La validation en deux étapes ajoute plus de sécurité en rendant plus difficile la connexion à votre compte par quelqu’un d’autre, en particulier si votre mot de passe a été dérobé. Lorsque vous activez la validation en deux étapes, lors d’une tentative de connexion à votre compte avec votre mot de passe, Firefox demande également un code de vérification fourni par une application d’authentification pour avoir la preuve qu’il s’agit bien de vous.
Pour l'activer, la première étape consiste en télécharger une des applications d’authentification ci-dessous :
- Authy 2-Factor Authentication
- Google Authenticator
- Duo Mobile
- FreeOTP
- andOTP (seulement pour Android)
- KeepassXC
Ensuite, suivez ces étapes pour mettre en place la validation en deux étapes sur votre compte Firefox :
- Cliquez sur le bouton de menu et sélectionnez Options
- Dans la partie Compte Firefox, cliquez sur Gérer le compte.
- Développez la section Validation en deux étapes en cliquant sur le bouton Activer…
- Ouvrez l’application d’authentification de votre choix.
- Utilisez l’application pour prendre un scan du QR code ou cliquez sur Impossible de scanner le code pour afficher un code à saisir manuellement dans l’application.
- Saisissez le code fourni par l’application dans la section Validation en deux étapes de votre compte Firefox.
- Téléchargez ou imprimez les codes de récupération et conservez-les dans un endroit sûr au cas où vous perdriez l’accès à votre application d’authentification
La configuration de votre validation en deux étapes est terminée ! .
Caitlin Neiman de Mozilla a indiqué dans un billet de blog :
« À partir du début de 2020, les développeurs d'extensions devront activer 2FA sur AMO. Ceci est destiné à empêcher les acteurs malveillants de prendre le contrôle des modules complémentaires légitimes et de leurs utilisateurs. 2FA ne sera pas requis pour les soumissions qui utilisent l'API de téléchargement d'AMO.
« Avant l'entrée en vigueur de cette exigence, nous travaillerons en étroite collaboration avec l'équipe des comptes Firefox pour nous assurer que la configuration 2FA et l'expérience de connexion sur AMO sont aussi fluides que possible. Une fois cette exigence entrée en vigueur, les développeurs seront invités à activer 2FA lorsqu'ils apporteront des modifications à leurs modules complémentaires ».
Et de préciser « qu'une fois que vous avez terminé le processus de configuration, assurez-vous de télécharger ou d'imprimer vos codes de récupération et de les conserver en lieu sûr. Si jamais vous perdez l'accès à vos appareils 2FA et que vous êtes verrouillé de votre compte, vous devrez fournir l'un de vos codes de récupération pour retrouver l'accès. L'erreur de placement de ces codes peut entraîner une perte permanente d'accès à votre compte et à vos extensions sur AMO ».
Si des hackers venaient à compromettre des comptes de développeurs, ils pourraient alors envoyer des mises à jour de modules complémentaires corrompues aux utilisateurs de Firefox. Étant donné que les modules complémentaires de Firefox ont une position assez privilégiée dans le navigateur, un attaquant peut utiliser un module complémentaire compromis pour voler des mots de passe, des cookies d'authentification / session, espionner les habitudes de navigation d'un utilisateur ou rediriger les utilisateurs vers des pages de phishing ou des sites de téléchargement de logiciels malveillants.
Ces types d'incidents sont généralement appelés attaques sur la chaîne d'approvisionnement.
Lorsqu'elles se produisent, les utilisateurs finaux n'ont aucun moyen de détecter si une mise à jour complémentaire est malveillante ou non, en particulier lorsqu'une mise à jour corrompue provient de Mozilla AMO officiel - une source considérée comme sécurisée par tous les utilisateurs de Firefox.
En mai, Mozilla avait explicitement interdit les extensions incluant du code masqué. Mozilla a estimé qu'il est extrêmement important d’être aussi transparent que possible lors de la soumission d’un add-on. Les utilisateurs doivent être en mesure de discerner facilement les fonctionnalités de votre module complémentaire et de ne pas être confrontés à des expériences utilisateur inattendues après l'avoir installé.
Source : Mozilla
Et vous ?
Avez-vous déjà développé des extensions ? Pour quel navigateur ?
Que pensez-vous du processus de soumission des extensions sur ledit navigateur ?
Que pensez-vous de la décision de Mozilla de prévoir de forcer les développeurs à se servir de l'authentification à deux facteurs ?
Les autres navigateurs gagneraient-ils à s'en inspirer ? Dans quelle mesure ?