Depuis quelques semaines, on voit de plus en plus de compte se faire pirater ou de tentatives de connexion sur des comptes Nintendo Switch.

Vous en avez même peut-être été victime… Comment se protéger contre ses tentatives ? Quelles conséquences sur l’expérience utilisateur de sa console ou de son application de contrôle parental ?

On va commencer parce ce qu’est l’authentification à deux facteurs.

C’est quoi l’authentification à deux facteurs ?

Mais commençons par le commencement à savoir ce qu’est exactement l’authentification à deux facteurs.

Quand vous allez créer votre compte Nintendo, on va vous demander un courriel et de choisir un mot de passe. Ceci forme une paire unique qui permet de vous authentifier avec seulement deux informations : qui vous êtes (votre identifiant : courriel, login) et ce que vous savez (mot de passe).

Le souci de cette approche, c’est que si l’on arrive à deviner qui vous êtes, il ne reste finalement qu’à essayer de deviner ce que vous savez. Et malheureusement, les mots de passe étant ce qu’ils sont (compliqués, longs, difficiles à retenir), nous avons tous une certaine tendance à être feignant : utiliser des mots de passe dits trop faibles (trop courts, pas assez diversifiés/complexes, basés sur des éléments personnels souvent publics (merci les réseaux sociaux !)) ou réutiliser le même mot de passe sur plusieurs sites que l’on fréquente.

Tout cela représente un risque. Un pirate peut alors :

• essayer de deviner votre mot de passe à partir d’informations personnelles, qui ne sont malheureusement pas si difficiles que cela à récupérer (pensez à votre date de naissance, le prénom du conjoint, le nom de votre tortue de compagnie)
• essayer un mot de passe très courant (123456, azerty, etc…)
• pirater un autre service/site dont vous ne vous servez plus depuis très longtemps et essayer ce mot de passe sur votre compte Nintendo
• vous faire croire que vous vous connectez à votre compte Nintendo pour récupérer votre mot de passe à votre insu (ce que l’on appelle du phishing ou filoutage en bon françois)
• bourriner en essayant des dizaines de mots de passe par seconde sur votre compte jusqu’à ce que cela passe ; pour les mots de passe très courts (≤ 10 caractères), cela peut aller très très vite (quelques secondes à quelques minutes).

Pour lutter contre ces pratiques, on peut demander aux utilisateurs de changer leur mot de passe toutes les semaines, de rendre leur compte difficilement devinable, mais toutes ces solutions sont très lourdes pour l’utilisateur et donc non-convivial (pas « user friendly » comme ils disent dans le marketing).

L’idée de l’authentification à deux facteurs est d’ajouter autre chose dans l’équation : ce que vous avez. Un code unique que seul vous et Nintendo possédez et qui sert de complément au couple identifiant/mot de passe.

De cette façon, même si un pirate arrivait à se procurer ou à deviner votre mot de passe, il lui serait impossible de se connecter s’il ne possède pas votre code unique.

Alors passer de 2 éléments (qui vous êtes et ce que vous savez) à 3 éléments (en ajouter ce que vous avez) est plus lourd ou plus compliqués me direz-vous. Et bien pas forcément et surtout cela va fortement compliquer la vie du pirate. Nous aimons tous compliquer la vie des pirates.

Comment ça se présente ?

Nintendo utilise ce que l’on appelle un TOTP (Time-based-One-Time-Password). Pour simplifier, il y a un code d’une quarantaine de caractères qui sert de clé pour une application sur votre Nook Phone ou votre ordinateur. Toutes les 30 secondes, un code à 6 chiffres est généré à partir de cette clé.

Le compte Nintendo possédant la même clé dans ces bases de données associées à votre compte, il est capable de vérifier que vous êtes bien en possession de la bonne clé en comparant simplement les 6 chiffres que vous lui avez fournis avec les 6 chiffres qu’il aura généré au même moment !

Vous avez donc, par cette simple étape supplémentaire, ajouté « ce que vous avez » et grandement compliqué la vie du pirate.

Attention ! Il ne s’agit pas non plus d’une solution anti-connerie ! Un pirate pourrait toujours essayer de récupérer le login, le mot de passe et le code temporaire en même temps à travers une tentative de filoutage de ouf gueu-din certes, mais théoriquement possible. L’authentification à 2 facteurs ne vous soustrait pas à un minimum d’esprit critique et de vigilance.

Ça a l’air cool et tout, comment je fais pour l’activer sur mon compte Nintendo ?

Récupérer une application compatible TOTP

La première chose à faire est de récupérer une application compatible TOTP. C’est dans celle-ci que vous pourrez rentrer le fameux code unique que Nintendo va vous fournir. Si vous avez un Nook Phone, c’est assez simple :

• sur iOS (iPhone, iPad), vous pouvez télécharger Google Authenticator ou 2FAS ou n’importe quelle autre appli de votre choix compatible TOTP 
• sur Android, vous pouvez télécharger Google Authenticator là aussi ou encore Aegis (disponible également sur F-Droid) 
• Sous Windows, Mac ou Linux, je vous recommande KeepassXC, un gestionnaire de mot de passe qui sait faire TOTP en prime.

Bref, il y a du choix et vous pourrez certainement trouver quelque chose qui vous convient.

Juste un dernier détail : comme vous l’aurez compris, Nintendo vous donne un code. Rien ne vous empêche donc de le mettre sur plusieurs appareils (votre PC et votre Nook Phone par exemple). Par contre, ils vous le donneront à la fois sous forme de QR Code et sous forme de texte, mais seulement la première fois. Prenez donc la précaution de le mettre partout où vous avez besoin le premier coup pour éviter de le recopier à la main partout.

Activer le second facteur sur son compte Nintendo

Du coup, vous pouvez vous rendre sur ce lien avec votre navigateur pour vous connecter sur votre compte. Une fois connecté (c’est peut-être déjà le cas), rendez-vous dans « Paramètres de connexion et sécurité » dans le menu de droite. Tout en bas, il y a l’option pour activer le second facteur :

On vous demande alors de valider que vous voulez bien l’activer (évidemment qu’on veut, c’est pour ça qu’on est là !) :

Un mail de confirmation avec un code plus tard, et vous vous retrouvez devant cette page :

Deux éléments importants ici :

• le QR Code à scanner avec son téléphone 
• si l’on clique sur la petite flèche, on a également le code en toutes lettres pouvant être copié dans un KeepassXC ou autre gestionnaire de mot de passe de bureau.

Tout en bas de la page, on vous demande de valider avec le code courant que génère l’application. Vous pouvez vous exécuter. On vous présente ensuite une page contenant un code de récupération au cas où vous perdriez votre code OTP. Imprimez-le, mettez-le dans votre gestionnaire de mot de passe, photographiez-le et mettez cela à l’abri, vous pourriez un jour en avoir besoin. Cochez la case tout en bas et validez !

Quelles conséquences ? Comment je fais pour me connecter à l’eShop/à l’application de contrôle parental/à mon compte Web ?

L’application de Contrôle Gouvernemental Parental Switch

Dès que vous aurez activé le second facteur, elle vous demandera de vous reconnecter à votre compte Nintendo. Vous pouvez donc procéder et verrez une étape supplémentaire en plus du mot de passe : on vous demandera un code pour le second facteur, exactement de la même manière que lors de l’activation.

Dès lors, l’application fonctionnera de nouveau de manière normale.

Connexion à l’eShop

À la première connexion après l’activation du second facteur, on vous demandera un code PIN juste après la saisie du mot de passe.

On vous le demandera également pour la validation de chaque achat !