Authentification simple — La génèse
Utilisateur — Mot de passe
C’est l’authentification de base, celle qu’on vous demande le plus souvent, c’est aussi celle avec laquelle tout a débuté :
- Utilisateur : c’est, en général, votre adresse mail ;
- Mot de passe : le site concerné est de plus en plus exigeant (au moins 8 caractères avec au moins « minuscule », « majuscule », « chiffre » et, parfois, « caractère spécial »).
L’une des premières authentification est pour l’adresse mail. On choisit un mot de passe facile à retenir [1].
Pour les autres sites, on va pas se casser la nénette, c’est l’adresse mail et son mot de passe. D’autant plus que la saisie porte à confusion puisqu’il est demandé l’adresse mail puis le mot de passe [2].
Puis un jour, il faut se connecter aux impôts. Et là, c’est du sérieux. L’utilisateur n’est pas l’adresse mail mais l’« identifiant fiscal » qu’il faut aller chercher dans les « papiers ». Il faut mettre un autre mot de passe, plus compliqué que je vais noter [3].
Pour la banque, encore autre chose...
Puis un site demande à modifier le mot de passe... mon carnet de note s’épaissit, je ne note pas tout, j’oublie, je réinitialise des mot de passe, ...
L’État devant ce phénomène qu’il ne peut contrôler crée FranceConnect : un moyen de connexion simple à ses services en utilisant toujours le même identifiant. Pour aller sur un site public, il faut d’abord se connecter aux Impôts (par exemple) pour qu’il en valide l’accès.
Pour des raisons de sécurité, on nous demande un mot de passe par site et le « carnet » s’épaissit...
Il est temps d’en finir, je vous recommande un gestionnaire de mots de passe : KeePass qui répondra à vos attentes.
Pré-requis d’utilisation de KeePass : ne plus être un utilisateur débutant de l’ordinateur. Cela implique la maîtrise de :
- la souris et du clavier,
- la bascule entre fenêtres,
- l’explorateur de fichier ;
- le presse-papier ;
- la notion d’URL ;
et, pour ceux qui veulent jouer avec, des notions très simples de programmation.
Un grand changement doit aussi s’opérer dans votre vision des mots de passe. Mais la récompense vous attends...
Support
- Présentation Authentification : Voir
[1]Par exemple : le prénom de la petite dernière avec la Majuscule et son année de naissance.
[2]Beaucoup comprennent au début que le mot de passe est celui de l’adresse mail sinon, ça ne va pas marcher.
[3]Pour les plus numériques, c’est sur l’ordinateur, pour les autres, un bon vieux carnet fera l’affaire.
FranceConnect
Définition
La CAF, la Sécurité sociale, la mairie, les impôts… Pour entreprendre vos démarches en ligne auprès des administrations, vous devez jongler avec une multitude d’identifiants et de mots de passe. Et si vous souhaitez utiliser un nouveau service en ligne, il faut souvent créer un nouveau compte.
Avec FranceConnect, inutile de mémoriser de multiples identifiants et mots de passe ! Vous pouvez accéder à plus de 1 400 services en ligne grâce à l’identifiant et mot de passe d’une seule administration dont vous êtes déjà usager :
- impots.gouv.fr
- ameli.fr
- L’Identité Numérique La Poste
- MSA
- YRIS
- France Identité
- TrustMe
Utilisation
On l’aura compris, lister les 1400 services accessibles serai fastidieux et inutile (sujet à évolution). Par contre, il arrive pratiquement à chaque fois que vous vous connectez à un site administratif qu’il vous propose d’utiliser FranceConnect. Je vous engage à choisir cette option et de faire l’économie d’un couple utilisateur/mot-de-passe spécifique à ce site. Vous avez certainement un compte aux impôts ou à l’assurance maladie (Amélie) alors profitez-en.
Fonctionnement
FranceConnect est un service de l’État qui confirme l’identité et l’authentification d’une personne.
Il fait intervenir trois acteurs :
- le service en ligne auquel vous désirez vous connecter, appelons-le « ADM » ;
- un fournisseur d’identité (comme Impots.gouv, Ameli ou l’Identité Numérique La Poste), appelons-le « IDENT » ;
- le RNIPP (Répertoire National d’Identification des Personnes Physiques) [1] est la base officielle gérée par l’INSEE qui recense toutes les personnes ayant un lien avec la France : les Français (nés en France ou à l’étranger), les personnes nées en France et celles qui résident ou ont résidé en France.
Lorsque ADM demande à FranceConnect de vérifier l’identité d’un utilisateur, FranceConnect redirige la personne vers « IDENT », qui vérifie l’identité de l’utilisateur et l’authentifie, puis transmet à FranceConnect les informations nécessaires pour confirmer son identité, comme son nom, prénom, date et lieu de naissance.
FranceConnect compare ensuite ces informations avec celles du RNIPP pour s’assurer de leur exactitude et de l’existence officielle de la personne. Une fois l’identité validée, FranceConnect transmet à « ADM » les informations nécessaires pour permettre l’accès au service.
FranceConnect ne conserve pas les données personnelles : il se contente de vérifier et sécuriser l’identité des utilisateurs avant qu’ils accèdent à « ADM ». Grâce à FranceConnect, lorsqu’une personne utilise un service en ligne comme « ADM », on peut connaître son identité, l’authentifier et vérifier qu’elle est correctement enregistrée à l’état civil, tout en protégeant sa vie privée et ses données personnelles.
Support
[1]Cette base contient des informations comme le nom, le prénom, la date et le lieu de naissance, et permet de vérifier que la personne existe bien dans les registres d’état civil et que ses données sont correctes.
FranceConnect+
Une extension de FranceConnect qui ne sera pas détaillée ici.
Différence avec FranceConnect
FranceConnect+ est une version renforcée de FranceConnect. Ce dispositif est exigé pour les démarches nécessitant un niveau de sécurité, par exemple :
- l’envoi d’une lettre recommandée électronique ;
- une procuration si vous ne pouvez pas voter ;
- une demande d’aide de l’État pour la rénovation énergétique sur MaPrimeRénov’.
Si vous souhaitez utiliser FranceConnect+, vous devez impérativement disposer d’une identité numérique soit chez « France Identité » soit chez « L’Identité Numérique La Poste ».
Identité numérique
L’identité numérique est un ensemble de données qui vous identifie dans le monde numérique. C’est comme votre carte d’identité mais en ligne. Elle garantit un niveau de sécurité identique à un face-à-face. Elle se traduit par une application localisée sur votre smartphone.
Vous pouvez en créer une via :
Connexion à des sites via un service tiers
Solution qui ne sera pas détaillée ici.
Un service tiers est une application ou un site web qui vous permet de vous connecter ou de créer un compte en utilisant un compte existant d’un autre fournisseur (Google, Apple ID, Facebook, etc.). Ce sont en quelque sorte des services analogues à FranceConnect pour des sites non gouvernementaux.
Cette méthode évite de retenir un mot de passe supplémentaire et centralise la gestion de vos identifiants.
L’usage de fournisseurs tiers pour l’authentification est de plus en plus courant, car il simplifie la gestion des identités et renforce la traçabilité des accès.
Quelques fournisseurs :
- Google,
- Apple ID,
- Facebook,
- b.connect [1].
Apparemment d’autres solutions existent (Paypal ?) mais il est difficile de se projeter dans l’avenir. La centralisation attise l’attraction de ces sites pour les hackers... Alors que la gestion d’un couple « utilisateur/mot de passe » en local semble plus sécurisante.
Support
Quelques sites proposant une connexion via un service tiers :
[1]Solution d’authentification sans mot‑de‑passe financée par les cinq grands groupes bancaires français (BNP Paribas, BPCE, Crédit Agricole, Crédit Mutuel, Société Générale)
Pourquoi KeePass ?
Constat
Seulement 8% des internautes utilisent un gestionnaire de mots de passe.
Selon le baromètre CNIL/Médiamétrie 2018 sur les pratiques numériques et la maîtrise des données personnelles, 3 internautes sur 10 centralisent leurs mots de passe sur papier et près d’1/4 utilisent toujours le même mot de passe. L’utilisation d’un gestionnaire de mots de passe et le recours à un en ligne concernent une minorité des internautes.
Gestionnaire de mot de passe - Caractéristiques
Vous utilisez plusieurs dizaines de comptes en ligne. Un outil permet de faciliter et de sécuriser le stockage et la gestion de vos mots de passe : le gestionnaire de mots de passe. Il doit permettre :
- Éviter l’indigestion de mots de passe
Un bon gestionnaire de mots de passe est un logiciel qui stocke tous vos mots de passe et les protège en les chiffrant. Il vous évite de retenir des dizaines de mots de passe ou de les noter en clair dans un texte ou un post-IT. - Ne retenir qu’un seul mot de passe solide
La saisie du mot de passe maitre ouvre le « coffre-fort » contenant tous vos mots de passe. Il devra être solide, c’est-à-dire comporter au moins 12 caractères dont des chiffres et des caractères spéciaux (Voir le support en fin d’article). - Générer des mots de passe en béton
En plus de stocker vos mots de passe, certains gestionnaires vous proposent d’en générer des nouveaux. Vous n’avez plus à réfléchir pour savoir si le mot de passe que vous concevez est suffisamment solide, le logiciel le fait selon vos propres critères. - Utiliser le gestionnaire sur tous vos terminaux
La plupart des gestionnaires proposent une version mobile à emporter sur votre smartphone, votre tablette ou votre ordinateur portable. - Ouvrir vos comptes en un clic
Certains gestionnaires sont des logiciels installés sur votre ordinateur. Pour vous connecter à vos comptes en ligne, ouvrez le gestionnaire en entrant votre mot de passe maître, puis copiez-collez votre identifiant et mot de passe dans le champ de connexion.
KeePass
KeePass offre toutes ces fonctionnalités.
Le logiciel libre Keepass est un gestionnaire de mots de passe qui ne dépend d’aucun service tiers, d’aucune société tierce. À la différence de la plupart de ses concurrents, il ne stocke pas les mots de passe sur un service Cloud en ligne, mais sur le disque dur de l’utilisateur.
Keepass fait partie du « Socle Interministériel de Logiciels Libres » ; Le SILL est un catalogue de référence des logiciels libres recommandés pour les administrations publiques françaises.
Keepass permet de générer des mots de passe aléatoires, longs et complexes que l’utilisateur n’a pas besoin de mémoriser.
Supports
- CNIL : Générer un mot de passe solide.
- Site officiel du logiciel KeePass : Voir [1]. Le site est en anglais mais facilement traduisible.
- UMVIE : Guide complet pour apprendre à utiliser KeePass efficacement
[1]Le site keepass.fr n’est pas officiel et doit être considéré comme potentiellement malveillant. En cas de doute, l’article Wikipedia de Keepass indique son site officiel.
Installation de KeePass
Pas facile...
Il existe deux versions de KeePass. Elles sont toujours activement mises à jour en parallèle. Mais la version 1 est plus rudimentaire et de moins en moins utilisée. Il est fortement conseillé de prendre la version 2.x, qui dispose de beaucoup plus de fonctionnalités : c’est celle sous-entendue dans tout ce qui suit.
La version officielle de KeePass est un logiciel Windows disponible sur keepass.info. KeePass n’est pas disponible sur le "Microsoft Store".
Elle est disponible en deux variantes :
- Installer pour une installation classique Windows ;
- Portable pour une installation en dehors du système (utilisation depuis une clé USB par exemple).
L’installation sur PC se fait en quelques clics.
Par défaut, le logiciel est en anglais. Il faut télécharger le pack linguistique français, le dézipper et copier le fichier « French.lgnx » dans le dossier « Program Files\KeePass Password Safe 2\Languages ». Ensuite, il suffit de sélectionner la langue française dans le menu « View -> Change language ». Et vous voilà en mode Molière.
Sauf que dit comme ça, c’est facile... mais à faire, ça reste ardu pour quelqu’un qui n’a pas l’habitude d’installer des logiciels et qui baragouine à peine la langue de Shakespeare.
D’autant plus qu’il faut ensuite paramétrer le logiciel et notamment augmenter le délai d’effacement du presse papier pour le passer de 12s à 2mn. Ce temps initial est trop court pour débuter dans l’utilisation de KeePass.
Bref, j’ai opté pour une installation portable, déjà francisée et paramétrée qu’il vous suffit de dézipper dans un dossier « KeePass » sur votre disque.
Ce qui m’oblige à proposer régulièrement les dernières versions...
Support
- Création de la dernière version de KeePass : Voir
Installer KeePass
Télécharger le logiciel (Version 2.61) : ici
Le plus simple est de créer un dossier « Applications » dans le bibliothèque « Documents » car d’autres logiciels existent sous forme portable uniquement et ils seront installés dans ce dossier « Applications ».
Dézipper, dans « Applications », le fichier téléchargé. Il s’installe dans un dossier « KeePass... ».
Aller dans le dossier « KeePass... » et lancer l’application KeePass qui y apparait clairement. L’épingler à la barre des tâches.
Il est aussi possible de créer un raccourci sur le bureau en faisant un clic droit dessus et choisir :
"Afficher d’autres options ->Envoyer vers -> Bureau (créer un raccourci)"
Support
Utiliser KeePass
Centre de test KeePass
KeePass offre un centre de test permettant de s’exercer pour les fonctions de base : Test KeePass
Faire les tests suivants :
- colonne de gauche rajouter un groupe : « Tests » ;
- dans le groupe « tests » : rajouter une entrée (toujours mettre l’URL de test) ;
- utiliser le générateur de mots de passe ;
- jouer avec les différentes méthodes de connexion ;
- utiliser les remarques.
Sources
- KeePass Cool : manuel utilisateur
- 01 Net : Bien démarrer avec KeePass
- Numeriquement.fr : Tutoriel KeePass
- CNIL : TUTORIEL Vidéo - Utiliser Keepass pour gérer ses mots de passe
- KeePass (site en anglais) : Tutoriel premiers pas
Supports
- Connexion à un site commercial : Voir
L’authentification à facteurs multiples
Le plus souvent double-identification
C’est une méthode de sécurité [1] qui requiert au moins deux des trois types de facteurs suivants pour vérifier l’identité d’un utilisateur :
| Facteur | Exemples |
|---|---|
| Quelque chose que vous savez | Mot de passe |
| Code PIN | |
| Quelque chose que vous avez | Smartphone (recevoir un code) |
| Token matériel | |
| Clef USB de sécurité | |
| Quelque chose que vous êtes | Empreinte digitale |
| Reconnaissance faciale | |
| Reconnaissance vocale |
En combinant deux (ou plus) de ces éléments, l’authentification à facteurs multiples renforce considérablement la protection contre les accès non autorisés, même si un mot de passe est compromis.
Le plus souvent, il s’agit d’une double identification : « Mot de passe » suivi d’un « code sur smartphone ».
[1]« MFA » ou « Multi‑Factor Authentication »
Signes d’une boîte mail piratée
Une « fuite de données » expose votre adresse mail, parfois accompagnée de votre mot de passe, de votre identité ou de vos coordonnées bancaires. Si votre compte est compromis, un pirate peut envoyer des e‑mails de hameçonnage (« phishing »), usurper votre identité ou accéder à d’autres services où vous utilisez les mêmes identifiants.
Signes de piratage
Ces signes ne sont pas exhaustifs mais indiquent qu’il faut agir rapidement.
| Indice | Description | Exemple |
|---|---|---|
| Connexion non reconnue | Tentatives de connexion depuis un appareil ou une localisation inconnue | Réception d’une notification d’une connexion depuis un pays étranger |
| E‑mails envoyés sans votre accord | Messages apparaissant dans le dossier « Envoyés » que vous n’avez pas rédigés | Vos contacts signalent des spams provenant de votre adresse |
| Réinitialisation de mot de passe non sollicitée | E‑mails de réinitialisation que vous n’avez pas demandés | Réception d’un lien de réinitialisation alors que vous n’avez pas touché à votre compte |
| Modifications de paramètres | Règles de filtrage, redirections ou signatures modifiées | Vous constatez une règle de transfert vers une adresse inconnue |
| Alertes de sécurité | Service de monitoring [1] vous informant d’une fuite | Réception d’une alerte « votre adresse apparaît dans une base de données piratée » |
Supports
- ASTUCES-INTERNET : Comment savoir si votre adresse e-mail a été piratée ?
- Cybermalveillance.gouv.fr : Que faire en cas de piratage d’une boîte mail ?
- Surfshark : Comment savoir si mon adresse mail a été piratée ?
[1]Ex. Surfshark
Vérifier et préserver votre adresse e-mail
En suivant ces étapes, vous pourrez savoir rapidement si votre boîte mail a été piratée et prendre les mesures nécessaires pour protéger votre identité et vos données :
- vérifier votre adresse sur « Have I Been Pwned » ;
- identifiez les fuites et les données compromises ;
- réagir immédiatement : mot de passe, MFA, changement de mots de passe sur d’autres sites, alerte aux contacts.
- prévenir les futures fuites en adoptant de bonnes pratiques de sécurité.
Vérifier votre adresse
Accéder à un service de vérification : se rendre sur le site « Have I Been Pwned ». Ce service gratuit analyse les bases de données publiques de fuites.
- Entrer votre adresse e‑mail : dans le champ central, saisir votre adresse e‑mail et cliquez sur « Check » (Vérifier). Le site vous indiquera si votre adresse apparaît dans une ou plusieurs fuites.
- Lire les résultats : si l’adresse est trouvée, le site liste chaque violation, permettant d’évaluer le risque :
- nom de l’entreprise ou du service piraté ;
- date de la fuite ;
- types de données compromises (e-mail, mot de passe, etc.)
Que faire si votre adresse est compromise ?
Ces mesures sont recommandées dès que vous suspectez une intrusion.
| Action | Pourquoi ? | Comment ? |
| Réinitialiser immédiatement votre mot de passe | Empêche l’accès non autorisé | Utiliser un mot de passe unique, long et alphanumérique |
| Activer la double authentification | Ajoute une couche de sécurité supplémentaire | L’activer sur votre compte mail et sur les services associés |
| Changer les mots de passe sur d’autres sites | Utilisation du même mot de passe | Les modifier un par un, idéalement avec un gestionnaire de mots de passe |
| Informer vos contacts | Éviter la propagation d’hameçonnage (phishing) | Envoyer un message de prévention |
| Surveiller votre compte | Détecter toute activité anormale | Utiliser des alertes de sécurité ou un service de monitoring (ex. Norton, Surfshark) |
Prévention à long terme
- Ne jamais réutiliser un même mot de passe sur plusieurs services.
- Utiliser un gestionnaire de mots de passe pour générer et stocker des identifiants forts.
- Mettre à jour régulièrement vos logiciels (Système, navigateur, antivirus notamment) pour éviter les vulnérabilités.
- Faire attention aux e‑mails d’hameçonnage : vérifier l’expéditeur, ne cliquez pas sur des liens suspects.
Supports
- ASTUCES-INTERNET : Comment savoir si votre adresse e-mail a été piratée ?
- Cybermalveillance.gouv.fr : Que faire en cas de piratage d’une boîte mail ?
- Surfshark : Comment savoir si mon adresse mail a été piratée ?
- NordVPN : Boîte mail piratée, comment le vérifier et quelles solutions appliquer ?
- BDM :Comment savoir si mon adresse mail a été piratée, conseils et outils
- Chrome : Traduire la page en français