Dedibox : éviter les attaques en force brute

Lorsque j’ai expliqué que le Pentest était une technique et non un métier, j’ai eu droit à une attaque en règle conduite à partir de Tor de la part de Pentesteurs à l’éthique en toc. Elle fut agrémentée d’une tentative de connexion sur l’interface de gestion de mon serveur dédié Dedibox qui héberge ce site et quelques autres.

Dedibox : éviter les attaques en force brute

Online, une filiale de Iliad, a mis en place un système de double authentification pour vous mettre à l’abri des attaques en force brute. J’avais le choix entre Google Authenticator et une validation par SMS. Je n’ai aucune confiance dans les systèmes proposés par Google. J’ai donc choisi la double authentification avec validation SMS. Pensez à disposer d’une copie de vos codes de secours.

Dedibox : éviter les attaques en force brute

Hébergement  / Sécurité informatique 

Commentaires

Pour info, Google Authenticator, c’est en fait simplement une implémentation de générateurs standards, définis dans les RFC 4226 et 6238.

La génération de code se fait entièrement en local et l’application Android n’accède pas à Internet (cf les autorisations qu’elle demande sous Android : uniquement l’accès à l’appareil photo, pour pouvoir scanner des codes QR), donc aucune récupération de données par Google.

Il existe une version open source de Google Authenticator, mais elle n’est plus beaucoup maintenues : https://github.com/google/google-authenticator ).

Du coup, pas spécialement besoin d’avoir confiance en Google pour l’utiliser.

Sinon, il existe aussi d’autres applications implémentant les mêmes normes, et donc pleinement compatibles : FreeOTP (Red Hat, basé également sur les sources de Google, mais avec beaucoup d’améliorations depuis), ForgeRock Authenticator, Yubico Authenticator, Microsoft Authenticator, Sophos Authenticator (qui a l’air basé sur les sources de Google)…

Perso j’utilise FreeOPT Authenticator, et je privilégie toujours le générateur plutôt que les SMS, car les SMS sont tributaires de la disponibilité du réseau mobile.

L’idéal serait bien sûr de pouvoir activer les deux méthodes et choisir l’une ou l’autre au moment de la connexion.

@LFS

Et donc vive Google qui sauvera homo numericus ?

NB J’adore la validation par SMS.

Je ne dis pas vive Google.

Je dis juste qu’il n’est pas nécessaire d’avoir confiance en Google pour utiliser sereinement Google Authenticator, et que les algorithmes utilisés ne sont en outre pas spécifique à Google et sont implémentés dans de nombreux autres logiciels.

Le SMS est moins sûr (code transféré via des réseaux, sans chiffrement de bout en bout, possibilité de spoofing et d’interception) et tributaire d’une connexion à un réseau mobile (et on se retrouve bien con par exemple quand la banque envoie un SMS de validation du paiement au moment de commander un nouveau téléphone parce que l’ancien est en panne ^^) que les solutions basées sur les RFC 4226 et 6238.

J’aime bien le SMS.

Laisser un commentaire

(requis)

(requis)