Google Authenticator est une application mobile qui génère des codes de validation de 6 chiffres sur téléphone. Ces codes de validation sont éphémères puisqu’ils ne sont valides que pendant une minute. Cette application est utilisée par de nombreux services. En particulier, un plugin de Joomla, disponible pour les versions >3.2, permet d’accroître la sécurité de son compte en demandant un code de Google Authentificator. Il s’agit du plugin “Two Factor Authentication - Google Authentication”.
Figure 1. Enabling the Two Factor Authentication Plugin
L’activation de Google Authentificator est propre à chaque utilisateur. Un utilisateur qui n’a pas activé Google Authentificator n’a pas à entrer une clé secrète pour son authentification. Les phases d’installation et de mise en place de Google Authenticator sont détaillées dans User => Two Factor Authentication, après avoir renseigné Google Authenticator comme méthode d’authentification.
Ces étapes permettent de synchroniser le compte administrateur avec l’application. A la fin de ces étapes, 10 codes d’urgence sont générés, mais ils ne sont valables qu’une seule fois. Un nouveau code est généré après consommation d’un code d’urgence. Nous recommandons fortement de noter ces codes d’urgence au cas où l’application Google Authentificator rencontre un problème (par exemple suite à une mise-à-jour de l’application ou du smartphone).
Lorsqu’on souhaite se connecter par la suite, il est alors demandé de renseigner son username, password et secret key (code éphémère généré par l’application ou code d’urgence).
Figure 2. Login
Nous avons teste plusieurs cas: le cas où nous saisissons un code généré après avoir attendu plus d’une minute, le cas où nous saisissons un code d’urgence, le cas où nous rentrons une fausse clé et le cas où nous saisissons plusieurs fois la même clé. Dans tous les cas, l’application semble fonctionner correctement.
Nous avons cependant remarquer que la clé secrète ainsi que la liste des codes d’urgence apparaît clairement cote administrateur:
Figure 3. Secret key and one time emergency passwords
Pour remédier à ce problème de confidentialité, nous avons créé une nouvelle vue pour le plugin où le secret key ainsi que les codes d’urgence sont cachés par défaut. Des boutons permettent de les afficher si voulu.
Figure 4. Secret key and one time emergency passwords hidden
Figure 5. Secret key revealed after clicking on the button