Articles dans Sécurité
S'authentifier avec SQRL, comment ça marche ?

Dans un précédent article (lire ici), j vous ai parlé de mon enthousiasme pour ce tout nouveau système d’authentification en ligne révolutionnaire. Voici comment faire pour vous authentifier sur un site Web à l’aide de votre identité SQRL.

Se connecter avec SQRL

Lorsque l’on se rend sur un site compatible avec SQRL, la fenêtre de connexion propose de se connecter avec ce système, ou bien d’utiliser le traditionnel couple identifiant/mot de passe (ce que l’on ne vas pas faire naturellement 😉). Lorsque l’on clique sur le bouton « Se connecter avec SQRL » (ici en anglais, Sign in with SQRL), l’ordinateur lance l’application SQRL dédiée. On tape le mot de passe protégeant son identité SQRL (oui, il reste encore un mot de passe, mais c’est le seul, promis !) et hop, vous voilà authentifié sur le site.

Un bouton Sign in with SQRL? Cliquez dessus pour lancer l’application du même nom et vous authentifier de manière sécurisée. (cliquez pour agrandir)

 

La fenêtre de validation de connexion de SQRL vous montre toujours le site Web sur lequel vous êtes en train de vous connecter. (cliquez pour agrandir)

 

Authentification anonyme ! Étonnant non ?

À ce stade, le site ne sait pas qui vous êtes. Il ne connaît que votre « identité SQRL », c’est-à-dire celle que vous lui avez fournie via l’application SQRL. C’est un des éléments essentiels du système : non seulement il n’indique pas qui vous êtes, mais en plus l’identité SQRL que vous utilisez pour vous identifier en ligne est différente et unique pour chaque site que vous visitez. Cette identité est représentée par une chaîne de 78 caractères alphanumériques créée de manière aléatoire lors de la première connexion à un site Web. Et le plus fort, c’est que sans savoir qui vous êtes, le site Web sera capable de savoir que c’est vous qui revenez lors de la prochaine connexion : votre identité SQRL est unique mais aussi immuable pour chaque site.

Et si j’ai besoin de donner mon nom à un site Web ?

Garder son anonymat, c’est très bien lorsque le site n’a vraiment pas besoin de savoir qui l’on est, par exemple sur un forum de discussion. L’anonymat est une brique fondamentale de la protection de notre vie privée en ligne. Mais lorsque l’on achète un produit que l’on doit se faire livrer, il faut bien que le site connaisse votre nom et votre adresse ! C’est prévu. Lorsque vous vous identifiez pour la première avec SQRL sur un tel site, il vous propose d’ouvrir un compte nominatif, lié à votre identité SQRL. Même si on vous le propose (comme ici sur le site de démonstration), n’ajoutez pas de mot de passe, il n’est pas nécessaire puisque c’est avec votre identité SQRL que vous vous identifiez. La preuve : lorsque je reviens sur le site de démo après y avoir créé un compte, il me reconnait en tant que Fabrice. On peut donc imaginer qu’un magasin en ligne vous demande de compléter votre profile avec votre adresse postale et votre numéro de téléphone. Et le tour est joué : vous avez un compte sur ce site, mais pas de mot de passe à retenir.

1- Je suis authentifié avec SQRL mais le site ne sait pourtant pas qui je suis. (cliquez pour agrandir)

2- Je peux créer un compte en donnant le nom que je veux. On peut choisir de ne donner son vrai nom et, éventuellement son adresse pour créer un compte sur un site de vente en ligne. Notez que le mot de passe est optionnel et, franchement, inutile avec SQRL. (cliquez pour agrandir)

3- En se reconnectant avec SQRL, le site vous reconnaît, y compris avec votre nom si vous lui avez donné précédemment. (cliquez pour agrandir)

 

S’authentifier grâce à QR code avec son smartphone

Vous avez peut-être remarqué le QR code affiché sur la page de connexion. Il vous permet de vous authentifier avec votre smartphone sur le site que vous visitez depuis votre ordinateur. Pour cela, il vous faut au préalable installer l’application SQRL sur le smartphone et l’équiper de votre identité SQRL (nous verrons comment faire dans un autre article). Ensuite, c’est très simple : vous scandez avec le smartphone le QR code affiché sur la page Web sur l’ordi, vous tapez votre mot de passe sur le smartphone, et vous êtes identifié sur l’ordi. Étonnant non ? Pour assurer la sécurité de votre identification, l’application smartphone vous indique le site Web sur lequel vous êtes sur le point de vous authentifier. Mieux encore, une fois votre identité SQRL validée par votre mot de passe sur votre smartphone, vous pouvez utiliser le capteur d’empreinte digitale ou la reconnaissance faciale (selon votre modèle de smartphone) pour valider l’authentification : simple, rapide et sûr…

Scannez le QR code qui s’affiche sur l’ordi avec votre smartphone (ici un iPhone) pour lancer l’identification SQRL. (cliquez pour agrandir)

Une fois que vous avez validé une fois votre identité SQRL avec votre long mot de passe, la reconnaissance faciale ou l’empreinte digitale suffit pour valider la connexion via SQRL. (cliquez pour agrandir)

L’application SQRL dans sa version Android demandant le mot de passe pour se connecter au site de démo de SQRL. (cliquez pour agrandir)

 

Que pouvez-vous faire pour aider SQRL ?

Vous êtes convaincus comme je le suis ? Alors parlez-en autour de vous ! Contactez les sites Web que vous utilisez pour leur proposer d’adopter SQRL. Surtout à ceux qui ce sont fait pirater leur base de données d’utilisateurs, ils seront probablement les plus motivés. Parlez-en au développer de votre site Web et/ou à la plate-forme que vous utilisez pour héberger le vôtre pour les informer de l’existence de SQRL!

Pour en savoir plus

Le meilleur moyen de tout connaître sur SQRL sans tarder, c’est de vous rendre sur sqrl.grc.com. Ce forum de discussion réunit tous ceux qui suivent les développement de SQRL depuis ses débuts. La page « SQRL Essentials » vous donnera tous les détails. Elle est en anglais, mais un clic sur le drapeau français vous amènera à un traduction en français de toute la documentation (réalisée par votre serviteur, cliquez ici pour le télécharger directement).

Le forum de discussion dédié à SQRL, sur lequel vous trouverez tous les détails du fonctionnement du système. (cliquez pour agrandir)

La page SQRL Essentials pour consulter la documentation complète de SQRL, y compris dans sa version française (traduction réalisée par votre serviteur) en cliquant sur le drapeau français en haut à droite. (cliquez pour agrandir)

 

Essayez SQRL maintenant !

Dans la section « Getting started with SQRL », vous trouverez notamment un lien pour télécharger et installer la version finale de SQRL pour Windows, développée par Steve Gibson lui-même. Et aussi des liens vers les applications Android et iOS. Liens que vous trouverez également dans le document en français. Vous pourrez alors créer votre identité SQRL (article à venir) et la tester en vous rendant sur sqrl.grc.com/demo.

La version Windows de SQRL

La version Android de SQRL (lien vers Google Play)

La version iPhone de SQRL (pour s’inscrire au programme beta)

À la poubelle les mots de passe ! Avec SQRL, ils ne sont plus nécessaires, et c'est révolutionnaire !

Imaginez un monde dans lequel on n’a plus besoin de se souvenir de tous les identifiants et mots de passe que l’on crée pour les multiples services en ligne auxquels on se connecte tous les jours. Mieux encore, imaginez qu’il n’y ait plus aucun besoin du tout de créer des identifiants et des mots de passe ! Et pourtant, dans ce monde, il est possible de s’identifier auprès de tous nos services en ligne de manière absolument unique, sûre et même anonyme si on le souhaite. Avec SQRL c’est possible.

Le logo de SQRL

Le logo de SQRL

SQRL, c’est un nouveau système d’authentification sur Internet pour se connecter de manière sécurisée (et même anonyme !) à tous nos services en ligne, sans avoir besoin de mot de passe ! La version 1.0 est maintenant disponible. Dans ce premier article que je consacre à SQRL, je vous explique pourquoi ce système est révolutionnaire, comment il fonctionne et mon enthousiasme que j’espère communicatif pour que tout le monde l’adopte le plus rapidement possible ! Il en va de notre sécurité et de la protection de notre vie privée en ligne !

Ce système est baptisé SQRL, pour Secure Quick Reliable Login (En français : Authentification fiable rapide sécurisée.). SQRL, cela se prononce squirrel, ce qui veut dire écureuil, d’où le logo. Ce système a demandé 6 ans de travail à son concepteur, Steve Gibson, un des spécialistes de la sécurité informatique les plus reconnus dans le monde. Et la première version finale est maintenant proposée au monde.

Pourquoi SQRL est-il plus sécurisé que tous les autres systèmes d’authentification ?

  • Il repose sur une identité SQRL qui vous est propre et protégée par un système de chiffrement ultra-fort, de type clé publique/clé privée

  • Les sites Web que vous utilisez ne stockent plus jamais de mot de passe. Du coup, même s’ils se font pirater (ce qui arrive si souvent malheureusement), votre identité et votre compte sont toujours à l’abri des pirates.

  • Vous ne confiez jamais à quiconque votre mot de passe SQRL, le seul que vous ayez encore à mémoriser.

  • Il permet des connexions anonymes, tout en étant tout de même reconnu par les sites sur lesquels on retourne.

  • Le système est libre et gratuit, mis à la disposition de tous (utilisateurs comme professionnels du Web) pour éviter le « syndrome » de la solution propriétaire. C’est une des conditions sine qua non pour que SQRL puisse être adopté par le plus grand nombre le plus rapidement possible, pour le bien de tous.



Mais alors c’est quoi une « identité SQRL » ?

Lorsque l’on se crée son identité SQRL, on lui donne le nom que l’on veut. Moi je lui ai donné mon nom complet (prénom et nom). Mais ce nom n’est pas diffusé lors de la connexion à un site. Il s’agit juste d’une étiquette qui me permet de reconnaître l’identité SQRL que j’utilise pour me connecter. Cela dit, le système est fait de telle façon que chacun de nous n’aura besoin que d’une seule identité SQRL que l’on pourra garder tout sa vie, j’y reviendrai. Bref, une identité SQRL, c’est comme une empreinte digitale qui serait en plus protégée par un système de chiffrement incassable et un mot de passe.

Créer son identité SQRL une fois pour toute

On comprend donc qu’avant de pouvoir utiliser SQRL, il faut se créer son identité à soi. Toutes les applications SQRL, sur ordi et smartphone, vous permettent de créer votre identité SQRL. J’y consacrerai un article dédié et complet, car il s’agit d’une étape capitale, que l’on ne réalise qu’une seule fois pour toute sa vie. Alors autant le faire en prenant son temps. Une fois cette identité créée, vous pourrez l’utiliser sur tous vos appareils, présents et à venir. Vous pourrez sauvegarder cette identité, à vrai dire, vous devez préserver votre identité SQRL, de la même façon que vous gardez en sécurité vos papiers d’identité. Nous y reviendrons dans un prochain article consacré à la création de son identité SQRL.

La fenêtre de création d’une identité dans la version Windows de SQRL. (cliquez pour agrandir)

 

Que pouvez-vous faire pour aider SQRL ?

Vous êtes convaincus comme je le suis ? Alors parlez-en autour de vous ! Contactez les sites Web que vous utilisez pour leur proposer d’adopter SQRL. Surtout à ceux qui ce sont fait pirater leur base de données d’utilisateurs, ils seront probablement les plus motivés. Parlez-en au développer de votre site Web et/ou à la plate-forme que vous utilisez pour héberger le vôtre pour les informer de l’existence de SQRL!

Pour en savoir plus

Le meilleur moyen de tout connaître sur SQRL sans tarder, c’est de vous rendre sur sqrl.grc.com. Ce forum de discussion réunit tous ceux qui suivent les développement de SQRL depuis ses débuts. La page « SQRL Essentials » vous donnera tous les détails. Elle est en anglais, mais un clic sur le drapeau français vous amènera à un traduction en français de toute la documentation (réalisée par votre serviteur, cliquez ici pour le télécharger directement).

Le forum de discussion dédié à SQRL, sur lequel vous trouverez tous les détails du fonctionnement du système. (cliquez pour agrandir)

La page SQRL Essentials pour consulter la documentation complète de SQRL, y compris dans sa version française (traduction réalisée par votre serviteur) en cliquant sur le drapeau français en haut à droite. (cliquez pour agrandir)

Essayez SQRL maintenant !

Dans la section « Getting started with SQRL », vous trouverez notamment un lien pour télécharger et installer la version finale de SQRL pour Windows, développée par Steve Gibson lui-même. Et aussi des liens vers les applications Android et iOS. Liens que vous trouverez également dans le document en français. Vous pourrez alors créer votre identité SQRL (article à venir) et la tester en vous rendant sur sqrl.grc.com/demo.

La version Windows de SQRL

La version Android de SQRL (lien vers Google Play)

La version iPhone de SQRL (pour s’inscrire au programme beta)

Les Échos : "Les ministres priés d'abandonner WhatsApp au profit de Tchap", ou quand l'État français réinvente (encore...) la roue
icone_tchap.jpg

L'État a commencé à déployer sa propre messagerie privée sécurisée, Tchap. Destinée à remplacer Whatsapp ou Telegram, elle servira aux agents des services de l'Etat ou du gouvernement à communiquer entre eux.

On serait tenté de dire “enfin !”, en pensant notamment au fait que, par exemple, l’équipe de campagne électorale d’Emmanuel Macron avait adopté Telegram. Et que jusqu’à preuve du contraire, la majorité des proches du Président utilise encore cette messagerie auto-déclarée privée, sans que l’on puisse en être sûr puisque son code n’est pas entièrement ouvert.

On est obligé de faire confiance à ses créateurs, originaires de Saint Petersbourg, qui indiquent dans leur FAQ avoir déménagé à Dubai. Pour une utilisation personnelle, cela ne pose a priori pas vraiment de problème. Mais pour protéger des secrets d’état ?

Le passage de Telegram à Tchap risque toutefois de prendre du temps. Tout d’abord parce que nous savons tous à quel point il est difficile de changer ses habitudes. Mais aussi, voire surtout, parce que l’article indique que pour avoir le droit d’utiliser la nouvelle appli Tchap (disponible sur Android et iOS), «il est nécessaire de disposer d'une adresse mail professionnelle en «. gouv » ou assimilé pour s'y créer un compte».

Or, de nombreux élus utilisent aussi Telegram avec leurs équipes, qui n’ont pas forcément d’adresses de courriel fournie par une autorité publique (qui en plus doit faire partie des entités pré-approuvées par Tchap). La description de la version iOS de l’application indique que l’on peut aussi être invité par un autre utilisateur. Autant dire, que le passage d’une application simple à installer à une autre qui l’est un peu moins, risque d’avoir quelques écueils à surmonter.

Que l’on ne se méprenne pas, je trouve que c’est une bonne nouvelle globalement. J’ai toujours trouvé bizarre, gênant, voire même inquiétant que tant d’élus de la République basent leurs communications “sécurisées” sur un outil dont personne ne peut véritablement assurer le niveau de sécurité. Autrement dit, tout effort vers un autre outil mieux maîtrisé est une bonne chose.

Cela dit, j’ai du mal à comprendre pourquoi les services de l’État ne se sont pas inspirés par exemple des technologies et des procédés utilisés par l’application Signal, que de nombreux spécialistes en sécurité du monde entier considèrent comme ce qui se fait mieux. Pourquoi vouloir réinventer la roue ? Serait-ce encore une solution «à la française», comme celle qui voulait créé un «cloud souverain» et qui a été abandonné 150 millions d’euros plus tard (lire à ce sujet «Orange rachète Cloudwatt, l’échec du cloud souverain») ? Espérons que non…


Lire l’article des Échos.

appli_tchap.jpg
En 2008, la vision angélique des objets connectés dans la série The Big Bang Theory

Je ne sais pas vous, mais je suis fan de la série The Big Bang Theory. Pour ceux qui ne connaissent pas, il s’agit des aventures de 4 scientifiques trentenaires (Sheldon, Leonard, Howard et Rajesh) au QI très élevé mais vivant encore comme des ados : jeux vidéos, plats à emporter, et connaissant par cœur aussi bien la théorie de la relativité que les moindres détails de Star Wars ou Star Trek. Ces 4 (très !) geeks sont à l’aise entre eux mais pas très adroits dans leurs relations au monde. Et la série commence le jour où une jolie voisine vient s’installer dans l’appartement en face (lire l’article de Wikipedia pour en savoir plus).

Outre son côté comique réussi (en tout cas elle me fait rire), l’intérêt de cette série tient aussi au fait qu’elle est très ancrée dans les dernières technologies du moment. Oui, j’avoue, je suis geek aussi, mais j’ai tout de même beaucoup plus de facilité dans mes relations 🙂. En reprenant la série au début, j’ai été frappé de l’évolution de notre vision des technologies et de leur sécurité.

La scène d’ouverture de 9ème épisode de la saison 1, diffusé en 2008 (il y a une éternité technologique donc, voir plus loin…), commence quasiment ainsi. Alors que nos quatre héros ont relié quelques objets à Internet, ils font la chose suivante :

«Howard, active l’accès public.»

«Accès public, activé.»

Aïe.

Les voilà fiers à n’en plus pouvoir de proposer à tout l’Internet de commander à distance quelques objets connectés répartis dans l’appartement. Et lorsque ces objets se déclenchent sans intervention de leur part, ils sautent au plafond de joie.

Je répète… aïe.

Parce qu’aujourd’hui, les objets connectés sont une des principales menaces sur la sécurité d’Internet. Rappelons-nous par exemple les problèmes engendrés par le botnet Mirai. Pour résumer, ce virus a pris le contrôle de milliers de caméras connectées et de routeurs, manquant donc cruellement de protection, pour lancer une des plus grandes attaque par déni de service jamais vues.

Oui bon, c’est pour faire rire, je sais. Mais aujourd’hui, les séries montrant les technologies sont plutôt du genre paranoïaque comme “Mr Robot”.

Pour ne tomber ni dans l’angélisme, ni dans la paranoïa, rappelons-nous de réaliser régulièrement les mises à jour de nos appareils (smartphone, ordi, tablette, montre, caméra, routeur, etc.) et de bannir ceux qui ne peuvent plus se mettre à jour parce que leurs constructeurs ne s’en préoccupent pas ou plus, tels la plupart des smartphones Android de plus de deux ans ou les objets connectés à bas prix.

Vous ne garderiez pas une serrure dont tout le monde a la clé non ?

La scène d’ouverture de l’épisode 9, saison 1 de The Big Bang Theory (via Youtube, en anglais).

Oups, un bug FaceTime permet d'écouter son correspondant avant qu'il ne réponde...

(via MacGénération)

Gros bug FaceTtime

1) Lancez un appel vidéo en FaceTime ;

2) Relevez le panneau des options ;

3) Ajoutez-vous à la conversation (ce qu'il est possible de faire depuis les appels de groupe FaceTime) ;

… et écoutez ce qui se passe chez le correspondant

... avant même que ce dernier ne réponde.

Ça la fout mal pour le chantre de la vie privée qu'est Apple !

Ce bug affecte la fonction d’appel en groupe de Facetime. Appel a désactivé le service relativement rapidement, en indiquant qu’il lui faudrait probablement plusieurs jours pour apporter une correction.

Vous avez peur d’être sur écoute ? Vous pouvez temporairement désactiver la fonction Facetime sur votre iPhone via Réglages, puis Facetime. Vous pouvez aussi tout simplement forcer la fermeture de l’application Facetime et vous êtes sûr que personne n’a accès à votre micro (via une double pression sur le bouton d’accueil ou un glissement lent depuis le bas de l’écran des iPhone X et plus pour afficher l’écran multitâche).

 
facetime_desactivation.jpeg
 
 
Utiliser des mots de passe complexes et différents pour chacun de vos comptes (Via Cybermalveillance.gouv.fr - LinkedIn)

Oui, oui et re-oui ! Des mots de passe différents et complexes pour chacun de vos comptes. Pour ne pas les oublier, je suis plutôt dans le camp du gestionnaire de mots de passe que dans celui des moyens mnémotechniques individuels. Voire même, et j’en connais qui vont sursauter, du bon vieux cahier dans lequel on consigne ses mots de passe. Si, si : parce que l’alternative est justement trop souvent « oh tout ça c’est trop compliqué, alors j’utilise le même mot de passe partout ».

Toute étape vers l’amélioration de sa sécurité en ligne est bonne à prendre. Elle passe par un registre papier ? Très bien. Une fois une bonne pratique adoptée, rien n’empêche d’en adopter une autre pour aller plus loin. On se comporte globalement avec la sécurité comme avec n’importe quel outil : si c’est trop compliqué, on ne l’utilise pas.