Cas et réflexion

Le cas s'est présenté à moi pour Github: l'authentification de type TOTP devient obligatoire. S'il est sage d'être prêt à prendre du temps pour sécuriser ces accès, il l'es peut être moins de suivre les indications: télécharger l'application Microsoft Authenticator, scanner le code QR et entrer le code obtenu. Pourquoi ? Il es notable que ces application, outre qu'elles vous obligent à possédé un smartphone (ou à vous authentifie via le device de quelqu'un d'autre), refuse générallement de fonctionner si vous bloquer certains accès (caméra, dossiers sans réelle garantie du périmètre) et si vous refuser de donner certaines informations, au premier rang desquels votre numéro de téléphone, que vous pourriez ne pas vouloir donner à une entreprise dont les revenus sont basé sur l'exploitation commerciale de vos données personnels. Sans compter qu'elles requièrent d'avoir un compte chez l'entreprise correspondante, et enfin de permettre de faire un lien évident entre toutes ces données afin de vous authentifier* formellement.

^{* Noter ici que "identifier" est employer ici au sens de vous relier à une identité réelle. Ceci est une donnée très précieuse pour le ciblage publicitaire ou malveillant, car elle permet de vous suivre tout au long de votre vie du fait de son immutabilité. Lorsque celle-ci est "pollué" (spams, appels publicitaires, phishing, ...), il est généralement difficile de remédier au problème.}

En bref, il existe quantité de raison de ne pas vouloir suivre ces directives. Si tel est votre cas, sachez qu'il est tout à fait possible d'éviter de céder ces données, ou d'être en possession d'un smartphone.

Théorie

En effet, l'authentification TOTP ne requiert pas l'autorisation d'une entreprise de "confiance", mais se base simplement sur des paramètres en votre possession : un code, généralement transmis sous la forme d'un code QR, et la date. Cela signifie qu'il est tout à fait possible de générer le code de sortie à partir d'un algorithme en local, sans donner d'informations personnelles.

Solution

Pour ce qui est de récupérer le code secret du QR code, il existe pléthore d'applications de bureau gratuites (tels que QtQR, QR Code Generator, ...) qui fonctionne en local, ainsi que des logiciels capable de vous générer le code final : Keepass (avec un plugin), ou encore KeepassXC (nativement) qui vous propose au besoin différents algorithmes en fonction des méthodes utilisés par les différents sites.

1. Installer un lecteur de code QR et un gestionnaire de mot de passe local (voir ci-dessus)
2. Faites une capture d'écran du code QR
3. Faite lire l'image à votre lecteur QR code
4. Copier le code secret
5. Keepass > créer une entrée pour le site > click droit TOTP > définir un TOTP

Bravo! Vous vous êtes débrouillé sans créer de compte, sans avoir besoin d'un smartphone ni caméra, sans donner vos données.

Sources

https://fr.wikipedia.org/wiki/Mot_de_passe_%C3%A0_usage_unique_bas%C3%A9_sur_le_temps

https://keepassxc.org/docs/KeePassXC_UserGuide#_adding_totp_to_an_entry

pour toute suggestion, vous pouvez me contacter via le formulaire de contact.