Principes d'authentification en deux étapes

Publié le 29/12/2014

En r√©installant Pidgin, j'ai eu la d√©sagr√©able surprise de constater que mon compte Google n'√©tait plus reconnu. Une erreur me disait que je n'√©tais pas autoris√© √† me connecter. Les param√®tres √©taient (√©videmment) bons: Pidgin a le bon go√Ľt de proposer des configurations par d√©faut pour plusieurs protocoles, dont un qui s'appelle "GTalk" (mais qui n'est jamais qu'un sur-param√©trage √† XMPP avec d'autres valeurs par d√©faut).

Quelques minutes plus tard, je reçois un mail me disant ceci:

Google Account: sign-in attempt blocked

Sign in attempt details Date & Time: Monday, December 29, 2014 3:20:14 PM UTC Location: Belgium

If this wasn't you Please review your Account Activity page at https://security.google.com/settings/security/activity to see if anything looks suspicious. Whoever tried to sign in to your > account knows your password; we recommend that you change it right away.

If this was you You can switch to an app made by Google such as Gmail to access your account (recommended) or change your settings at https://www.google.com/settings/security/lesssecureapps > so that your account is no longer protected by modern security standards.

To learn more, see https://support.google.com/accounts/answer/6010255.

Sincerely, The Google Accounts team

En navigant parmi les liens, on se rend compte que Google classifie les applications en sécurisées et moins sécurisées. Pidgin fait partie de la deuxième catégorie. Pour l'autoriser à vous connecter en utilisant votre compte Google, il faut donc autoriser toutes les applications classifiées comme moins sécurisées. Pas de juste milieu dans ce cas-ci. Cette classification se base en fait sur "les dernières normes de sécurité" (sans spécifier lesquelles).

Une autre solution, afin de permettre de conserver les normes de sécurité (et donc n'autoriser que les applications identifiées comme telles), est de définir un mot de passe par application ayant besoin d'un accès aux informations de votre compte. Ces autorisations nécessitent d'avoir activer l'authentification en deux-étapes, un mécanisme qui permet de vérifier que la personne qui essaie de connecter à votre compte :

  1. Connaisse votre mot de passe
  2. Ait accès au téléphone auquel le compte Google est lié.

Une fois que cette fonctionnalité sera activée, il sera possible de générer un mot de passe pour une application en particulier. Cela donnera à cette application un accès complet à votre compte, mais en utilisant un mot de passe spécifique à elle-seule. Pour activer tout ceci:

  1. Rendez-vous sur la page de paramétrage de votre compte
  2. Si ce n'est pas déjà fait, activez l'authentification en deux étapes (communément appelée 2-steps verification ou encore two factors authentication dans la langue de Batman).
  3. Une fois que ce sera fait, vous pourrez demander à générer le mot de passe dont il était question ci-dessus. Rendez-vous sur la page App Passwords afin d'ajouter une nouvelle entrée.
  4. Parmi les choix possibles, sélectionnez Other (custom app) et suivez les étapes.

app-password

Le mot de passe généré peut alors être utilisé dans la configuration de Pidgin sans que cela n'altère les autres paramètres de sécurité.

En résumé, on peut se connecter à son compte Google depuis n'importe quelle application, à deux conditions:

  1. Soit toutes les applications sont autorisées à se connecter,
  2. Soit l'authentification en deux étapes est activée, et un mot de passe particulier a été généré pour cette application.