WEBVTT 00:00.500 --> 00:04.400 Alors, vous avez pu voir sur un certain nombre de services web, donc réseaux sociaux ou autres 00:04.500 --> 00:08.100 fleurir une nouvelle option de sécurité qui s'appelle la double authentification. 00:09.100 --> 00:11.100 Alors, c'est quoi le principe de la double authentification ? 00:14.100 --> 00:19.100 L'idée, c'est d'avoir deux méthodes d'authentification qui se chaînent l'une après l'autre 00:19.200 --> 00:20.600 pour pouvoir accéder à ce service. 00:20.700 --> 00:26.300 Et ces deux méthodes d'authentification doivent avoir une façon d'authentifier très différente. 00:26.400 --> 00:31.800 Pour éviter qu'un éventuel attaquant puisse accéder de la même façon à une méthode et à l'autre. 00:31.900 --> 00:37.800 Donc, le plus généralement on dit "quelque chose que vous savez, quelque chose que vous avez." 00:37.900 --> 00:43.000 Donc, généralement un mot de passe et une application sur votre smartphone, 00:43.100 --> 00:45.700 ou un sms envoyé à votre téléphone. 00:45.800 --> 00:49.100 Spoiler : les sms c'est totalement pété. 00:49.200 --> 00:54.000 [Grosse voix] Les sms utilisent un système de communication qui s'appelle SS7. 00:54.100 --> 00:57.000 [Grosse voix] C'est le même système qui est utilisé pour le téléphone. 00:57.100 --> 00:59.900 [Grosse voix] Et il a été fondé en 1975 01:00.000 --> 01:01.900 [Grosse voix] donc avec des standards de 1975. 01:02.000 --> 01:04.000 [Grosse voix] Il a donc été cassé depuis longtemps 01:04.100 --> 01:08.600 [Grosse voix] et tout comme on peut faire des écoutes téléphoniques, on peut intercepter des sms. 01:08.700 --> 01:14.600 [Grosse voix] Ainsi, un éventuel attaquant peut récupérer votre sms de double authentification même avant vous. 01:14.800 --> 01:20.600 Donc l'idée, c'est, tant que vous pouvez, privilégiez la solution qui s'appelle techniquement TOTP/HOTP. 01:20.700 --> 01:25.600 Mais plus globalement, c'est des solutions comme Google authenticator, 01:25.700 --> 01:30.000 Blizzard authenticator si vous jouez à World of Warcraft ou autres. 01:30.100 --> 01:33.600 Des applications qui génèrent un code unique sur votre smartphone. 01:33.700 --> 01:36.200 Comment ça marche donc TOTP/HOTP ? 01:38.900 --> 01:43.900 [Grosse voix] TOTP est une extension d'HOTP et ça veut dire Time based One Time Password. 01:44.000 --> 01:46.700 [Grosse voix] Donc, mot de passe unique basé sur le temps. 01:46.800 --> 01:48.900 [Grosse voix] Il consiste en une graine 01:49.000 --> 01:50.200 [Grosse voix] Non pas ça ! 01:50.300 --> 01:51.800 [Grosse voix] Une chaîne de caractères 01:52.200 --> 01:56.200 [Grosse voix] qui est échangée entre le service et votre appareil. 01:56.300 --> 01:58.500 [Grosse voix] Souvent, au moyen d'un QRCode. 01:58.600 --> 02:02.200 [Grosse voix] Ainsi, le service et l'appareil vont générer de chaque côté, 02:02.300 --> 02:05.900 [Grosse voix] grâce à cette graine et au temps actuel avec un intervalle de 30 secondes, 02:06.000 --> 02:06.800 [Grosse voix] un nombre. 02:06.900 --> 02:12.200 [Grosse voix] Et si le nombre correspond entre le service et l'appareil, le service ouvre l'accès. 02:12.300 --> 02:15.700 [Grosse voix] Nous reviendrons sur les détails de ce système dans une future vidéo. 02:15.800 --> 02:18.000 Sauf que, ça comporte un risque supplémentaire 02:18.100 --> 02:20.400 Si vous vous faites voler votre smartphone, qu'est ce qui se passe ? 02:20.500 --> 02:23.400 Rhaaa, ben vous avez plus la deuxième authentification. 02:23.500 --> 02:29.700 Donc dans ce cas là, souvent les services proposent un autre système qui s'appelle un mot de passe de récupération. 02:29.800 --> 02:31.900 Ou des mots de passe de récupération au pluriel. 02:32.000 --> 02:34.900 Et je vous conseille vraiment de prendre cette option en plus. 02:35.000 --> 02:37.500 Vous notez vos mots de passe dans un endroit sécurisé. 02:37.600 --> 02:40.000 Donc, même presque, vous pouvez les noter sur un bout de papier 02:40.100 --> 02:43.700 que vous rangez dans une armoire, que vous rangez dans un coffre-fort, que vous rangez sur une île déserte. 02:43.800 --> 02:49.000 [Grosse voix] Et vous pouvez donc utiliser ce mot de passe de récupération pour accéder à votre compte 02:49.100 --> 02:51.100 [Grosse voix] même quand votre smartphone est volé.