

Sinon, il y a Authy. C'est une application d'authentification à deux facteurs des plus merveilleuses et qui présentent énormément d'avantages. La première est qu'elle est compatible toutes plate-formes, on peut donc la retrouver sous Windows, macOS et aussi Linux (trop fort les dév's), mais également sur mobile (iOS et Android). La seconde est la synchro automatique sur tous vos périphériques, vous pouvez ajouter un nouveau compte depuis l'application mobile et la retrouver instantanément sur la version ordinateur, et vice et versa. La troisième est que l'on peut se passer de l'installer sur son mobile et éviter quelques abus en cas de vol ou perte, et ainsi s'en tenir qu'à la version installée sur votre ordinateur qui ne sort pas (ou très peu) de chez vous.

Authy sur mon pc portable sous Linux (ubuntu v20)

Je l'ai complètement adoptée, l'utilise tous les jours et je continue d'y migrer tous mes comptes. J'aime particulièrement sa synchronisation automatique sur tous mes autres périphériques, sa facilité d'utilisation, la possibilité de faire un backup automatique, celle qui consiste à ajouter un nouvel appareil depuis une des applications installées sur vos périphériques ou encore dissocier un périphérique en un clic. Cela fonctionne avec votre numéro de mobile et adresse e-mail, la validation se fait depuis n'importe quelle application et pour pousser la sécurité à son maximum il vous est également possible de désactiver la prise en charge multi plate-formes. Pensez à configurer la sauvegarde automatique dans les paramètres de l'appli, et bien retenir le mot de passe votre backup.

Image issue de la version Linux montrant l'écran des périphériques connectés à mon compte, la petite icône corbeille permet de dissocier un appareil en une touche.

En somme, je vous recommande vivement d'activer A2F chaque fois que cela est possible, il suffit de vous connecter à l'espace client des sites où vous avez un compte, d'aller faire un tour dans les paramètres de sécurité et rechercher un menu souvent appelé "Authentification à 2 facteurs" ou "A2F" ou encore "2FA". Cela vous permet de protéger davantage tous vos comptes en ligne, et de demander une seconde approbation pour valider une connexion, particulièrement pour les accès sensibles tels que votre messagerie, application bancaire, etc.

Notez qu'aucun éditeur sérieux ne vous demandera JAMAIS de confirmer un code à usage unique en le lui communiquant, le cas échéant prenez vite la poudre d'escampette car il s'agirait à 99,9% d'une tentative de fraude. Ne communiquez JAMAIS un code de la sorte et/ou votre login/mot de passe à quiconque, et ce, sous aucun prétexte.

Vous pouvez télécharger gratuitement ce soft depuis la page de téléchargement du site officiel de l'éditeur sur authy.com.

Une erreur à signaler ? Contact.