Valve teste son Steam Mobile Authenticator

Valve teste son Steam Mobile Authenticator

Praise GabeN

Avatar de l'auteur
Kevin Hottot

Publié dans

Logiciel

16/04/2015 2 minutes
39

Valve teste son Steam Mobile Authenticator

Valve propose depuis assez longtemps un système d'authentification à deux facteurs par e-mail pour sa plateforme Steam. Hier, la société de Gabe Newell a lancé la bêta de son Steam Mobile Authenticator, une application mobile partageant le même principe que le Blizzard Authenticator.

En 2011, Valve a mis en place son Steam Guard, un système d'authentification à deux facteurs permettant de contrôler l'accès à son compte Steam, même en cas de vol de mot de passe. Lorsqu'une machine qui ne s'est jamais connectée auparavant à votre compte tente d'y accéder, un code à cinq caractères vous est envoyé sur une adresse e-mail de confiance. Si vous êtes à l'origine de cette connexion, vous avez certainement accès à la dite boîte e-mail, et vous pourrez récupérer le code pour accéder à votre ludothèque. Dans le cas contraire, vous n'aurez accès à rien du tout.

Cette protection n'est malheureusement pas infaillible et il suffit au pirate d'avoir également connaissance de votre adresse e-mail et de son mot de passe pour contourner le problème et faire main basse sur votre compte Steam. Valve planchait donc sur une autre solution un peu plus robuste et vient de lever le voile sur son Steam Guard Mobile Authenticator.

Son principe n'est pas inconnu, et dans l'univers du jeu vidéo il est par exemple utilisé chez Blizzard depuis 2008. Il s'agit d'une application mobile exploitant un algorithme type TOTP, qui génère un code différent toutes les 30 secondes. Ce code n'est valable que pendant un court laps de temps (environ 2 minutes) et doit être entré lors de chaque tentative de connexion au compte. Une FAQ détaillant le fonctionnement de l'application et la marche à suivre en cas de panne/perte/vente/vol du terminal mobile lié au compte est disponible par ici.

Pour l'heure, l'application n'est disponible que via un programme très fermé de bêta-test auquel participent 100 utilisateurs. Si vous souhaitez y entrer, il vous faudra vous inscrire à ce groupe et croiser les doigts pour être sélectionné. Pour l'heure seuls les appareils sous Android sont concernés par cette bêta, ceux sous iOS suivront rapidement. Concernant Windows Phone, Valve reste muette. 

39

Écrit par Kevin Hottot

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Commentaires (39)


Non merci.

J’ai déjà donné avec google et c’est l’horreur, surtout que pour installer le soft il faut déjà être connecté… sans ce soft.

Bref j’utilisais à chaque fois les codes de secours = zéro utilité.




Concernant Windows Phone, Valve reste muette





Ha bha tient c’est étonnant …. <img data-src=" />



Avec les universal app il y a pourtant de quoi faire un truc bien mais bon ….



Encore une fois WP va passer à la trappe.


On verra quand le produit sera fini.








dematbreizh a écrit :



Non merci.

J’ai déjà donné avec google et c’est l’horreur, surtout que pour installer le soft il faut déjà être connecté… sans ce soft.

Bref j’utilisais à chaque fois les codes de secours = zéro utilité.







Je l’utilise depuis plus de 2 ans sur un de mes deux comptes mails, et je n’ai jamais utilisé un seul code de secours.

Contraignant au début, mais ça doit dépendre de l’utilisation que l’on fait de son compte.



Euh… Si c’est proche du sytème de Blizzard ça fonctionne parfaitement.



Edit : Je suppose que Steam ne vas pas faire une version “physique” comme Blizzard ?


Si ils exploitent vraiment l’algo&nbsp;&nbsp;TOTP&nbsp;alors il sera possible d’utiliser l’application d’authentification de Microsoft http://www.windowsphone.com/fr-fr/store/app/authenticator/e7994dbc-2336-4950-91b…

que j’utilise déjà pour Lastpass, Gmail, Guild Wars 2, Facebook, Dropbox..


Le Google Authentificator est en effet assez merdique à mettre en place. Mais j’utilise celui de Blizzard depuis longtemps et c’est un vrai bonheur.

Autre facteur qui peut jouer pour l’adoption de ce type de dispositif, c’est de quelle manière l’input du code et à quelle fréquence il est demandé.

Je vais prendre un exemple: WildStar utilise Google Authentificator. Lorsque l’on se connecte au jeu, le code est demandé et doit être saisi à l’aide d’un clavier virtuel (donc à la souris). Si vous décidez de déconnecter le perso (pour changer de perso par exemple), le jeu redemande de s’authentifier. Au final, c’est fastidieux et les joueurs ont rapidement boudé le dispositif (malgré des récompenses en jeu)

Coté Blizzard, le code est demandé au lancement du jeu mais n’est pas redemandé tout de suite même en cas de déconnexion. De plus, le code est saisissable directement au clavier. L’utilisation est donc assez simple et rapide.



Vous me direz “un clavier virtuel, c’est plus de sécurité puisqu’anti-keylogger”. Je vous répondrai que de capter l’input d’un code expirant au bout d’une minute n’a que très peu d’utilité sauf à être en train de surveiller en temps réel.


Et tant qu’on parle des autres services qui utilisent les authentificateurs, je ne peu que conseiller aux utilisateurs Android (je sais pas si ca existe sur iOS) d’utiliser l’application Microsoft et non Google Authentificator pour et seulement pour le service de MS. La différence ? à la place de vous demander de rentrer un code, le site web microsoft envoi une requete au smartphone, vous n’avez plus qu’à accepté ou refusé sur votre téléphone pour enregistrer l’authentification.

Aucun code à rentrer et moins de stress vis à vis du temps.

le lien vers l’app :&nbsphttps://play.google.com/store/apps/details?id=com.microsoft.msa.authenticator

Ce que donne une demande :&nbsphttps://lh6.ggpht.com/G6-R3MkNEFtuuAZtx-bBJbQktdh0hh_vaMZxBFhQ62Y0estyrkn-Zb6oPh…








bakou a écrit :



Le Google Authentificator est en effet assez merdique à mettre en place. Mais j’utilise celui de Blizzard depuis longtemps et c’est un vrai bonheur.

Autre facteur qui peut jouer pour l’adoption de ce type de dispositif, c’est de quelle manière l’input du code et à quelle fréquence il est demandé.

Je vais prendre un exemple: WildStar utilise Google Authentificator. Lorsque l’on se connecte au jeu, le code est demandé et doit être saisi à l’aide d’un clavier virtuel (donc à la souris). Si vous décidez de déconnecter le perso (pour changer de perso par exemple), le jeu redemande de s’authentifier. Au final, c’est fastidieux et les joueurs ont rapidement boudé le dispositif (malgré des récompenses en jeu)

Coté Blizzard, le code est demandé au lancement du jeu mais n’est pas redemandé tout de suite même en cas de déconnexion. De plus, le code est saisissable directement au clavier. L’utilisation est donc assez simple et rapide.



Vous me direz “un clavier virtuel, c’est plus de sécurité puisqu’anti-keylogger”. Je vous répondrai que de capter l’input d’un code expirant au bout d’une minute n’a que très peu d’utilité sauf à être en train de surveiller en temps réel.





Mise en place du google authenticator galère ? ça prend 5 minutes et encore je suis large :/



C’est plutôt une bonne idée, Steam n’est pas mort <img data-src=" /> mais sinon pour steamos ya des news? parce que d’après distrowatch, la dernière maj:

2015-01-15: Development Release: SteamOS 1.0 Beta Update 153


Oui c’est hyper simple à mettre en place.

Le seul soucis de Google Authenticator, c’est quand tu changes de téléphone… à moins d’être root (et d’avoir titanium backup), faut tout reconfigurer…








DDReaper a écrit :



Si ils exploitent vraiment l’algo  TOTP alors il sera possible d’utiliser l’application d’authentification de Microsoft http://www.windowsphone.com/fr-fr/store/app/authenticator/e7994dbc-2336-4950-91b…

que j’utilise déjà pour Lastpass, Gmail, Guild Wars 2, Facebook, Dropbox..







Steam ne fait pas du TOTP









dematbreizh a écrit :



Non merci.

J’ai déjà donné avec google et c’est l’horreur, surtout que pour installer le soft il faut déjà être connecté… sans ce soft.

Bref j’utilisais à chaque fois les codes de secours = zéro utilité.





Tu peux choisir la méthode de récupération du code, soit l’app, soit par sms

Par défaut ça va demander ton code sur l’app, tu peux dire que tu ne l’as pas sur toi, et choisir par quel moyen on te l’envoie. (sms sur le tel de ta copine, le tiens… tout ça se configure avant dans la partie double authentification de ton compte Google)



Ouai pareil, ça fonctionne niquel chez moi, j’ai la double auth sous Gmail mais qui est moins bien que celle fournis par microsoft pour hotmail. Pour hotmail la demande est push sur le téléphone est un bouton “Approuver / Refuser” apparait donc pas besoin de code (et si absence de réseau, toujours possibilité d’utiliser un code).



Même sur Final Fantasy XIV j’utilise ce système, par contre ce que je trouve idiot, c’est une application PAR service pour la double auth, au lieu d’avoir UNE appli standard qui gère plusieurs service.




Valve propose depuis assez longtemps un système d’authentification à deux facteurs par e-mail pour sa plateforme Steam.&nbsp;



À ce sujet, c’est vraiment de la merde ce “système d’authentification à deux facteurs par e-mail&nbsp;”.


Ah tiens très sympa cette fonctionnalité, merci pour l’info !


TOTP est pratique et simple à mettre en œuvre. Google authenticator en revanche, n’est pas terrible, je lui préfère de loin Authy :&nbsphttps://www.authy.com


Je ne comprends pas le soucis avec l’authentificator de Google !&nbsp;

Je l’utilise continuellement, c’est vrai que ce qui est fastidieux c’est quand on change de tel, faut tout y reconfiguré, mais une fois fait…



&nbsp;Après il est vrai que j’ai aussi l’envoie par SMS, qui me permet du coup, lorsque je veux me connecter à mon compte (parce que j’ai changé de tel) recevoir le sms qui me permet de me connecter sur le compte en question et ensuite en flashant un QR code de rajouter un nouveau compte dans mon nouveau tel (dans l’appli Authentificator)…



Une fois tout configuré, j’ai qu’à regardé sur l’appli Google et je me connecte avec le code s’affichant… Ca demande juste à allumer mon tel qui l’est déjà bien souvent !&nbsp;








Leixia a écrit :



Tu peux choisir la méthode de récupération du code, soit l’app, soit par sms

Par défaut ça va demander ton code sur l’app, tu peux dire que tu ne l’as pas sur toi, et choisir par quel moyen on te l’envoie. (sms sur le tel de ta copine, le tiens… tout ça se configure avant dans la partie double authentification de ton compte Google)





J’évite de lier un compte à un autre, donc je ne donne jamais mon numéro.



VALVe n’aime pas Windows 8 et plus ne l’oublie pas ;)


Je l’utilise tous les jours la double authentification Google et je vois pas où c’est l’horreur ?








vloz a écrit :



À ce sujet, c’est vraiment de la merde ce “système d’authentification à deux facteurs par e-mail&nbsp;”.







mmm… pourquoi? Ca marche bien je trouve, un mail et hop copier/coller.



C’est pas tant le principe qui est mal foutu, c’est la fréquence à laquelle le code de confirmation est demandé.

Typiquement je me connecte régulièrement à Steam sur 3 machines.





  • Mon fixe perso

  • Mon laptop perso

  • Mon fixe au bureau (oui, moi je peux <img data-src=" />)





    Sur chacune de ces machines, je me connecte indifféremment via le client Steam, ou via leur site.

    Si mon navigateur est mis à jour, il détecte que je me connecte depuis un endroit inhabituel : demande du code.

    Si je décide de faire un test sur un autre navigateur (en passant de Chrome a IE 11) : demande du code

    Si par hasard, je ne me connecte pas pendant une semaine sur telle ou telle machine : demande du code.

    Au total j’me retrouve a taper ce foutu code plusieurs fois par semaine sur des machines que j’ai enregistrées comme étant des machines de confiance pour mon compte, c’est relou <img data-src=" />


J’utilise Authy sur iOs, l’appli est capable de me générer des codes pour la plupart des services mails. Je l’utilise aussi pour mon NAS Synology.


VALVe n’est déjà pas foutu de faire un application Steam sur WP… alors ce nouveau système n’est pas prêt d’arriver…








vloz a écrit :



À ce sujet, c’est vraiment de la merde ce “système d’authentification à deux facteurs par e-mail ”.





C’est quoi ces histoires de facteurs? La seule chose que Google me propose est l’identification en 2 étapes. Mais aucun facteur n’est venu me rendre visite.



premier facteur : ce que tu connais, ton mot de passe

2nd facteur : ce que tu as, ton téléphone, le mail ou l’app


Vous appelez ça des facteurs, dans votre pays?


C’est un peu le principe de la sécurité…



Moi, par exemple, entre chez moi, mon travail, et chez ma maman, il me faut à chaque foi mettre une clef dans la serrure. Et des differentes en plus.&nbsp;Et tous les jours ! Pour des endroits ou je suis déja allé !&nbsp;



C’est relou.


Blizzard fait, je pense, les choses de façon un peu moins intrusives et cela reste efficace. J’ai une double authentification avec eux avec un système par SMS. Quand je change de navigateur mais que je suis sur une machine de confiance, il ne me demande rien.



Par contre, si j’amène mon PC portable à 5 bornes de chez moi et que je me connecte depuis une connexion qui n’est pas une de celles par laquelle je passe d’habitude, il bloque tout et me demande de faire le nécessaire pour confirmer que je suis bien l’utilisateur légitime du compte.








Ellierys a écrit :



Blizzard fait, je pense, les choses de façon un peu moins intrusives et cela reste efficace. J’ai une double authentification avec eux avec un système par SMS. Quand je change de navigateur mais que je suis sur une machine de confiance, il ne me demande rien.



Par contre, si j’amène mon PC portable à 5 bornes de chez moi et que je me connecte depuis une connexion qui n’est pas une de celles par laquelle je passe d’habitude, il bloque tout et me demande de faire le nécessaire pour confirmer que je suis bien l’utilisateur légitime du compte.







Même en changeant de navigateur, sans l’avoir jamais rajouté sur ton compte Blizzard ? étonnant…



Il y a des trucs beaucoup plus chiants avec Steam, et c’est principalement au niveau des échanges, confirmation de l’échange par email, pas d’échange pendant 7 jours si tu changes de navigateur/ordinateur/vide les cookies, etc…



J’viens de refaire le test à l’instant. Sur une machine déjà connue et en utilisant un navigateur que je n’utilise jamais (en l’occurence IE11) aucun problème pour accéder à mon compte battle.net.

Steam serait déjà en train de me demander de vérifier mes e-mails.


Pour Gmail ça semble pas mal, mais après j’aime bien la fonction push de Microsoft qui te permet de valider en un coup de doigt.



Et je pense pas que Steam (ou Square Enix / Blizzard) rendrons compatible avec Authy leur soft :/


Il existe sur le Play Store une appli (certes payante) nommée Authenticator Plus, qui gère le TOTP dont celui de Blizzard et le SecurID de RSA notamment, qui stocke toutes les données sensible dans une archive chiffrée (bien comme il faut) sur le téléphone et/ou sur Dropbox/Google Drive, verrouillage par code PIN obligatoire pour les téléphones rootés sauf si utilisation des clés de chiffrement matérielles, autant dire que c’est assez balèze.

L’avantage avec l’option cloud, en temps réel on a l’appli avec tout ses comptes sur chaque appareil !

Je ne suis pas certain mais je pense que l’appli existe pour d’autres plateformes.








mancuso85 a écrit :



Moi, par exemple, entre chez moi, mon travail, et chez ma maman, il me faut à chaque foi mettre une clef dans la serrure. Et des differentes en plus. Et tous les jours ! Pour des endroits ou je suis déja allé ! 

C’est relou.





Et ta mère/ton patron te demande un mot de passe qu’elle t’envoie par la poste?



Valve n’aime pas tout ce qui pourrais lui faire de l’ombre. Le gros Gabe croyait que MS allait mettre de vrais jeux dans son store. Finalement, ce sera peut être le cas dans Windows 10, allez savoir <img data-src=" />


Au temps pour moi, j’ai lu ton commentaire en diagonale. Je ne connaissais pas le sytème d’hotmail, effectivement c’est plus facile d’utilisation que Google Authenticator/Authy !


Bien vu&nbsp;<img data-src=" />



Sauf qu’en pratique, grâce à la mémorisation des mots de passe par le navigateur (que j’utilise), la deuxième étape de vérification devient la SEULE vérification&nbsp;<img data-src=" />



Et comme ma messagerie est accessible via un simple raccourcie bien en évidence…<img data-src=" />



Ce qui est fabuleux, c’est que l’on connait tous les principes / besoins / raisons de sécurisation, mais qu’en pratique, on a quand meme tendance à laissé la clef sous le paillasson&nbsp;<img data-src=" />


Dommage que Steam n’ait pas de carte comme les autres (15€, 25 €, 50€), ça faciliterait l’achat