Android : Aegis Authenticator, une application 2FA open source !
I. Présentation
Depuis plusieurs années, l'authentification à deux facteurs est devenue incontournable et le mobile est souvent utilisé comme second facteur d'authentification, que ce soit pour recevoir un code par SMS ou pour générer un code à usage unique TOTP ou HOTP. Par exemple, la méthode TOTP consiste à obtenir un mot de passe à usage unique basé sur le temps.
Sur mobile, il existe énormément d'applications pour générer ces fameux codes TOTP. Tout d'abord, nous retrouvons les applications des géants de l'informatique, comme Microsoft Authenticator et Google Authenticator, ainsi que les applications de nombreux éditeurs : Synology avec Secure Signin, Sophos avec Sophos Authenticator, Twilio avec Authy, ou encore LastPass Authenticator.
On peut citer aussi FreeOTP, publiée par Red Hat et dont le code source est disponible sur Github. Personnellement, j'ai l'habitude d'utiliser FreeOTP et Microsoft Authenticator. Récemment, un lecteur d'IT-Connect nommé Laurent M. et qui se reconnaîtra m'a fait découvrir Aegis Authenticator : une application 2FA que j'ai testée, que j'ai appréciée et que j'ai décidé de vous présenter !
II. Prise en main de l'application Aegis Authenticator
Aegis Authenticator est une application mobile qui sert à générer des codes à usage unique, et qui est donc très utile pour les utilisateurs d'authentification multifacteurs. La particularité de l'application Aegis Authenticator, c'est qu'elle est gratuite, open source et que son code source est disponible en libre accès sur GitHub.
D'un point de vue du design et de l'ergonomie, l'application est réussie et simple à utiliser. Il y a différents thèmes graphiques, notamment un thème clair et un thème sombre. Je le précise, car c'est important aux yeux de certains ! 😉 - L'application est également multi-langues, et elle prend en charge totalement le français. Les entrées peuvent être ajoutées à un groupe, ce qui permet d'organiser son coffre-fort TOTP.
Le bouton "+" permet d'ajouter une nouvelle entrée en scannant un QR code, une image ou en saisissant manuellement la clé associée au jeton d'authentification. Une fonction de recherche permet de retrouver facilement un compte, et il est possible de trier les entrées selon différents critères : par ordre alphabétique par nom du compte, par ordre alphabétique par émetteur ou encore par nombre d'utilisations.
Aegis Authenticator propose la possibilité d'importer des identifiants à partir d'autres applications (FreeOTP, Google Authenticator, etc...) mais cela nécessite un accès root sur l'appareil, ce qui est contraignant. Malgré tout, nous avons la possibilité d'importer un fichier (TXT ou JSON, par exemple) donc il suffit d'exporter à partir de l'application source et d'importer les données dans Aegis. C'est bon à savoir si vous décidez de tester Aegis Authenticator et de basculer sur cette application.
Au sein des applications de ce type, la sécurité et les options proposées sont importantes. Tout d'abord, il faut savoir qu'il n'est pas possible d'effectuer des copies d'écran de l'application, à moins d'activer la fonctionnalité dans les options : ce que j'ai fait afin de pouvoir illustrer mon article.
Les identifiants contenus dans le coffre-fort d'Aegis sont chiffrés (AES-256), et pour accéder à son contenu, il faut saisir son mot de passe maître ou scanner son empreinte biométrique. C'est à la fois sécurisé et pratique. Lorsque vous utilisez un coffre-fort chiffré (et uniquement dans ce cas), il est possible d'en créer des sauvegardes automatiques sur le stockage de votre smartphone.
Autre possibilité : celle de masquer les codes lorsque l'on accède à l'application afin de révéler uniquement un code lorsque l'on appuie dessus sur l'interface de l'application. Un petit plus.
Envie de tester l'application Aegis ? Elle est disponible sur Android, à la fois via le Google Play Store et F-Droid. Les utilisateurs d'Apple quant à eux, devront faire sans, car l'application n'est pas disponible sur iOS et cela ne semble pas dans les plans des développeurs. Voici les liens de téléchargement :
Salut, très bonne appli je l’utilise au quotidien et j’en suis très content !
Chose importante à noter : ne pas oublier de définir un mot de passe pour le coffre, en plus de la biométrie.
(je ne sais pas si c’est obligatoire maintenant, ce n’était pas le cas à l’époque la biométrie suffisait)
En effet, lors de la restauration sur un autre tel via le backup intégré à Android, il faut ce mdp sans quoi l’accès au coffre n’est pas possible… je me suis fait avoir, donc je précise ^^
On peut aussi importer un backup d’Aegis dans Authenticator (gnome), pratique 🙂