Yubikey & Joomla! | Two-factor authentication

Si vous cherchez à augmenter la sécurité des comptes utilisateurs de votre site Joomla!, découvrez comment avec le plugin YubiKey qui sera le sujet de cet article.


Yubikey & Joomla! | Two-factor authentication Vous cherchez certainement à augmenter la sécurité des comptes utilisateurs de votre site Joomla!. C’est avec le plugin YubiKey que nous allons aborder ce sujet. Depuis la version 3.2, Joomla! propose une fonctionnalité intéressante qui permet de grandement augmenter la sécurité des comptes utilisateurs.
Cette sécurité, appelée Two-factor authentication en anglais ou Authentification en deux étapes en français, permet d’ajouter un champ supplémentaire, et donc un mot de passe, à votre module de connexion.
La bonne nouvelle est que vous n’aurez pas besoin de retenir ce mot de passe, que celui-ci sera compliqué et qu’il sera unique (avec le plugin YubiKey) ou valable seulement quelques secondes (avec le plugin Google Authenticator).
Pour utiliser cette fonctionnalité, Joomla! propose deux nouveaux plugins :
Authentification en deux étapes – YubiKey (que nous allons voir dans ce tutoriel) Authentification en deux étapes – Google Authenticator (à découvrir dans le tutoriel en lien)
Regardons comment activer facilement cette nouvelle fonctionnalité qui fait de Joomla! un des CMS les plus sécurisés au monde.
Authentification en deux étapes avec le plugin YubiKey
Pour utiliser la fonctionnalité Authentification en deux étapes avec le plugin Google YubiKey, nous allons devoir :

Nous procurer une clé YubiKey
Configurer la clé YubiKey sur notre ordinateur
Activer le plugin Authentification en deux étapes – YubiKey
Paramétrer notre compte utilisateur

ATTENTION : Pensez à bien faire une sauvegarde du site, ou à créer un compte super utilisateur de secours, car si vous rencontrez un problème lors du paramétrage, vous ne pourrez plus vous connecter à l’administration de votre site.
Si vous rencontrez un problème et que vous n’avez pas fait de sauvegarde, vous pouvez Ajouter un nouveau super utilisateur, ou ré-initialser votre compte super utilisateur.
Se procurer une clé YubiKey
Pour vous procurer une clé YubiKey, vous pouvez vous rendre sur le site yubico.com. Vous trouverez différents produits, le premier prix pour YubiKey Standard à 25$ convient parfaitement, mais vous pouvez regarder également YubiKey VIP, qui vous permet d’utiliser le service sur des comptes comme Paypal par exemple.
Configurer la YubiKey sur votre ordinateur
Une fois que vous aurez reçu votre YubiKey (généralement en quelques jours) il sera nécessaire de la configurer sur votre ordinateur.
Pour cela, introduire la clé sur dans une entrée USB, puis laissez-vous guider, cela est simple et ne nécessite que quelques clics. Si vous rencontrez des problèmes, vous pouvez consulter la page www.yubico.com/start.
Activer le plugin Authentification en deux étapes – YubiKey
Nous allons désormais pouvoir activer le plugin YubiKey. Pour cela connectez-vous à l’administration de votre site puis rendez-vous dans Extensions > Gestions des plugins . En filtrant sur « twofactorauth » vous pouvez activer le plugin suivant :

Si vous éditez ce plugin, vous pouvez choisir de l’activer pour le Frontend, pour le Backend, ou pour les deux. Paramétrer le compte utilisateur
Une fois le plugin activé, vous allez pouvoir paramétrer votre compte utilisateur. Pour cela, éditez votre compte (via la gestion des utilisateurs), vous retrouvez un nouvel onglet « Authentification en deux étapes » :

Ici, vous devez :
1 – Choisir Yubikey
2 – Placer votre curseur dans le champ. Ensuite, votre clé doit être dans une entrée USB et vous n’avez qu’à presser le bouton de la clé.
Un code unique va alors automatiquement se générer, vous n’avez plus qu’à cliquer sur Enregistrer & Fermer.
Nouveau champ dans le module de connexion
Lorsque vous accédez désormais à votre administration (et également sur le Frontend si vous l’avez paramétré ains), vous avez donc un nouveau champ « Clé secrète » :

Entrez votre identifiant et votre mot de passe, puis placer votre curseur dans le champ « Clé secrète ». Vous n’avez qu’à presser le bouton de la clé pour générer le code unique et lancer la connexion
Cette fonctionnalité est très simple à mettre en place, et très simple à utiliser. Pour pirater votre compte, un pirate aurait désormais besoin de votre identifiant, votre mot de passe et de votre YubiKey.