Vous

et V

otre

Mac

N° 165 • Avril 2020 100 % Mac en pratique

Ils font souvent mieux que le Finder

FR

AN

CE m

étr

opolita

ine

: 5,9

0 €

• S

UIS

SE

: 9,9

0 F

S

DO

M -

BEL -

MU

X -

PO

RT C

ON

T: 6

,90 €

• C

AN

AD

A 1

0,9

9 $

L 1

12

06

- 165 S

- F: 5,9

0 €

- RD Path Finder, Forklift, Commander One, File Cabinet

Le mail dans tous ses états

mais ils ne le remplacent pas

Apple WatchDécouvrez tout ce qu’elle fait pour votre santé

Les bons réglages et des outils pour vos souris et trackpad

L’authentification à 2 facteurs? Bientôt incontournable!

Comprendre et maîtriser les fonctions techniques avancées des services de VPN Les nouvelles fonctions de Catalina

Des options et des astuces à utiliser sans modération Par quoi remplacer Mail si ça ne va pas?

COUV-165.qxp_Mise en page 1 05/03/2020 15:44 Page 1

Dans deux ans, le système d’authentification à deux facteurs sera généralisé, au moins en Europe, pour presque tous les achats en ligne et l’accès à de nombreux services. De plus en plus de services de tout genre, qui engrangent nombre de vos informations personnelles, proposent cette solution plus sécurisée que les SMS, sans encore l’imposer, mais autant prendre les devants, comprendre de quoi il retourne et s’habituer à un utilitaire qui facilite l’utilisation de ces codes. DENIS DUBOIS

25 | Vous et Votre Mac 165 | Avril 2020

Des outils simples facilitent l’usage de l’authentification à 2 facteurs

Les mots de passe sont le maillon faible de notre identité numérique. Leur gestion est épouvantable. Ils sont trop faibles, réutilisés sans cesse (pour 39 % des particuliers et 50 % des professionnels, d’après une étude récente),

notés sur un post-it ou dans un fichier non protégé, trop simples à deviner et rarement renouvelés… Toutes ces raisons facilitent les intrusions. De nombreuses recommandations ont pourtant été promulguées ces dernières années, parfois contradictoires, sur la façon de générer des mots de passe solides. Des mesures ont été prises, notamment dans les entreprises pour obliger les utilisateurs à changer régulièrement leurs mots de passe, par exemple, mais rien n’y fait! Sans compter

le piratage d’immenses bases de données d’utilisateurs de sites internet qui font l’objet de commercialisations régulières sur le darknet. Le premier risque est l’usurpation d’identité et le détournement de compte. Imaginez quelqu’un qui prendrait le contrôle de vos réseaux sociaux et qui se ferait passer pour vous auprès de vos amis virtuels et qui lirait vos e-mails… Ensuite, il y a le vol d’argent puisqu’il serait possible d’accéder à vos comptes PayPal, à votre compte en banque, ou encore de faire des virements… Enfin, il ne faut pas sous-estimer les risques d’infection. Une étude récente (https://frama.link/rYpMV9D7) met en évidence que les mots de passe faibles seraient à l’origine d’une infection de ransomware (rançongiciel en français)

sur trois (30 %) en 2019! Cette attaque consiste à verrouiller, par chiffrement, tout ou partie du disque et à demander une rançon en échange de la clé de déverrouillage. En l’absence d’une sauvegarde récente, vous ne pourrez plus mettre la main sur vos documents numériques. LE FACTEUR SONNE TOUJOURS DEUX FOIS… Fort de ce constat accablant, de nombreuses plateformes en ligne ont renforcé leur sécurité en faisant appel à un dispositif complémentaire, appelé authentification à deux facteurs (A2F). Il repose sur un appareil de confiance que possède l’utilisateur, généralement un téléphone. Une fois activé, en plus du mot de passe, on vous demandera

SOL-165 [DD] Authentification 2 facteurs (3P).qxp_Mise en page 1 04/03/2020 12:36 Page 25

un code unique valide pendant une durée limitée (de 30 à 60 secondes). Ce code unique éphémère peut être envoyé par e-mail ou par SMS, mais peut aussi être généré localement par une application dédiée [1- Options de sécurité de Dropbox]. C’est cette solution qu’il faut privilégier car c’est la plus sûre! En effet, si quelqu’un prend le contrôle de votre boîte mail, il pourra réinitialiser le mot de passe de tous vos services en ligne et recevra vos codes A2F par e-mail.

POURQUOI LA SOLUTION A2F PAR SMS POSE DES PROBLÈMES Si la réception du code temporaire par SMS est la méthode la plus courante, et la plus pratique, elle n’est pas dénuée d’inconvénients. Si vous vous trouvez dans une région sans couverture (zone blanche) ou dans un endroit qui capte mal le réseau de votre opérateur, vous ne pourrez pas recevoir le code. Si un jour, vous changez de numéro de téléphone, sans avoir préalablement désactivé la fonction sur chaque service, vous pourriez avoir les pires difficultés pour accéder à vos comptes protégés. Pour certains services, cela s’avérera même impossible! Il n’est pas exclu qu’un cybercriminel, adepte de l’ingénierie sociale, puisse se faire passer par vous auprès de votre opérateur, en prétextant une perte ou un vol, afin de recevoir une copie de votre carte SIM, dans le but de récupérer vos codes d’identification (technique de SIM Swapping). Enfin, une faille historique dans le protocole de routage SS7 (Système de signalisation n°7), utilisé par quasiment tous les opérateurs pour échanger des informations, permet de rediriger les SMS (et les appels reçus) vers un numéro de téléphone et ainsi intercepter les codes d’authentification des utilisateurs légitimes.

UTILISER UNE APPLICATION D’AUTHENTIFICATION À DEUX FACTEURS (A2F) Au moment du paramétrage du compte, l’application A2F établit une connexion synchronisée avec le serveur du ser-vice à protéger, généralement par le biais d’un QR code à scanner ou d’un code alphanumérique à saisir [2]. Une clé secrète de démarrage (appelée Seed), générée et stockée sur le serveur distant, est alors transmise à l’application. Le code généré par l’application est issu de l’encodage et du chiffrement du Seed avec la date et l’heure. Il est valide pendant 30 à 60 secondes, au bout de ce délai, un nouveau code est généré automatiquement. La plupart des services en ligne que vous utilisez prévoient l’authentification à deux facteurs dans leurs paramètres de sécurité. Citons Apple, Amazon, Google, Microsoft, PayPal, Gmail, Yahoo!, Uber, Evernote, WordPress… ainsi la plupart des réseaux sociaux: Facebook, Instagram, Twitter, LinkedIn… LES CRITÈRES LES PLUS IMPORTANTS POUR CHOISIR UNE APPLICATION A2F Il existe de très nombreuses applications A2F, leur prise en main est très rapide et leur configuration est on ne peut plus simple. Quels sont les critères susceptibles d’orienter votre choix? En matière d’esthétique tout est affaire de goût personnel. Toutefois, seul Step Two se distingue avec une interface originale constituée de bulles [3] dont on peut modifier à loisir la couleur. Les codes sont d’une grande lisibilité, idéal pour les personnes âgées ou qui ont des problèmes de vue. LastPass Authenticator [4] et Authy [5] présentent,

eux, une interface (et donc des menus) en anglais, mais rien de rédhibitoire dans ce genre d’application très simple à utiliser. Authy dispose une interface plus travaillée avec une miniature pour chaque service, au bas de l’écran, qui, une fois touchée, donne accès à un large panneau

d’information très lisible. Google Authenticator [6], Microsoft Authenticator [7] et LastPass Authenticator présentent de larges similitudes dans leur interface – des plus classiques et sans fioritures. Lors du choix, les fonctions de sécurité constituent à l’évidence le critère le plus important à prendre en compte! La plupart des applications A2F protègent leur accès via un verrou de sécurité, généralement constitué d’un mot de passe, d’un code PIN (09) ou d’une authentification par empreinte digitale (Touch ID) ou reconnaissance faciale (Face ID sur iOS) de l’utilisateur. Toutefois, quelques applications font exception, c’est le cas de Duo Mobile, Google Authenticator et Step Two qui comptent sur la sécurité mise en place pour accéder à votre téléphone. Autre point à vérifier: l’existence d’une sauvegarde de vos comptes. Elle s’effectue généralement dans le Cloud. En l’absence de sauvegarde, lorsque vous changez de téléphone (renouvellement, perte, réinitialisation…), vous devrez recréer tous vos comptes. Et si vous n’avez pas activé une solution alternative (SMS, clé de sécurité, etc.) ou préalablement désactivé tous vos comptes A2F, vous risquez de ne plus pouvoir accéder à vos services web. Cette sauvegarde, fortement recommandée, est supportée par l’ensemble des applications à l’exception notable de Google Authenticator qui ne propose aucune solution de sauvegarde! Si, sous iOS, les sauvegardes sont le plus souvent effectuées sur iCloud, Authy préfère sauvegarder une copie de tous vos comptes dans son propre cloud chiffré; il est aussi le seul à proposer un mot de passe spécifique, dédié à la protection de vos

7

26 | Vous et Votre Mac 165 | Avril 2020

1

2

3

4 56

SOL-165 [DD] Authentification 2 facteurs (3P).qxp_Mise en page 1 04/03/2020 12:36 Page 26

Six utilitaires pour utiliser l’authentification à deux facteurs au quotidien

27 | Vous et Votre Mac 165 | Avril 2020

sauvegardes. LastPass Authenticator impose l’installation de son gestionnaire de mot de passe, LastPass, pour pouvoir sauvegarder vos comptes A2F sur son cloud. Les deux applications semblent prévues pour fonctionner ensemble. Troisième critère à prendre en compte: l’existence de fonctions pratiques qui peuvent faire la différence dans la décision finale. Authy propose une discrète icône pour copier le code dans le presse-papiers afin de le coller directement sur le service sans avoir à le taper manuellement. Il suffit de toucher brièvement le service désiré pour que Step Two et Google Authenticator copient immédiatement le code éphémère dans le presse-papiers. Pour la version macOS de Step Two, il suffit d’appuyer sur [barre d’espace] ou touche [entrée] pour copier le code temporisé d’un compte. Microsoft Authenticator, DuoMobile et LastPass Authenticator proposent d’aller plus loin, en offrant une fonction de One-tap push notifications qui évite de saisir manuellement les codes d’authentification. Il suffit de toucher le message qui apparaît à l’écran pour autoriser ou refuser la demande d’authentification au site. Cette fonction est opérante pour leurs propres services; seul LastPass Authenticator ouvre le dispositif à quelques services tiers (Facebook, Google, Amazon, Dropbox et Evernote), à condition d’être connecté à son compte LastPass via son extension de navigateur. UNE LARGE COMPATIBILITÉ Toutes ces applications sont disponibles pour iOS et Android à l’exception de Step Two disponible que sous iOS. Les apps Authy, Microsoft Authenticator, Step Two et Duo Mobile sont aussi présentes pour l’Apple Watch [8], pas sur les montres Wear OS de Google. Authy et Step Two (disponible sur le Mac App Store) se démarquent en proposant une application pour macOS [9] – Catalina (10.15) est requis, Catalyst oblige. Authy est la seule solution à pouvoir être installée

sur plusieurs appareils qui se synchronisent mutuellement, elle est également la seule qui dispose d’une extension pour Google Chrome. COMBIEN ÇA COÛTE? La plupart des solutions A2F que j'ai testées sont gratuites, ce qui vous laisse tout loisir de les essayer pour trouver celle qui vous convient le mieux. Seul, Step Two tente le paiement unique (11 €) pour gérer plus de dix comptes, ce qui peut s’avérer suffisant pour un particulier – en tout cas, avant la généralisation prévue de la double authentification. Si vous êtes utilisateur du gestionnaire de mots de passe 1Password ou Dashlane, il n’est pas nécessaire d’installer une application A2F supplémentaire, car ces applications supportent nativement les mots de passe temporisés à usage unique (TOTP) [10] [11] disponibles après avoir scanné le code QR des services concernés.

Une Directive européenne sur la Sécurité ́des Paiements (DSP2) doit, dès 2022, rendre obligatoires l’usage des applications ou des clés de sécurité, dispositifs plus sécurisés que les SMS, pour tout achat en ligne supérieur à 30 €. Mieux vaut donc vous y habituer dès maintenant!

9

10 11

8

SOL-165 [DD] Authentification 2 facteurs (3P).qxp_Mise en page 1 04/03/2020 12:37 Page 27

Décrypter les fonctions techniques avancées des services de VPN

Choisir un VPN nécessite de comparer ses fonctions par rapport à ses nombreux concurrents et de les jauger au regard de vos besoins. Une fois que l’on a séparé le bon grain de l’ivraie, ce qui fait la différence entre ces services, en dehors du prix bien sûr et de quelques autres considérations comme le nombre de serveurs, de pays couverts, la vitesse de connexion… ce sont surtout leurs fonctionnalités avancées. Quand on plonge pour la première fois dans le détail des fonctions techniques des offres, c’est un vrai casse-tête! Termes abscons, anglicismes, francisation bancale, absence de normalisation (une même fonction est nommée différemment selon les VPN). Enfin, certaines fonctions annoncées sur le site de l’éditeur ne sont parfois, voire souvent, fournies que dans la version Android ou Windows du client VPN! Cet article devrait vous donner un petit coup de main pour faire votre choix. DENIS DUBOIS

28 | Vous et Votre Mac 165 | Avril 2020

SOL-165 [DD] VPN fonctions techniques avancées (3P).qxp_Mise en page 1 04/03/2020 12:38 Page 28

LA FONCTION KILL SWITCH S’il y a une fonction indispensable à un VPN, c’est bien le support de l’Internet Kill Switch, que l’on traduira par coupe-circuit. En effet, il s’agit de couper toute connexion Internet si la connexion au serveur de VPN venait à être interrompue (défaillance du serveur VPN par exemple). Certains VPN, comme HMA! (HideMyAss), préfèrent parler d’arrêt d’urgence automatique [1]. Et croyez-moi, cela arrive assez fréquemment. La connexion interrompue, le chiffrement s’arrête et votre véritable identité numérique (l’adresse IP publique attribuée par votre FAI) est dévoilée (on parle de fuite IP, voir plus loin). Votre anonymat est réduit à néant. Sans Kill Switch, il est probable que vous ne vous en aperceviez même pas et que vous continuiez à naviguer en pensant être anonyme. Kill Switch vous déconnecte

immédiatement d’Internet avant de vous reconnecter automatiquement au bout de quelques secondes, lorsque la connexion au serveur de VPN est rétablie. Le Kill Switch peut être géré au niveau du système ou celui de l’application (App Kill Switch). Dans le premier cas, la connexion est interrompue sur l’ensemble de l’ordinateur; dans le second cas, l’utilisateur peut déterminer les applications qu’il souhaite bloquer en cas de perte de connexion au VPN (navigateurs, clients torrents…). NordVPN propose les deux possibilités sous macOS. Certains VPN n’activent pas cette fonction pourtant essentielle, comme chez HMA! ou chez Private Internet Access (PIA) qui nécessitent d’activer la fonction en cochant une case dans les Paramètres de l’application.

LA FONCTION SPLIT TUNNELING Parfois partiellement traduite en Split Tunnel voire en tunneling fractionné dans certains VPN, cette fonction que j’appelle tunnel divisé permet d’aiguiller les flux des applications dont les données doivent transiter par le VPN et de celles qui conservent une connexion directe à Internet. En effet, il n’est pas toujours nécessaire de « tunneliser » (de chiffrer et d’anonymiser) toutes les connexions, notamment lorsque certains services de streaming ou de téléchargement détectent et bloquent les connexions VPN. Les jeux en ligne peuvent aussi souffrir de latences

dues à l’utilisation d’un VPN. L’accès à un périphérique du réseau local, comme une imprimante réseau, peut-être rendu impossible pendant la connexion au VPN. Avec cette fonction, c’est vous qui excluez les applications qui ne doivent pas passer par le VPN ou inversement, qui choisissez celles qui doivent l’utiliser (dans ce cas, on parle de Split Tunneling inversé). Private Internet Access propose cette fonction [2] mais tous les VPN ne la gèrent pas, même les plus sophistiqués comme ProtonVPN ou NordVPN. LA FONCTION STEALTH MODE Si vous êtes ou si vous vous rendez dans un pays qui pratique la censure (port et/ou trafic VPN bloqués) ou que l’utilisation d’un

VPN y est interdite (comme la Chine), ce mode dit furtif peut vous être utile. Cette fonction permet au VPN de dissimuler l’apparence de son trafic afin de contourner les restrictions imposées par certains gouvernements. Il permet de ne pas être détecté en tant que connexion de type VPN, et de contourner

les pare-feu mis en place pour bloquer l’accès Internet des ressortissants de ces pays. Si cette fonction s’adresse surtout aux journalistes, lanceurs d’alertes et autres activistes, elle peut également être utilisée pour s’affranchir de l’interdiction d’usage d’un VPN par un établissement comme une université, une entreprise, un hôtel…

3

2

29 | Vous et Votre Mac 165 | Avril 2020

1

Les fonctions avancées d’une sélection de services de VPN

SOL-165 [DD] VPN fonctions techniques avancées (3P).qxp_Mise en page 1 04/03/2020 12:38 Page 29

30 | Vous et Votre Mac 165 | Avril 2020

Concrètement, les serveurs VPN Obfuscated [3 - NordVPN] masquent votre trafic qui est enveloppé dans de classiques (et innocentes) trames chiffrées HTTPS (SSL). Ces trames transitent incognito comme toute autre connexion sécurisée. La connexion Internet résultante en est toutefois ralentie. LA FONCTION DOUBLE VPN Parfois appelée Double-hop VPN (VPN à double saut), cette fonction a pour rôle de renforcer considérablement le niveau de sécurité de votre connexion en passant par deux VPN successifs (situés dans des pays distincts), donc en chiffrant deux fois le trafic. Si le premier serveur VPN est compromis par un gouvernement hostile, par exemple, ou si le fournisseur est

contraint légalement de transmettre vos données de connexion, ces dernières ne seront pas exposées. Cette fonction avancée n’est pas utile à tout le monde et présente l’inconvénient d’un ralentissement conséquent de la connexion. Cette fonction n’est supportée que par de rares fournisseurs VPN. Citons ProtonVPN [4] (où la fonction est dénommée Secure Core VPN), NordVPN [5], Private Internet Access, VPNac. Certains fournisseurs autorisent même à chaîner plus de deux serveurs!

LA FONCTION ONION OVER VPN Cette fonction est encore rare. AstrillVPN (sur tous ses serveurs), NordVPN et ProtonVPN [5] (sur certains serveurs spécifiques) la proposent. Onion sur VPN, en français, permet de cumuler la sécurité du routage en Onion de Tor (la communication passe par plusieurs serveurs dont chacun ajoute successivement sa couche de chiffrement, d’où la métaphore avec une pelure d’oignon) à la confidentialité d’un tunnel chiffré. Le principal avantage est le fait de masquer le trafic Tor. Sans cette solution, votre FAI (et votre gouvernement) sait que vous utilisez le réseau Tor pour accéder à Internet. Dans certains pays, cela peut représenter un risque, certains États allant jusqu’à surveiller voire gérer eux-mêmes

des nœuds du réseau Tor. Dans certaines situations, les nœuds d’entrée et de sortie du réseau Tor sont particulièrement vulnérables et peuvent dévoiler votre véritable votre adresse IP. Le VPN ajoute, à ce niveau, une sécurité supplémentaire bienvenue. Un autre avantage non négligeable consiste à pouvoir ouvrir n’importe quel site Tor avec une adresse en « .onion » dans un classique navigateur, donc sans devoir passer par le navigateur spécialisé Tor Browser.

Tous les navigateurs gèrent maintenant cette possibilité (Firefox nécessite toutefois une petite manipulation dans son fichier de configuration). LA PROTECTION CONTRE LES FUITES DE DONNÉES La plupart des VPN déclarent être protégés contre les fuites de données. Lorsqu’on parle de fuites à propos de VPN, inutile d’appeler le plombier! Elles correspondent à des données non chiffrées susceptibles de mettre à mal votre anonymat en dévoilant votre véritable identité ou votre activité. Elles sont d’autant plus inquiétantes que ces failles de sécurité passent généralement inaperçues. On distingue trois types de fuites. Les fuites DNS (ou DNS Leaks) se produisent lorsqu'un VPN ne parvient pas à

forcer les requêtes DNS (Domain Name System) à travers son tunnel chiffré. Les requêtes DNS passent alors par le résolveur DNS par défaut de l’utilisateur, généralement celui de son FAI ou d’un service DNS tiers qu’il a configuré. Cela leur expose son identité et l’historique de sa navigation. Ces fuites sont relativement fréquentes. Pour y remédier, certains VPN proposent leur propre DNS, qui se doit d’être non journalisé. De nombreux fournisseurs de VPN comme Hide.me, HMA! (HideMyAss) [7] [8] ou ExpressVPN, proposent une page web pour tester d’éventuelles fuites. Il existe, par

ailleurs, des services web dédiés comme DNS leak test (https://www.dnsleaktest. com) ou DNS Leak (http://dnsleak.com). Le WebRTC (pour communication web en temps réel) est un ensemble de technologies pour une communication directe entre deux navigateurs, sans passer par un serveur intermédiaire. Elle est très utilisée pour la vidéo en temps réel, le streaming ou le transfert de fichiers. WebRTC nécessite de connaître l’adresse IP réelle des deux interlocuteurs pour fonctionner et peut contourner le tunnel VPN. Les fuites WebRTC peuvent donc dévoiler votre véritable adresse IP quand elles sont exploitées par des tiers. Certains fournisseurs de VPN comme ExpressVPN ou HMA! [9] proposent une page de test dédiée à la détection des fuites WebRTC. Il est possible de désactiver la fonction

WebRTC sur votre navigateur, lorsqu’elle est activée par défaut (Firefox, Chrome, Opera). Enfin, des fuites IP se produisent dans certaines circonstances: le serveur VPN est soudainement indisponible, votre appareil perd la connexion au réseau, votre client BitTorrent essaie d'envoyer du trafic en dehors du tunnel VPN… Vos informations personnelles sont alors vulnérables, même si un VPN est activé. Votre adresse IP et votre activité peuvent-être dévoilées. La plupart des VPN proposent une protection contre les fuites IP et quelques fois une page de test pour vérifier l’absence de cette vulnérabilité.

7

8

9

5

4

SOL-165 [DD] VPN fonctions techniques avancées (3P).qxp_Mise en page 1 04/03/2020 12:38 Page 30