De l’utilité de l’authentification à deux facteurs
Si le récent piratage de Yahoo ne vous a toujours pas convaincu d’utiliser l’authentification à deux facteurs (2FA), cette histoire peut vous convaincre. Il s’agit du piratage d’un compte GitHub. Le compte piraté a accès à du code privé de l’entreprise Heroku. La personne en question utilisait dnsimple avec un simple mot de passe. L’attaquant a pu ainsi modifier le champ MX (pour le serveur SMTP) du DNS afin de réceptionner l’email de récupération de compte GitHub. Technique connue et en plus simple.
J’utilise une authentification à deux facteurs avec tous les services Web qui me le permettent, si possible avec ma YubiKey.
Yahoo comme GitHub permettent ce type d’authentification. GitHub avec une clé. En général, lorsqu’un service Web que j’utilise ne propose pas cette sécurité, jenvoie un email pour demander si ils prévoient de l’ajouter.