Je m'attendais à ce que ça marche du 1er coup
- Mortal, en train de bricoler la console de mixage
Dojodirect
Des jeux de merde joués par des connards en direct !
Sécuriser son compte Nintendo avec l’authentification à deux facteurs
Depuis quelques semaines, on voit de plus en plus de compte se faire pirater ou de tentatives de connexion sur des comptes Nintendo Switch.
Vous en avez même peut-être été victime… Comment se protéger contre ses tentatives ? Quelles conséquences sur l’expérience utilisateur de sa console ou de son application de contrôle parental ?
On va commencer parce ce qu’est l’authentification à deux facteurs.
Mais commençons par le commencement à savoir ce qu’est exactement l’authentification à deux facteurs.
Quand vous allez créer votre compte Nintendo, on va vous demander un courriel et de choisir un mot de passe. Ceci forme une paire unique qui permet de vous authentifier avec seulement deux informations : qui vous êtes (votre identifiant : courriel, login) et ce que vous savez (mot de passe).
Le souci de cette approche, c’est que si l’on arrive à deviner qui vous êtes, il ne reste finalement qu’à essayer de deviner ce que vous savez. Et malheureusement, les mots de passe étant ce qu’ils sont (compliqués, longs, difficiles à retenir), nous avons tous une certaine tendance à être feignant : utiliser des mots de passe dits trop faibles (trop courts, pas assez diversifiés/complexes, basés sur des éléments personnels souvent publics (merci les réseaux sociaux !)) ou réutiliser le même mot de passe sur plusieurs sites que l’on fréquente.
Tout cela représente un risque. Un pirate peut alors :
Pour lutter contre ces pratiques, on peut demander aux utilisateurs de changer leur mot de passe toutes les semaines, de rendre leur compte difficilement devinable, mais toutes ces solutions sont très lourdes pour l’utilisateur et donc non-convivial (pas « user friendly » comme ils disent dans le marketing).
L’idée de l’authentification à deux facteurs est d’ajouter autre chose dans l’équation : ce que vous avez. Un code unique que seul vous et Nintendo possédez et qui sert de complément au couple identifiant/mot de passe.
De cette façon, même si un pirate arrivait à se procurer ou à deviner votre mot de passe, il lui serait impossible de se connecter s’il ne possède pas votre code unique.
Alors passer de 2 éléments (qui vous êtes et ce que vous savez) à 3 éléments (en ajouter ce que vous avez) est plus lourd ou plus compliqués me direz-vous. Et bien pas forcément et surtout cela va fortement compliquer la vie du pirate. Nous aimons tous compliquer la vie des pirates.
Nintendo utilise ce que l’on appelle un TOTP (Time-based-One-Time-Password). Pour simplifier, il y a un code d’une quarantaine de caractères qui sert de clé pour une application sur votre Nook Phone ou votre ordinateur. Toutes les 30 secondes, un code à 6 chiffres est généré à partir de cette clé.
Le compte Nintendo possédant la même clé dans ces bases de données associées à votre compte, il est capable de vérifier que vous êtes bien en possession de la bonne clé en comparant simplement les 6 chiffres que vous lui avez fournis avec les 6 chiffres qu’il aura généré au même moment !
Vous avez donc, par cette simple étape supplémentaire, ajouté « ce que vous avez » et grandement compliqué la vie du pirate.
Attention ! Il ne s’agit pas non plus d’une solution anti-connerie ! Un pirate pourrait toujours essayer de récupérer le login, le mot de passe et le code temporaire en même temps à travers une tentative de filoutage de ouf gueu-din certes, mais théoriquement possible. L’authentification à 2 facteurs ne vous soustrait pas à un minimum d’esprit critique et de vigilance.
La première chose à faire est de récupérer une application compatible TOTP. C’est dans celle-ci que vous pourrez rentrer le fameux code unique que Nintendo va vous fournir. Si vous avez un Nook Phone, c’est assez simple :
Bref, il y a du choix et vous pourrez certainement trouver quelque chose qui vous convient.
Juste un dernier détail : comme vous l’aurez compris, Nintendo vous donne un code. Rien ne vous empêche donc de le mettre sur plusieurs appareils (votre PC et votre Nook Phone par exemple). Par contre, ils vous le donneront à la fois sous forme de QR Code et sous forme de texte, mais seulement la première fois. Prenez donc la précaution de le mettre partout où vous avez besoin le premier coup pour éviter de le recopier à la main partout.
Du coup, vous pouvez vous rendre sur ce lien avec votre navigateur pour vous connecter sur votre compte. Une fois connecté (c’est peut-être déjà le cas), rendez-vous dans « Paramètres de connexion et sécurité » dans le menu de droite. Tout en bas, il y a l’option pour activer le second facteur :
On vous demande alors de valider que vous voulez bien l’activer (évidemment qu’on veut, c’est pour ça qu’on est là !) :
Un mail de confirmation avec un code plus tard, et vous vous retrouvez devant cette page :
Deux éléments importants ici :
Tout en bas de la page, on vous demande de valider avec le code courant que génère l’application. Vous pouvez vous exécuter. On vous présente ensuite une page contenant un code de récupération au cas où vous perdriez votre code OTP. Imprimez-le, mettez-le dans votre gestionnaire de mot de passe, photographiez-le et mettez cela à l’abri, vous pourriez un jour en avoir besoin. Cochez la case tout en bas et validez !
Dès que vous aurez activé le second facteur, elle vous demandera de vous reconnecter à votre compte Nintendo. Vous pouvez donc procéder et verrez une étape supplémentaire en plus du mot de passe : on vous demandera un code pour le second facteur, exactement de la même manière que lors de l’activation.
Dès lors, l’application fonctionnera de nouveau de manière normale.
À la première connexion après l’activation du second facteur, on vous demandera un code PIN juste après la saisie du mot de passe.
On vous le demandera également pour la validation de chaque achat !
Par Mortal
Le 21 avril 2020 | Catégories : Editos
Je le couperai au montage…Voir les articles de Mortal
A voir également
Les trucs qu'on a rédigés avec nos petits doigts potelés
Dojodirect
Des jeux de merde joués par des connards en direct !