Mozilla est en train de mettre en œuvre la prise en charge de l’authentification à deux facteurs (ou en deux étapes) pour tous ceux qui possèdent un compte Firefox. Bien que la fonctionnalité ne soit pas encore officiellement activée dans les paramètres utilisateur du compte Firefox, il existe une astuce plutôt rapide que vous pouvez utiliser pour l’activer et l’essayer dès maintenant.
Vous devez tout simplement vous connecter à votre compte Firefox et vous rendre dans les paramètres (vous devriez arriver sur l’URL suivante : accounts.firefox.com/settings). Ajouter la chaîne de caractères suivante…
?showTwoStepAuthentication=true
…juste à la fin de cette dernière (pas d’espace entre “settings” et le point d’interrogation) et vous verrez l’option d’authentification à deux facteurs apparaître dans les paramètres de votre compte Firefox, comme suit :
Selon les pages d’aide de Mozilla, il ne prend en charge que des jetons temporels provenant des applications d’authentification suivantes : Google Authenticator, Duo Mobile et Authy.
Il n’existe pas de jeton SMS disponible. Les jetons d’authentification basés sur les SMS se sont montrés vulnérables vis-à-vis de potentielles attaques et autres interférences de la part de cybercriminels par le passé, ils sont donc considérés comme moins sécurisés et efficaces qu’un jeton temporel. Cependant, pour beaucoup de gens, ils sont beaucoup plus faciles à utiliser, il sera donc intéressant de voir si la non disponibilité des jetons SMS entravera l’adoption du 2FA au niveau des comptes Firefox, au fur et à mesure de sa diffusion au sein du grand public.
L’idée derrière le simple fait d’avoir un compte pour votre navigateur est que vous pouvez rechercher et naviguer de façon transparente d’un appareil à l’autre. Tous les onglets que vous avez ouverts sur votre téléphone, pendant que vous étiez en route, seront ouverts au niveau de votre navigateur, sur votre ordinateur à la maison (ou au travail).
Un compte de navigateur peut également enregistrer des informations de connexion stockées pour plusieurs appareils, de sorte qu’un compte privé auquel vous êtes connecté sur votre ordinateur, ne vous obligera pas à vous reconnecter sur votre téléphone, si bien sûr vous utilisez le même navigateur sur ces deux appareils et que vous êtes connecté à votre compte navigateur.
Donc, si vous avez un compte Firefox, il est probable qu’il soit configuré pour enregistrer les mots de passe et une foultitude d’autres données sensibles. Il est particulièrement important de protéger ce type de cache de données, expliquant pourquoi Firefox a introduit le 2FA pour les utilisateurs de son compte. Nous vous invitons à l’activer dès que possible.
De cette façon, si un individu tente de se connecter à votre compte Firefox à partir d’un nouvel appareil et découvre (ou devine) votre mot de passe, il ne pourra pas accéder à vos identifiants ou à vos sessions de navigation sans avoir eu accès à votre second facteur d’authentification, qui dans ce cas est un jeton temporel généré sur une application au niveau de votre smartphone.
Billet inspiré de Your Firefox account can now be secured with 2FA, sur Sophos nakedsecurity.