Google Authenticator + Téléphone HS / Perdu = la cata ?

Nous sommes de plus en plus nombreux à utiliser google authenticator pour sécuriser l’accès à nos divers comptes et c’est une bonne chose : l’authentitification à 2 facteurs (2FA) est l’un des moyens les plus sûrs pour sécuriser ses comptes et éviter qu’un pirate ne s’empare de vos données personnelles.

google-authenticator-telephone-HS

Pourtant, si c’est pratique et facile à utiliser, utiliser google authenticator créé un gros soucis de dépendance envers celui-ci qui m’amène à me poser la question : et que se passe-t-il si je perds mon téléphone ?

Qu’est ce que le 2FA ?

Tout d’abord, petite introduction sur la double authentification plus communément appelée 2FA (2 Factors Authentification) sur le web.

Il s’agit comme son nom l’indique d’utiliser en complément du classique login / mot de passe une couche de sécurité supplémentaire qui vient sous la forme d’un code qu’on rentre une fois qu’on a passé l’étape du login / mot de passe.

Et bien sur, ce code doit être juste pour pouvoir vous connecter, il ne faut donc pas prendre ce système à la légère car sans le fameux code vous n’avez plus accès à vos comptes, même avec le bon mot de passe.

C’est bien là l’intérêt du truc : un pirate ou un proche mal intentionné qui aurait vos accès (soit par négligence de votre part soit par tentative de piratage) ne pourrait pas se connecter pour autant à votre compte car il lui manque le code.

Il y a donc bien 2 étapes à franchir, sachant que le code en question est un code à 6 chiffre généré de façon aléatoire et changeant toutes les 10 secondes.

Le fonctionnement exact est variable selon le compte que vous voulez sécurisez mais l’ensemble fonctionne sur le même schéma :

  • On installe une application 2FA comme google authenticator
  • On scanne un QR code avec l’application pour relier l’app à votre compte
  • On voit apparaitre un code associé au compte

Google Authenticator : la reine des app 2FA

Pour pouvoir accéder à ce service gratuit de sécurisation de vos comptes, il faut donc installer une application sur votre smartphone / tablette, il y en a plusieurs mais la plus utilisée et surement la plus sécurisée est bien sûr celle offerte par le géant américain : google authenticator.

google-authenticator

Que ce soit pour sécuriser ses comptes google, dropbox, votre banque ou vos cryptomonnaies, google authenticator va donc vous permettre de générer un code unique et périssable selon le fonctionnement décrit plus haut.

Que devient mon Google Authenticator si je perds mon téléphone ?

Sauf qu’à force de tout vouloir sécuriser via cette application, on finit par créer ce qu’on appelle un SPOF (Single Point Of Failure) : il suffit que votre téléphone soit cassé / buggé / perdu / inacessible / volé pour que cela vous bloque accès à tous vos comptes !

Il est donc important de sécuriser l’utilisation même de google authenticator quand tout va bien car cela peut avoir de grosses conséquences.

Cela est bien sur également valable si vous changez tout simplement de téléphone même si c’est infiment moins pénible car vous avez toujours accès à l’ancien : dans ce cas ne formatez / réintialisez pas votre téléphone avant d’avoir fait le nécessaire.

Google authenticator n’est pas lié à votre compte google

Déjà première chose à savoir : le google authenticator installé sur votre téléphone n’est pas synchronisé avec votre compte google.

Je pensais en commençant ces recherches que c’était le cas et qu’il suffisait dans le cas ou on utilisait android comme moi qu’il suffisait de renseigner son compte google et réinstaller google authenticator pour retrouver ses codes.

PAS DU TOUT !

La procédure est en réalité bien plus compliquée : il faut pouvoir se connecter à son compte (par exemple dropbox) et à partir de là générer un nouveau device pour le 2FA.

Sauf que bien sur pour se connecter à votre compte il faut le code de google authenticator… le serpent qui se mord la queue en somme.

Les backup codes

Heureusement, certains (mais pas tous) les services comme dropbox vous donnent des backup codes au moment ou vous activez le 2FA afin de ne pas rester bloqué.

Ces codes sont à utilisation unique et ne changent pas toutes les 10 secondes comme les autres, même plusieurs années aprés leur génération ils sont toujours utilisables… une seule fois.

Bien sur, en contactant les services en question il sera toujours possible d’envoyer un document pour prouver votre identité mais c’est à la fois long, aléatoire et stressant.

Gardez donc précieusement ces backup codes quelque part, sur un papier au fond du tiroir ou ailleurs, attention simplement à toujours pouvoir y accéder :

Par exemple, au début je faisais des screenshots dans un dossier spécifique de mon ordi synchronisé sur le cloud sauf que si je perds accès au cloud ça ne m’avancera à rien : un peu de low tech donc est le bienvenu !

N’hésitez donc pas à récupérer ces codes dès à présent et AVANT d’en avoir besoin : récupérer ses codes avec est bien plus simple que de récupérer ses données effacées et vous évitera bien des maux de tête par la suite car vous le savez aussi bien que moi : ce genre de choses n’arrivent jamais au bon moment.

Un nouveau smartphone ? Utiliser Authy

Si vous êtes dans le cas ou vous avez un nouveau téléphone et que vous souhaitez simplement basculer vos codes google authenticator sans devoir tout refaire compte par compte, il est possible d’utiliser une app comme authy.

C’est une sorte d’outil de synchro de vos app 2FA si vous en utilisez plusieurs, et qui permet en l’installant sur le nouveau téléphone de récupérer automatiquement tous vos comptes.

authy-app

Dans tous les cas, et afin que google authenticator ne créé pas plus de problème qu’il en résoud, il faut anticiper et avoir ses backup codes au chaud afin de pouvoir les ajouter le moment venu.

Vous aimerez aussi...

3 réponses

  1. Bonjour Nico,
    Si votre ancien smartphone est inutilisable alors vous ne pouvez pas (dites-m’en un peu plus sur le soucis, il y a peut etre un contournement en branchant une souris ou un écran externe par exemple)

    La procédure la plus simple est d’aller sur le site / service qui utilise authenticator et de le désactiver dans les paramètres ou de choisir le sms comme mode 2FA à la place de google authenticator. Bien souvent, pour désactiver ce dernier on vous demandera le code et c’est le serpent qui se mord la queue, mais des fois c’est faisable selon le site.

    Autre option, contacter le support du site et leur expliquer. Ils pourront le désactiver de leur coté et vous permettre de rebrancher un nouveau google authenticator ou peut etre (meme si c’est moins sécurisé dans l’absolu) rester sur le SMS comme 2éme facteur d’authentification car c’est quand meme beaucoup plus simple en cas de soucis (à condition d’avoir la puce, ce qui n’est pas le cas en cas de vol / perte)

  2. Bertrand dit :

    Bonjour, je suis exactement dans le cas que vous décrivez dans votre article. J’ai un nouveau téléphone car l’ancien est cassé et inutilisable, que faire pour récupérer le QR code que je suis censé récupérer sur l’ancien téléphone ?
    Je vous remercie d’avance….
    Nico

  3. Dom dit :

    Merci beaucoup pour votre article : j’ai perdu mon smartphone avec google authenticator ce n’est pas simple cette histoire !! Mais grace a vous je comprends mieux ce que j’ai à faire pour régler le problème merci !!

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *