Comment bien protéger ses accès admin WP (ou autres CMS) ?
On a vu dernièrement avec Twitter, WP et bien d’autres services en ligne, que le couple login/mot de passe laisse à désirer…
Le souci auquel on se heurte souvent, en termes de sécurité informatique, c’est que plus on rend sur, et plus c’est contraignant pour l’utilisateur…
Ironiquement, plus c’est contraignant pour l’utilisateur, et plus ce dernier va contourner le système, ou le réduire à néant.
On m’impose un mot de passe compliqué ? je mets le même partout ou je le note dans un coin (post it sur l’écran ou sous le clavier…)
Comment résoudre cette incompatibilité apparente ?
Une des solutions est d’utiliser des mots de passe complexes et aléatoires, que l’on stocke dans un « coffre fort » à mots de passe (type keepass), lui même protégé… par un mot de passe. D’accord….
Si le mot de passe est vraiment complexe et n’est écrit nulle part, c’est bien mieux.
On peut encore faire mieux, avec un générateur de « OTP » One Time Password : un mot de passe à usage unique.
C’était rare et cher il y a quelques années, c’est devenu plus qu’abordable maintenant.
Le principe ?
Un outil qui génère, sur demande, un mot de passe unique (il ne donnera jamais deux fois le même).
Un mot de passe infalsifiable, qui change à chaque utilisation.
Si en plus, cet outil tient dans la main, fonctionne partout, c’est top, non ?
Je vous présente donc la clé Yubico :
YubiKey Noire
10 YubiKeys Noires
Comment ça marche ?
- Un port USB (la clé est reconnue comme un clavier usb, donc sans driver, sur tous les OS)
- une « chatouille » sur le disque doré, et la clé envoie à la machine une suite de caractères uniques.
Pour les devs, la clé est programmable, peut contenir plusieurs config de mot de passe différentes (selon la durée de contact), et une API est fournie pour pouvoir intégrer très rapidement dans n’importe quelle appli.
En tant que « simple » utilisateur, c’est rapide à mettre en place.
En 5 minutes par exemple, on installe et configure le plugin Yubico qui renforce très fortement l’accès à votre blog :
Pour bien faire (ex: vol de la clé), on utilise souvent une authentification à deux facteurs: le mot de passe de la clé, + votre mot de passe habituel (qui du coup, peut être plus simple, car seul, on ne peut rien en faire).
Dans le cas du WordPress, cela ajoute un champ « Yubikey OTP » à la page de login.
L’utilisation ou pas de la clé est possible utilisateur par utilisateur.
Une chatouille sur la clé en plus du user/mot de passe habituel, et on entre.
Pas de clé ? On n’entre pas, même avec le bon mot de passe…
Combien ça coute ?
A l’unité, $25… pas bien cher pour dormir plus tranquille, surtout que la même clé peut servir pour autant de blogs / d’accès que l’on souhaite.
Bien sur, j’ai mis ça en place sur ce blog, et je l’utilise aussi dans d’autres contextes.
Par exemple, pour sécuriser mes coffres fort à mot de passe et mes clés privées SSH d’accès à mes serveurs. Pas fou 
Outre le plugin pour WP, des plugins Joomla, Drupal par exemple sont disponibles.
L’intégration dans une appli perso est elle aussi très simple.
Bref, un outil qui m’est devenu indispensable, et me rassure bien plus qu’un « simple » plugin anti bot, captcha & co.
Avec un mot de passe fort + le besoin de la clé, celui qui entre par la grande porte sur mon blog n’est pas né 
(et pourtant, au vu mes alertes et mes logs, il y en a toujours un paquet qui tentent, mdr…)
Certes, cette sécurité renforcée a un coût ($25) mais combien vous couterait (en temps et en argent) un hack de votre site ?
J’y pense aussi dans le cadre d’applications desktop « haut de gamme », pour compléter une protection par licence: le soft est vendu avec une clé, et seule cette clé (chaque clé possède un ID unique) permet de lancer le logiciel.
Enfin, La clé fonctionne aussi pour protéger Fastmail, GMail, ainsi que plusieurs fournisseurs Oauth…
Crypter son disque dur, bloquer l’accès à son PC… ça se fait avec la même clé.
Bref, vous voila informés !
Si vous en achetez une et avez un souci ou une question dans son utilisation, contactez moi, si je peux vous aider ça sera avec plaisir
Voir également:
- clef yubikey
- plugin WP accès mot de passe
- sylvain doré wp avalanche
- yubikey chiffrer disque dur
Tien ça peut être sympas ça .. A tester
Par contre il ne faut pas perdre la clef quoi..
Après y’a aussi la solution Google authentificator qui génère un code aléatoire.
A voir si ça existe sur wordpress
Bonjour
Je pense qu’avec la nouvelle clé , on n’a plus à craindre les piratages.
De plus , être sécurisé avec un investissement de $25 , ça vaut la peine de faire un essai.
Bonjour,
Bravo pour l’article! le Yubikey est vraiment une solution très efficiente pour le problème fréquent des mots de passe compliqués.Et puis $25 c’est vraiment rien pour « dormir tranquillement » comme vous avez dit! Personnellement je vais l’essayer et je vous tiendrais au courant!
Bonne continuation et à très bientôt!
$25 c’est quand même un peu trop cher selon moi.
Dans l’absolu, $25 (one shot) c’est pas grand chose.
En pratique, tout dépend de ce qu’on protège avec cette clé.
Un petit blog sans enjeu, dont l’on accepte qu’il puisse se faire pirater, osef, pas besoin de clé.
Plus ce que l’on protège a de la valeur, et plus le coût de la clé est insignifiant par rapport à l’élévation du niveau de sécurité.
Je trouve ce système intéressant pour protéger les données surtout dans les domaines à risques (financier par exemple). L’investissement de départ s’avère au final une protection efficace. Une idée intéressante à conserver !
Bonjour,
Une petite question par rapport à la YubiKey , est-ce possible avec la même clé de protéger un site sous Joomla et un sous WordPress.
Merci
Oui,
La même clé peut servir d’authentification à un nombre quelconque de sites.