Un cybercriminel a compromis une cinquantaine d’entreprises à travers le monde en exploitant des identifiants volés par des logiciels malveillants. C’est l’absence d’authentification multifacteur sur les plateformes de partage de fichiers qui a rendu ces intrusions possibles.
Le problème c’est que ça oblige à installer une application professionnelle sur son téléphone personnel.
1 « J'aime »
L’authentification multifacteurs ne passe pas obligatoirement par une application mobile.
Ça peut se faire par exemple aussi avec des codes envoyés par SMS ou par mail, avec des applications sur ordinateur, avec des petits appareils dédiés à la génération de codes (type RSA SecurId), avec des cartes à puce, avec des dongles FIDO (qui peuvent être en USB, en Bluetooth ou en NFC), etc…
2 « J'aime »
Beaucoup limitent les choix à l’application téléphone.
Les banques par exemple ont décidé que le SMS c’était plus assez sécurisé.
La majorité des applications n’existent pas en version Windows seulement en version mobile. Même Microsoft qui pourtant est un spécialiste puisque Windows c’est lui ne propose pas de version Windows.
C’est répandu en entreprise mais une application de 2FA comme Microsoft Authetificator par exemple ne se limite pas aux seuls usages professionnels. On peut y ajouter plusieurs comptes personnels comme Google ou ce qu’on veut qui peuvent t’envoyer une notification de validation de ton identité dessus. C’est plus rapide que de confirmer une action par code SMS ou email. Je ne parle même pas des applications bancaires avec biométrie par empreinte digitale. Un smartphone qui n’a rien d’exceptionnel hormis cette fonctionnalité et qui n’est pas chère du tout fait parfaitement l’affaire.
Du coup là ce n’est plus un problème d’application pro sur un téléphone perso…
Et on trouve encore sans trop de mal des banques qui permettent un paiement en ligne sans l’application. Par exemple, Boursorama propose en cas d’impossibilité d’utiliser l’application un lien envoyé par SMS ou la connexion à l’espace client en ligne depuis un ordinateur déjà enregistré, La Poste et la Sogé proposent le SMS, le Crédit Mutuel et le CIC proposent un boîtier générateur de codes/lecteur de QR ou un lecteur de cartes à puce…
Une large majorité des systèmes de doubles authentification utilisent du TOTP standard, et toutes les applications utilisant ce standard sont compatibles entre elles. Donc si l’application recommandée par ton service n’est pas disponible sur ton OS, tu peux en prendre une autre.
Typiquement, c’est le cas de Microsoft Authenticator. Tu peux utiliser par exemple Bitwarden ou WinAuth à la place. MS Authenticator a certes des fonctions en plus, non standard, comme la validation avec juste un clic sur une notification, mais je n’ai jamais vu de services imposant ce mode de double authentification sans proposer en plus le TOTP standard.
Si chaque pays mettrait d’office 30 ans de prison à tous ces hackers ça ferait longtemps que le problème serait résolu. Mais quand ces derniers se font choper ils ont quoi ? Une tape sur la main ?
Avec une appli qui se synchronise avec l’ordi comme KDE Connect/GSconnect, il est possible de faire juste un copié collé de ses SMS 
Yes hormis pour les services Microsoft.
Ma boite a migré sur Microsoft 365 pour les comptes rendus d’activité. J’ai testé à plusieurs reprise une appli libre tel que Aegis en scannant le QR mais incompatibilité.
J’ai du me résoudre à installer Microsoft Authenticator qui nécessite pour le coup les Play service sur Android pour qu’il fonctionne. Ne voulant pas les Play Service sur mon téléphone, j’ai fais un exprès en les installant sur un sur un compte utilisateur secondaire avec uniquement Microsoft Authenticator.
Ce qui revient à forcer l’utilisateur à installer les play services qu’il ne souhaite pas.
PS : faudra que je me renseigne sur le paramétrage sur Microsoft 365 pour accepter le standard HTOP et le proposer à la DSI de ma boite via un ticket.
D’abord, je vous souhaite à tous et à toutes, une bonne et heureuse année, avec surtout, une bonne santé.
En vous lisant, je me suis aperçu, que si une autre personne de mon entourage, lit vos posts, elle ne comprendra rien à ce que vous écrivez !
Personnellement, j’utilise les Authenticators (depuis les débuts), les biométriques (facial, empreinte) et je sais plus quoi encore ! 
Toutefois, j’ai tout récemment, voulu utiliser une clé FIDO, sur un site très connu : il semble, que ledit site, qui dit accepter et a une page dédiée à ce système, n’ait pas fini sa démarche…J’ai bien enregistré la clé, mais elle n’est pas reconnue !
Cherchez l’erreur !
Donc, c’est bien beau de parler du Multi-Factor Authentication, mais si même les plus grosses entreprises ne veulent pas le mettre en place, ça va saigner.
En même temps, ce ne serait pas du luxe, à travers les médias, de faire un peu de pédagogie et de sensibilisation.
Les lambda (dont je fais partie), apprendront que les temps ont changé (ils le savaient déjà, mais ils faisaient semblant de ne pas le voir) et qu’il va falloir retourner à l’école !
J’entends déjà des hurlements ! 