Utiliser la double authentification avec KeePassXC sous macOS (sans smartphone)

La plupart des sites internet permettant d’accéder à votre compte (bancaire, emails, etc.) , vous proposent et suggèrent d’utiliser la double authentification pour empêcher les accès intempestifs à vos données et sécuriser ce compte. On pense souvent qu’un smartphone est nécessaire pour activer et utilisez la double authentification, mais c’est faux, vous pouvez très bien utiliser votre gestionnaire de mots de passe sur ordinateur. Je vous montre comment avec KeePassXC (sous macOS)…

Utiliser la double authentification avec KeePassXC sous macOS (sans smartphone)

La double authentification c’est quoi ?

Si vous ne connaissez pas encore les termes de double authentification, authentification à deux facteurs (A2F ou 2FA en anglais), authentification à double facteur ou vérification en deux étapes, qui font tous référence à la même chose, je vous invite à lire cet article de Wikipédia.
En résumé, la double authentification est un mode de validation qui exige deux preuves « d’identité ».
Lorsque vous vous connectez à votre compte sur n’importe quel site, il vous est demandé un nom d’utilisateur et un mot de passe. Ce mot de passe est une preuve qui permet de confirmer que c’est bien vous et donc de valider l’accès à votre compte. Sauf qu’un mot de passe, ça peut se pirater, se cracker, trouver, fuiter, etc. C’est là qu’intervient la seconde preuve appelée double authentification. Le code de confirmation que vous receviez (et recevez sans doute encore) par SMS lorsque vous vous connectez à certains sites est cette seconde preuve.

Le SMS est obsolète, on passe à autre chose

Mais le SMS est depuis quelques années déjà considéré comme n’étant pas assez sécurisé pour continuer à être utilisé. Je vous passe les raisons, mais vous propose quelques liens à ce sujet en bas de page…
La méthode d’authentification qui a peu à peu remplacé le SMS, s’appelle le Time-based One-time Password algorithm, autrement dit en français l’Algorithme de mot de passe à usage unique basé sur le temps. On va tout de suite l’appeler par ses initiales pour simplifier les choses : TOTP. Cet algorithme génère un code valable un certain temps (en général 30 secondes), avant de générer un nouveau code et ainsi de suite.
Si vous souhaitez en savoir plus sur cette technologie, je vous invite à visiter cette page.

Comment générer un TOTP et activer la double authentification

L’activation de la double authentification se fait en général dans les préférences ou paramètres de compte du site concerné et pour lequel vous souhaitez sécuriser l’accès. Il vous sera alors demandé de scanner un QR code avec une application ou d’entrer manuellement une série de caractères dans cette application.
Sur smartphone, bien souvent l’application proposée/conseillée est Google Authenticator, mais rien ne vous oblige d’utilisez cette application puisqu’il existe aussi Authy ou mieux, FreeOTP (application libre et open source).

Exemple d’activation de la double authentification


Ça c’est si vous passez par un smartphone pour utiliser la double authentification, mais sachez que vous pouvez faire la même chose sans smartphone, simplement avec votre ordinateur.

La double authentification sur ordinateur

Usage avec le gestionnaire de mots de passe KeePassXC

Comme vous faites bien les choses 😉 vous gérez vos mots de passe avec un gestionnaire de mots de passe comme KeePassXC (pour mac OS, Windows et Linux). Jusque là, on est d’accord… Admettons que vous ayez un compte Mastodon (c’est un exemple) et que dans KeePassXC vous ayez déjà entré votre identifiant et votre mot de passe pour ce compte. Pour activer la double authentification, allez dans KeePassXC, faites un clic-droit sur « Mastodon », puis « TOTP », puis « Définir un TOTP ».
Dans la fenêtre qui apparait, saisissez dans « Clé secrète » la suite de caractères donnée par Mastodon (cf image ci-dessus), puis cliquez sur « OK ». Pour terminer l’activation, toujours dans KeePassXC, faites un clic droit sur « Mastodon », puis « TOTP », puis « Copie TOTP » et sans tarder, rendez-vous dans votre compte Mastodon et faites clic droit « Coller », puis OK. Normalement, un message vous confirme que la double authentification est activée, si ce n’est pas le cas c’est que votre code a expiré le temps que vous fassiez « copier/coller », donc recommencez la manipulation.
Vous pouvez très bien également faire un clic droit sur « Mastodon », puis « TOTP », puis « Afficher TOTP » pour voir le code et ensuite le coller.
La double authentification est à présent activée pour ce compte.

Activation du TOTP dans KeePassXC
Exemple de TOTP avec le temps d’expiration

Se connecter à un site pour lequel la double authentification est activée

Dans notre exemple précédent nous avons donc activé la double authentification. Pour se connecter à présent à votre compte sur Mastodon, il vous faut saisir votre identifiant (ou nom d’utilisateur) et votre mot de passe. Un nouveau code, celui de l’identification à deux facteurs vous est à présent demandé. Dans KeePassXC, faites un clic droit sur « Mastodon », puis « TOTP », puis « Copie TOTP » et sans tarder, copiez ce code dans Mastodon pour pouvoir vous connecter à votre compte.

Utiliser une extension de navigateur

Dans un précédent article, j’avais évoqué les extensions qu’il est possible d’ajouter à un navigateur internet pour apporter des fonctions supplémentaires à ce dernier (bloqueur de pubs, gestionnaire de téléchargements, etc.). Sachez que le gestionnaire de mots de passe KeePassXC peut être utilisé directement dans votre navigateur avec une extension.
Une fois installée et la base de données KeePassXC ouverte, lorsque vous êtes à la page de connection avec la double authentification, il vous suffit de faire un clic droit dans le champ de saisi du TOTP, puis « KeePassCX-Browser », puis « Remplir le TOTP ».

Remplissage du TOTP avec KeePassXC sous macOS

Mais… car il y a un MAIS…

Le soucis de gérer à la fois vos mots de passe et 2FA avec la même application, c’est que si votre base de données de mots de passe est compromise (volée par exemple), vos codes de double authentification le seront aussi ! Au final, je conseillerai de dissocier la double authentification et pour cette dernière de passer par un outil libre et open source comme Ente Auth, que vous pourrez télécharger pour mobile avec ordinateur ici.

Les bons outils…

  • Que vous utilisiez Chrome, Firefox ou Brave, les trois navigateurs sont compatibles avec le gestionnaire de mots de passe KeePassXC.
  • Ici se trouve l’extension à ajouter à Chrome/Brave et ici pour Firefox.

🔥 Ça devrait aussi vous intéresser : Indispensable gestionnaire de mots de passe

Sources et références

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *