Microsoft Authenticator : encore un faux pas de Microsoft en matière de sécurité

Microsoft Authenticator : encore un faux pas de Microsoft en matière de sécurité

Bonjour,

Tout d’abord un conseil important : je vous recommande vivement d’activer la double authentification sur tous vos comptes critiques (1) où cela est possible.

Je jette un œil au fonctionnement de Microsoft Authenticator, une des applications pour téléphones portables de génération de codes d’accès à durée de vie limitée. Ces applications servent dans le cadre d’une double authentification.

J’aperçois un onglet « Mots de passe » en bas de l’application.

Et là, patatra ! Voici ce que Microsoft Authenticator propose :

Non seulement Microsoft continue avec son travers monomaniaque de nous propose de n’utiliser QUE ses outils (Microsoft Edge, notre compte Microsoft), mais en plus, Microsoft prouve qu’ils n’a décidément RIEN compris à un des principes fondateurs de ces applications de sécurité.

Microsoft veut nous faire concentrer toute notre sécurité en un point unique.

Concentrer toute notre sécurité en un point unique, c’est courir au moins ces risques :

  • le risque de ne plus pouvoir rien faire si un jour ce point subit une défaillance.
  • le risque que si une faille est exploitée dans ce point central, toute notre stratégie de sécurité tombe à l’eau en un instant.
  • le risque que ce point unique soit en possession d’une personne mal intentionnée : si une personne réussit à prendre la main sur Microsoft Authenticator, non seulement elle dispose des codes à durée limitée, mais en plus, si nous avons fait l’erreur de faire confiance à Microsoft, elle dispose de tous nos mots de passe, sans effort, au même endroit.

Une des idées fondatrices des clefs ou des applications permettant de générer des codes à durée limitée, c’est justement de dédoubler les méthodes de protection : si une personne connait votre mot de passe mais n’a pas accès à l’application, elle ne peut pas pirater notre compte. Si une personne est en possession de l’application (2) mais ne connait pas notre mot de passe, elle ne peut pas pirater notre compte.

Il ne faut donc ÉVIDEMMENT SURTOUT PAS fusionner en un point unique nos mots de passe et notre (nos) application(s) de génération de code pour la double authentification !!!

Une bonne sécurité repose sur une multitude de moyens répartis en différents endroits indépendants. Nous sommes, en principe, le·la seul·e à les connaître, et à y avoir accès. Et c’est cela l’astuce justement (que Microsoft ne semble pas avoir comprise) !

Autre erreur « bateau » de Microsoft avec Microsoft Authenticator, le mot de passe pour ouvrir l’application est le code de déverrouillage du téléphone et nous n’avons pas d’autre choix possible. Si nous avons dû communiquer ce code à d’autres personnes, nous devrions être conscient·e des risques que nous encourrons… Dommage, alors qu’il était si simple de nous autoriser à choisir un autre code si nous le souhaitions !!!

Pour ma part, j’utilise des applications de génération de codes totalement indépendantes de ma gestion de mots de passe. Mes applications de génération de codes n’ont pas connaissance de mes mots de passe. Les espaces où sont stockés mes mots de passe ou les clefs chiffrées correspondantes n’ont rien à voir avec les endroits où mes applications de générations de codes à durée limitée s’exécutent.

Et je sais pourquoi !!!

Besoin d’aide et de conseils pour votre sécurité numérique (informatique, Internet, télécom, domotique, etc.) ?

À votre service,

Marc JESTIN

(1) Quels sont nos comptes « critiques » ? La question mérite à elle seule qu’on s’y attarde et j’aime à prendre le temps de faire de la pédagogie sur ce point. Attention aux caricatures de charlatan ambulant, comme j’en ai vu récemment dans les médias, qui vous font ça sur 3 doigts d’une main ou qui balaient le sujet d’un revers de main. Bas les pattes ! C’est un sujet sérieux.

Extrait d’une couverture d’album de Lucky Luke par Morris.

(2) Je simplifie la formulation pour rester simple et lisible. En réalité, ici, dans la plupart des cas, il s’agirait d’une personne qui aurait notre téléphone portable entre les mains, et qui disposerait du code pour le déverrouiller. Bref, restons simples et retenons surtout l’idée maîtresse = SÉPARER les moyens de protection et l’endroit où différentes clefs sont gérées.


Articles similaires :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *