Beaucoup de Freenautes l’attendaient depuis des années, Free a changé la procédure de récupération des mots de passe des espaces abonnés. Dorénavant, un lien est envoyé à l’abonné ayant oublié son mot de passe pour le réinitialiser.
L’opérateur de Xavier Niel a enfin chiffré ses mots de passes pour accéder à l’espace abonné Freebox. En effet, auparavant, un abonné ayant oublié son mot de passe et cliquant sur le lien pour le récupérer recevait l’ensemble de ses identifiants en clair par mail, comme ci dessous.
Le mot de passe et les identifiants étaient affichés clairement et c’était un problème au niveau de la sécurité. Cela voulait dire qu’une personne malintentionnée pouvait directement accéder à ces mots de passe si elle pénétrait la base de donnée de Free. L’opérateur a donc changé la donne, en chiffrant les mots de passe dans sa base de données, ce qui change également la manière de récupérer son mot de passe. Dorénavant, un lien unique est envoyé à l’abonné, valable 30 minutes de manière à ce que ce dernier puisse changer son mot de passe.
Free a donc revu en profondeur son système de gestion des mots de passe. Une manière donc de protéger l’abonné et ses identifiants. Une personne s’introduisant dans la base de donnée de Free n’aura ainsi aucun moyen d’accéder aux mots de passe des abonnés Freebox. Le chiffrement de ces données était attendu des Freenautes, c’est maintenant une réalité.
Il était temps !!!
Free...5 ans de retard...mais mieux vaux tard que jamais comme on dit ^^
"Free a donc revu en profondeur son système de gestion des mots de passe" : je rêve !
Pour un non-habitué en PHP comme moi, moins d'une minute pour une recherche sur le web pour la cryptage MD5 et renvois d'un email pour réinitialisation = moins d'1h pour changer le code PHP, j'arrondis à 1 jour pour les tests… C'est ça que vous appelez "en profondeur" !
Les mots de passe ne sont pas chiffrés, ils sont hachés.
S'ils étaient chiffrés, ils pourraient être déchiffrés.
@mdes1 > Faut te mettre à jour, ça fait très longtemps que md5 est à proscrire pour le hachage des mots de passe.
Wow, génial ! Bravo !! Toujours à la pointe du progrès !!!
Ça a l'air de faire plaisir à beaucoup.. Tant mieux !
Ouais enfin, il ne faut pas non plus crier au génie. Parce que maintenant les gens vont êtres plus enclins à cliquer sur le premier lien venu présent dans tout courriel semblant venir de Free.
Ce n'est pas vraiment une avancée dans le domaine de la sécurité de notre compte.
Tant qu'on ne demande pas son mdp, on a aucune raison de cliquer sur quelque lien que ce soit. Free a été contraint et forcé de sécuriser un minimum ces données, comme l'exige la CNIL, avec beaucoup de retard.
https://www.cnil.fr/fr/authentification-par-mot-de-passe-les-mesures-de-securite-elementaires
Et toi toujours à la pointe de tes commentaires à la con !
Que le lien mène à une page demandant le mot de pasde ou pas. Cela ne change rien au fait que cette méthode n'est pas plus sécurisée que l'ancienne. Ce lien peut mener à n'importe quoi. Il peut télécharger un virus et l'installer ou bien mener à une page permettant d'utiliser la puissance de votre ordinateur pour faire du minage de crypto monnaie. Les attaques MIM (Man In the Middle) cela n'est pas une légende.
Et puis encore faut-il que le courriel ouvert soit bien envoyé par Free. Bref Free n'a pas plus sécurisé sa procédure qu'elle ne l'était avant. Certes, les identifiants ne sont pas directement accessibles. Mais il reste des moyens pour un attaquant d'obtenir l'accès à votre compte. Et les attaques permettant de contourner les procédures de double authentification montrent bien que tout est possible.
Donc non, cette nouvelle méthode n'est pas une garantie de sécurité et encourage les gens à avoir un comportement dangereux en cliquant sur des liens dans des courriels.
Dites, si vous pensiez que votre compte, abonnement, mot de passe, données, RIB, etc n'était pas assez sécurisé...
Pourquoi ne vous en êtes-vous pas ému auparavant ?
Pourquoi n'avez-vous pas fait de signalement à la CNIL ?
Pourquoi n'avez-vous pas porté plainte ?
Pourquoi êtes-vous resté chez Free avec le risque énoooorme auquel vous étiez exposé malgré-vous ?
Avez-vous enquêté pour découvrir d'autres failles ? des failles chez les autres FAI ?
Viiiite on compte sur vous !
MD5 pour du cryptage ? Ah ok, il faut donc apprendre à coder... en profondeur.
PAs d'accord
cela enlève deja le risque, en cas de piratage de la base de donnée de Free, toutes les info de connection ne se retrouve dans la nature
De plu, comme dis par Pillardo, si on n'a pas demandé la réinitialisation du mot de passe il n'y a aucune raison de cliquer sur un lien de
réinitialisation et s'il y en a qui le font ce n'est pas la faute de Free.
Il parait juste surprenant ET ABSOLUMENT GROTESQUE que Free conservait les identifiants en clair.
Ca c'était dans les années 80, débuts années 90
Donc en effet si un serveur était attaqué les hackers récupéraient la base de mot de passe car à lépoque il était assez courant de détenir ces bases dans des fichiers non chiffrés,.
Depuis la mi-90, n'importe quel admin de base avait compris qu'il fallait conserver les mots de passes chiffrés.
Aujourd'hui si on hacke les serveurs Google, Free ou autre... on peut éventuellement récupérer une liste d'identifiants et mots de passe... mais sous forme chiffré ou "hash". Si le mot de passe est costaud... soit mot de passe long et chaine de caractère complètement aléatoire, comme il est impossible d'utlliser dans ce cas les attaques par dictionnaire, il est impossible de déchifrrer le mot de passe dans des délais raisonnables,
Mais si le mot de passe est du type : monbeaulapin58
Les hacker déchiffrent le mot de passe en 5 minutes
Je pense qu'il s'agit d'une mauvaise interprétation, comme souvent sur ce forum où les rédacteurs ont parfois des connaissances informatiques très douteuses
Les identifiants étaient sécurisés sur les serveur de Free, mais c'est la procédure de récupération qui n'était pas bonne.
En effet, en cas de boite mail hackée, ce qui est sommes toute monnaie courante avec les utlisateurs moyens, le hackeur récupère facilement le mot de passe juste en lisant les mail
Ici le lien n'a qu'une validité temporaire... c'est mieux mais sincèrement .... Free continue à se foutre de notre gueule, ça ne correspond plus aux standards d'aujourd'hui.
Encore une fois, dans l'hypothèse d'une boite mail hackée CE QUI EST TRES COURANT DE NOS JOURS, n'importe quel hacker peut donc demander le mot de passe puis le modifier.
FREE FERA VRAIMENT UN PAS EN AVANT EN IMPOSANT LE DOUBLE FACTEUR D'AUTHENTIIFCATION comme le font depuis des années maintenant Google, Microsoft, OVH, Amazon, Paypal....
Le MD5 n'est plus sécurisé depuis des lustres, le SHA1 non plus, maintenant on recommande le bcrypt qui reste encore aujourd'hui le plus sécurisé pour l'instant pour des passwords.
Dire "chiffré" ou "encrypté" (en anglais "Encrypted"), est un abus de langage très présent dans notre métier (les développeurs web). Quand on parle de mot de passes, cet abus de langage fait référence au hashage. Le terme est mal utilisé je suis d'accord ^^.
Le système 2FA (Double Authentification) n'est pas imposé, c'est conseillé mais non obligatoire et encore heureux : tout le monde n'a pas un smartphone. Chez moi c'est ma mère qui a la ligne, et dans la maison je suis le seul avec un smartphone : ma mère et mon frère n'en ont pas, donc question comment faire alors si on nous impose le 2FA ?
Faut réfléchir un minimum des fois avant d'exiger une procédure de sécurité qui n'a toujours été qu'une option. Et je te signale que si ton smartphone est compromis, ton 2FA n'a plus aucune utilité, hors les piratages de smartphone ça se fait en 30 secondes chrono maintenant. Conclusion non, qu'importe le système de sécurité, il est inefficace au final.
Tan que le password est encodé en bcrypt, et que le lien de réinitialisation est valable moins de 1 jours, la sécurité est au RDV ; tout autre procédure serait juste un plus pour sécurisé, sans devoir être obligatoire.
À partir du moment où lors d'une demande, on te renvoi ton mot de passe existant, plutôt que de t'en créer un nouveau, c'est que les mots de passe ne sont pas sécurisés sur le serveur : ils ne sont pas hashés, puisque le serveur a été capable de retrouver le mot de passe pour te l'envoyer. Ils sont éventuellement chiffrés, mais ça ça ne sert à rien en cas de compromission du serveur : le serveur dispose des informations nécessaires pour le déchiffrer (puisqu'il arrive à le faire !), donc celui qui compromet le serveur pourra probablement lui aussi les déchiffrer.
2FA n'implique pas nécessairement smartphone. Le code à usage unique peut par exemple aussi être envoyé par simple SMS, compatible avec n'importe quel téléphone portable, ou même par message vocal, compatible avec tous les téléphones.
Il peut également être généré côté client par une application implémentant la RFC 6238 (Google Authenticator sur smartphone, mais il en existe aussi des implémentations pour tous les autres OS... on pourrait bien sûr aussi envisager une application maison, avec son propre algorithme, mais tant qu'à faire, autant utiliser un truc standard) ou par un générateur physique fourni au client (RSA SecureID et autres appareils du même genre, mais bien sûr cette solution a l'inconvénient d'un coût supérieur).
Et puis finalement, il y a la version super low-cost du 2FA, mais qui marche très bien aussi : on fourni au début une liste de codes au client et quand il y a besoin d'un code, il en pioche un dans la liste, soit n'importe lequel, soit en lui demandant spécifiquement le code à telle position.
Bref, y a plein de solutions sans passer par un smartphone.
Après, je suis d'accord avec toi que pour ce qui est de l'accès à l'espace client de Free, c'est loin d'être indispensable de proposer la 2FA, et encore moins de l'imposer : cet espace client contient peu d'informations critiques en cas de compromission (et non, un RIB ce n'est pas critique). Pour moi, les seules parties qui à la limite nécessiteraient d'utiliser le 2FA, c'est l'accès au paramètres de la Freebox (pouvoir ouvrir des ports à distance comme ça, ça peut compromettre la sécurité d'une machine située derrière la Freebox, et là il peut y avoir des infos plus sensibles) et l'activation d'Internet+ (on pourrait imaginer une attaque où après compromission du compte client l'attaquant active Internet+ puis envoie des mails contenant des liens renvoyant vers des services Internet+...).
llopht a écrit
MD5 pour du cryptage ? Ah ok, il faut donc apprendre à coder... en profondeur.
christophedlr a écrit
Le MD5 n'est plus sécurisé depuis des lustres, le SHA1 non plus, maintenant on recommande le bcrypt qui reste encore aujourd'hui le plus sécurisé pour l'instant pour des passwords.
MattS38 a écrit
@mdes1 > Faut te mettre à jour, ça fait très longtemps que md5 est à proscrire pour le hachage des mots de passe.
Désolé pour avoir parlé de MD5, les miens sont bien cryptés/codés/hashés… en bcrypt via password_hash() avec "
PASSWORD_DEFAULT
- Utilisation de l'algorithme bcrypt (par défaut depuis PHP 5.5.0)".Non, code envoyé par SMS ce n'est pas le 2FA, le principe du 2FA c'est un numéro fournis au client et générer suivant la norme (cf. Google Authenticator qui implémente cette norme), le client doit rentrer alors cet identifiant sur un logiciel qui implémente cette norme, et c'est ce dernier qui va fournir un code qui n'est valide que 30 secondes et une seule fois seulement.
Ainsi, pour pouvoir passer la sécurité il faut que le numéro en question soit compromis et donc utiliser par le pirate pour obtenir le code à usage unique. Pour ton cas du SMS ce n'est pas pareil : c'est simplement un code générer aléatoirement que tu peux très bien générer avec mt_rand, et qui est fournis par SMS, ce code n'est valide par le serveur qu'un temps limité.
Les deux systèmes sont totalement différent, le 2FA est parfaitement sécurisé tan que le numéro permettant au système de générer le code à usage unique n'est pas compromis, dans le second cas le piratage du serveur suffit à outrepasser cette sécurité, alors que dans le premier cas il faut que le numéro 2FA soit compromis (tan qu'il n'est pas en possession du pirate, le compte n'est pas compromis).
Pour ce qui est d'utiliser un logiciel sous Windows par exemple, WinAuth existe mais c'est de toute façon une contrainte : le client doit connaître l'existence d'un tel logiciel, en installer un et apprendre à l'utiliser hors il y en a plusieurs des logiciels ou sites internet qui le permettent, donc il faudrait que Free les listes tous et en fasse des tutos ; de plus si l'ordinateur du client est compromis (plus probable que le smartphone cela dit), le 2FA n'a plus d'utilité ; c'est pourquoi on déconseille ces solutions là justement.
Dans tout les cas, une procédure de sécurité supplémentaire, que se soit avec le code par SMS ou le 2FA, n'a pas à être obligatoire sauf pour certaines choses comme par exemple quand on achète par internet avec la CB, tout les sites marchands n'utilisent pas l'API qui permet de demander une validation au client ; beaucoup utilise l'ancienne version du protocole et du coup on a aucune sécurité : la CB est compromise donc les paiements sont possible. Si la nouvelle version du protocole est utilisée, alors automatiquement le système de paiement demandera au client un code fournis par SMS ou directement de valider sur l'application de la banque.
Je précise que cette sécurité est interne à la banque : si usage du nouveau protocole de paiement, automatiquement l'API appel le système de la banque, c'est donc une page de la banque qui demande confirmation du paiement avec le code par SMS ou la validation directement sur l'appli de la banque.
Par exemple moi avec la BNP, comme j'ai l'application et activé la clé digitale, automatiquement ce n'est pas un SMS que je reçois mais une demande de validation par l'application, ma mère qui n'a pas de smartphone c'est un SMS qu'elle reçoit.
Là oui se sont des procédures qui devraient pour moi être obligatoire, car c'est critique, mais en dehors de ça, SMS, 2FA ou une application spécifique, ça doit rester de l'ordre de l'option recommandée mais non obligatoire.
Non. 2FA ça ne veut pas dire RFC 6238 (la norme utilisée pour GAuth). 2FA, ça veut juste dire two-factor authentication, donc authentification utilisant deux facteurs d'authentification différent, parmi les 3 facteurs qui existent : ce que l'utilisateur sait (donc là dedans, il y a les logins, mot de passe, etc...), ce que l'utilisateur possède (c'est là qu'on trouve GAuth, ou encore les SMS), qui l'utilisateur est (là c'est tout ce qui est biométrie) et, plus rare, où l'utilisateur se trouve (c'est un mode de 2FA qui est utilisé par Free pour certaines fonctionnalités : certains réglages dans l'espace client ne peuvent se faire que depuis la ligne de l'abonné, par vérification de l'IP, et d'autres nécessitent la saisie d'un code s'affichant sur la Freebox, ce qui peut être considéré à la fois comme de la possession et de la localisation, puisque contrairement à d'autres appareils affichant des codes à usage unique, la Freebox ne fonctionne que dans un emplacement donné).
Dès lors qu'on utilise une combinaison de deux de ces facteurs, on fait du 2FA (ce qui d'ailleurs peut se faire même sans mot de passe, par exemple un code SMS ou GAuth et une empreinte digitale, c'est du 2FA).
Le SMS, la liste de codes pré-générés, les dongle de sécurité (FIDO, U2F, etc...), le TOTP RFC 6238, etc... tout ça c'est du 2FA quand c'est combiné avec un identifiant connu de l'utilisateur ou avec de la biométrie (par contre, un code GAuth et un dongle de sécurité par exemple, ce n'est plus du 2FA : on a deux méthodes d'authentification différentes, mais elles sont de même type).
Un peu de lecture : https://en.wikipedia.org/wiki/Multi-factor_authentication
Non, pas nécessairement. Le système par SMS peut tout a fait également fonctionner avec la RFC 6238 ou tout autre système, ce n'est pas nécessairement aléatoire. Dans les deux dernières boîtes où j'ai bossé, on avait un système par SMS pour l'accès distant au VPN, et dans les deux cas ce n'était pas de l'aléatoire. La première, c'était un système fourni par RSA, fonctionnant de la même façon que les clés SecureID. La deuxième, c'était du RFC 6238. Et dans les deux cas, le serveur gérant les SMS n'était bien entendu pas le même que celui gérant le VPN.
Dans le cas de GAuth, il peut aussi y avoir accès si le serveur est compromis : l'attaquant peut remplacer la clé de vérification de l'OTP sur le serveur par une nouvelle clé, pour laquelle il connait la clé de génération, et hop, il peut générer des codes. De toute façon, quelque soit la méthode de 2FA utilisé, à partir du moment où le serveur d'authentification est compromis, le compte est compromis. Le 2FA sert uniquement pour palier à la compromission la plus probable : celle du mot de passe de l'utilisateur.
Et accessoirement, dans le cas de GAuth, j'aurais tendance à considérer que le smartphone, qui contient la clé de génération, a plus de risque de se faire compromettre que le serveur d'authentification. Quand on voit que même un Jeff Bezos arrive à se faire compromettre son smartphone...
Oui, christyophedlr est un peu à l'ouest sur le sujet : 2 FA = 2 Facteur Authentication, ie 2 facteurs parmi les suivants :
- ce que je connais (ex: mot de passe)
- ce que je possède (smartphone (=RFC6228), dongle, SIM(=SMS)), etc...
- ce que je suis (biomètrie type empreinte digitale , facetime, etc...)
A Noter que les SMS sont sur la sellette, puisque le protocole de routage des SMS chez les opérateurs est un peu fragile niveau sécu (le NIST le déconseille, l'ANSSI également).
Je mitigerai tout de même l'histoire du serveur compromis : Si effectivement le serveur est compromis, tu as accès à tout et le hash des mdp peut sauver tes comptes, mais quel intéret de voler les comptes si tu a accès à toutes les infos via le serveur ?
Une part non négligeable des attaques externes permettant de voler des bases ne se font pas nécessairement en compromettant le serveur (ce qui est souvent un peu plus compliqué - sauf si tu fais du php et que tu as merdé ton install ou ton code-), mais plutôt par injection SQL. Et là, meme si ton mdp de compromis, l'OTP peut avoir un sens et te sauver la mise (si évidemment tu ne stockes pas le seed de l'OTp en clair à coté de ton mdp, ça va de soi).
Pour ce qui est de la sécurité de tes OTP sur smartphone, je ne peux que te conseiller d'utiliser une alternative à Google Authenticator, qui demande un code à l'ouverture de l'appli et qui stocke les données de manière chiffrées (idéalement, la clé dérive du code, ce qui fait que meme si ton smartphone est volé, il va être compliqué de déchiffrer la base des seed). LastPass en propose un, il y a sans doute d'autres alternatives, mais je n'ai pas creusé.
Tu mélanges 2 choses : le système d'authentification dans son ensemble, qui correspond maintenant mieux aux standrads actuels, et le fait de ne plus conserver le mot de passe en clair ou selon une méthode de chiffrement réversible est clairement une avancée en terme de sécurité, car cela permet de se prémunir d'un certain nombre de scénarios d'attaques.
Par contre, rien de ce que Free peut faire ne peut éduquer les utilisateurs à ne pas cliquer sur des liens de phishing divers et variés, c'est un cas commun de PBKAC... Après, il y a tout de même une différence entre cliquer sur un email que tu as demandé via le lien "mot de passe oublié", et cliquer sur un email non sollicité, ce qui devrait permettre de limiter la casse.
Il est clair que peu de gens mettent en place le double facteur sur leur boite email, alors que c'est clairement là que c'est le plus important... Et globalement, si un site tiers a mis en place la double authent, tu peux être à peu prêt sur qu'il a prévu une méthode de récupération (ben oui, si tu perds ton OTP), qui s'appuie sur la boite mail...
Quant à l'imposer, c'est vite compliqué : nombre de personnes vont avoir du mal , ne pas comprendre l'interet et "raler" systématiquement (alors que c'est pour leur bien). Par contre, le proposer à ceux qui en comprenne l'intérêt, ce serait effectivement une vraie avancée...
Je pense que tu sous-estimes le pouvoir de ce que l'on trouve sur cet espace. Tu disposes déjà d'informations personnelles assez confidentielles (comme par exemple, le RIB) qui te permettent d'améliorer grandement tes chances de réussite dans des attaques de type spear-phishing ou plus généralement en utilisant les techniques d'ingénieurie sociale.
Tu peux acheter un certain nombre de choses sur le compte d'un tiers ou lui modifier son abonnement, lui déménager par exemple (tu ne pourras pas forcément directement profiter des achats, mais on peut toujours profiter d'une nuisance - chantage, extorsion, etc...-)
Tu peux, et là ça peut générer de l'argent, programmer un transfert inconditionnel des appels : une organisation ayant la capacité à monter un numéro surtaxé , fait que tous les appels que tu reçois sont reroutés sur ce numéro (les 08 ne marchent pas, mais je ne suis pas sur qu'il n'existe pas de numéro surtaxé en numérotation banalisée), au frais du compte (et l'organisation est rémunérée sur ce 08 :) ). Sinon, tu peux simplement vendre le service pour des appels à l'étranger à moindre frais (sauf pour le titulaire). Tu peux également simplement t'en servir pour choper les appels au titulaire pour étoffer une arnaque par ingénieurie sociale (la victime étant le titulaire ou un tiers qu'on arnaque en usurpant l'identité du titulaire)...
Bref, y'en plein de trucs "marrants" (choix d'adjectif hazardeux s'il en est :)) à faire, pour peu qu'on ait le temps, les ressources , le talent (l'ingénieurie sociale demande une certaine dextérité pour réussir), et pas froid aux yeux...
Personnellement, n'oubliant pas mon mot de passe, je ne l'avais pas vu. Sans quoi, je l'aurais signalé, y compris à la CNIL en cas de mauvaise foi, c'est vraiment clairement un souci et c'est inacceptable par les temps qui courent. Cela souligne surtout un défaut dans la gestion de la sécurité chez Free et soulève d'autres question sur cette gestion.
On ne porte plainte qu'en cas de dommage, donc tant qu'il n'est pas prouvé qu'il y a eu vol et dommage, l'usger n'est pas en capacité de porter plainte. La CNIL peut par contre infliger des amendes en cas de manquements ou négligences, d'autant plus élevées si ces manquements ont donné lieu à des incidents.
Rester chez Free, essentiellement parce que les autres ne sont pas mieux lotis, ce n'est donc pas un critère différenciant. Orange ou SFR, notamment, avec leurs SSO respectifs très mal codés et utilisés sans discernement sur des sites de niveaux de sécurité disparates sont sans doute pire en terme de protection des comptes clients.
Maintenant, cela ne dispense pas Free de faire un effort sur ces sujets. Quand on voit que la gestion de compte est gérée par un CGI Perl, on se doute que ce serait sans doute une bonne chose qu'ils lui fassent de ravalement de façade ; ça n'inspire en tous cas pas vraiment la confiance, de prime abord.
Pour finir, je ne peux qu'encourager tout le monde à MODIFIER son mot de passe, parce sque ce dernier ayant été stocké en clair, il a été accessible à tout un tas de gens, qui sont peut-être parti de chez Free maintenant, qui potentiellement les garde pour s'en servir "plus tard", et ils restent encore en clair, au moins au niveau des backup de la base de donnée. Donc, changez vos mots de passe, vous serez, comme ça, plus tranquille...
Effectivement, je sous-estime sans doute un peu le pouvoir indirect des données pour du social engineering.
Par contre, de ton côté tu sur-estimes un peu les possibilités : certains réglages un peu "sensibles" ne sont pas possibles quand on se connecte à l'espace client depuis une autre connexion que sa propre connexion Freebox. Typiquement, un renvoi d'appel, c'est impossible (j'en sais quelque chose, ça m'avait bien fait chier quand ma connexion est restée en rade 3 semaines et que je n'ai pas pu activer le renvoi vers mon mobile pour pouvoir continuer à recevoir des appels...).
Voilà le message qui s'affiche quand on essaye d'y toucher depuis une autre connexion :
Erreur : Adresse IP origine invalide
Pour des raisons de sécurité les modifications concernant votre compte téléphonie ne sont possible que depuis votre Freebox
Et je précise également qu'un numéro surtaxé est forcément un numéro en 08. La surtaxe est interdite sur les numéros qui ne sont pas facilement identifiables comme surtaxés.
PS : tant qu'il y étaient, ils auraient pu autoriser les caractères spéciaux, le stockage ne doit plus poser de problèmes... Ou alors c'est leur perl qui est tout moisi (aussi)
Effectivement, j'ai regardé depuis chez moi... Reste à modifier le Wifi (accessible de l'interface) et aller sur place (on a l'adresse) pour bouger le transfert.
Je n'ai effectivement pas poussé les proof of concept au bout, mais on voit bien qu'il y a des choses à faire, et qui auront des conséquences plus génantes que d'avoir son nom dans un fichier sur le black market, et c'était surtout ça l'idée.
Merci pour les infos :)
Si tu as un peu de temps, un chouilla d'argent et que le domaine t'interesse, je t'invite à lire le bouquin de Mitnick. Les attaques techniques s'appuient sur une technologie aujourd'hui dépassée, mais sont transposables en techno actuelle, et la partie humaine qui est finalement le coeur du sujet est vraiment édifiante...
J'ai lu le premier, mais il y a longtemps :) Pas encore eu le temps de lire les trois suivants.
CORRECTIONS à certains commentaires désopilants et parfois à limite de l'insultant
1) Second facteur d'authentification 2FA n'est pas en soit synonyme de TOTP (ou sceau d'authentification).
Le TOTP est juste un exemple de 2FA... lorsqu'il est utilisé conjointement à un autre système, mais la reconnaissance faciale, le lecteur d'empreinte peuvent être utlisés comme 2FA toujours s'ils sont requis cumulativement avec un premier procédé.
On parle aussi de trois facteurs d'authentification lorsque la procédure cumule 3 systèmes obligatoires
2) SMS et TOTP (sceau d'authentifcation à durée de vie temporaire... 30 secondes en général) ?
Code par SMS ou TOTP... c'est la même chose.
Lorsque vous paramétrez votre compte Google, Google vous donne le choix.
- soit le TOTP sera envoyé par SMS
- soit le TOTP sera générée par une application sépcialisée.
Google Authenticator sur Android et iOS, des équivalents compatibles existent dans le Windows Store, des applis comme Keepass, KeepassXC sont aussi capables de générer ces codes
Il y a une clé à copier et à renseigner dans les applis concernés...étant entendu qu'il faut veiller à ce que cette fameuse clé soit mise en lieu sûr
Par exemple Paypal offre le TOTP via SMS... mais n'autorise pas le TOTP via une application car cela nécessite de dévoiler la fameuse clé servant à paramétrer l'application.
Paypal estime que c'est un danger, car l'uttilisateur moyen risquerait de la stocker dans un endroit peu sécurisé, il est donc préférable de ne pas révéler cette clé à l'utilisateur.
Google et Microsoft font eux le choix de donner une option à l'utlisateur. MAIS cette fameuse clé n'apparaitra qu'une seule et unique fois lors du processus d'initialisation.
Il sera impossible de la récupérer utlérieurement... il sera juste possible de la réinitialiser
L'utilisateur porte la respnsablité de la stocker en lieu sur.... ou de complètement l'oublier une fois son générateur paramétré.
3) Imposer le TOTP ?
Mon Dieu... à entendre certains sur ce forum ce serait un crime
Mais vous arrive-til de réfléchir 30 secondes ?
- Si votre assureur apprend que votre portes d'entrée ne possède pas un minimum de sécurité, pensez-vous que vous serez remborusé contre un cambriolage ?
En région parisienne par exemple, les portes doivent posséder au minimum 2 verrous et il me semble que l'un au moins doit être une serrure dite "incrochetable" (ou disons plus difficilement crochetable)
Si votre assureur s'aperçoit que votre porte ne répondait pas à cette norme.... vous pouvez avoir des problèmes.
A-t-on vu des gens porter plainte contre les assureurs qui vous imposent un standard minimum de sécurité ?
J'aimerais que ces abrutis qui trouvent l'idée d'imposer le 2FA (TOTP ou autre.... ) si stupide répondent à cette question ?
J'ai pas de mobile.... lisez un peu plus bas dans la section Google.... on peut recevoir le TOTP même sur une ligne fixe
- Lorsque vous utilisez votre carte bancaire, il y a un code à entrer... a-t-on vu des gens porter plainte comme quoi ce serait une atteinte à leur liberté ?
- Lorsque vous vous connectez en ligne sur votre sites bancaires, votre banque impose un procédé de sécurité : ce peut être un pavé visuel, un TOTP... a-t-on vu des gens portez plainte ?
- Microsoft a chié dans son froc en refusant d'implémenter la séparation stricte compte utlisateur/administrateur à la demande de certains CONS d'utilisateurs.
Donc depuis Windows 8, Windows créé par défaut un compte hybride où le simple passage en mode admin requiert un clic sur une alerte.
(Il reste malgré tout possible pour les gens qui le souhaite de crééer un compte utlisateur pur)
Ce faisant ça ne protège pas le compte contre une simple erreur de manip d'un enfant qui peut cliquer sur un message qu'il ne comprend pas.
Apple n'a pas chié dans son froc et a refusé TOUTE COMPROMISSION et maintient le système séparé propre aux PCs en environnement professionnel.
Sous Mac OS, comme sous Linux, BSD.... les comptes hybrides à la sauce Microsoft, de toutes les façons CA N'EXISTE PAS
A-t-on vu des utlisateurs Apple porter plainte comme quoi ce serait enfreindre leur liberté ?
Dans la plupart des cas, les utilisateurs Apple sont d'anciens utlisateurs Windows doués d'une mauvaise foi singulière.
Sous Windows si vous leur dite de crééer des comptes strictement séparées et de n'utliser que le compte utilisateur, ces de CONS vous crient Oh scandale !!!!
Mais quand ils passent sous Apple... curieusement ils ferment leur gueule et vous expliquent que Windows c'est de la daube... sauf qu'à la base c'est l'utlisateur qui refusait de se discipliner sous Windows et qui est à la source de nombreux problèmes
Apple EN IMPOSANT des règles de sécurité strictes a rendu DE FACTO son OS plus sûr et au final... l'abruti d'utilisateur se rend compte de l'intérêt de suivre cette discipline qui ne lui coute pas un radis de plus.
C'est donc un faux débat... le vrai débat C'EST LA KONNERIE DE CERTAINS UTILISATEURS
4) Implémentation Google
A entendre certains abrutis, le TOTP ne servirait à rien car de toutes les façons la procédure de récup utilisera l'email
Vous n'y connaissez rien, mais abolument rien, les implémentation Google et Microsoft sont des modèles du genre
- Avant d'enclencher la procédure de récupération IL FAUT RENTRER un sceau d'identification initiale
VOILA l'INTERET MAJEUR DU TOTP
Donc un hacker qui a le controle de la boite mail ne pourra rien faire s'il ne possède pas le téléphone de l'utilisateur
A l'inverse si vous vous faites voler votre téléphone... il faudra que le hacker ait accès à votre boite mail
Vous me direz.... bien souvent le compte email est paramétré sur le téléphone donc .....
Mais il appartient à l'ulisateur de verrouiller son téléphone... si il veut restef KON qu'il reste KON
Pour rappel... un PIN code ne peut être entré qu'un nombre limité de fois
Si le téléphone se bloque, il faut entrer un second PIN, ou le code PUK
Si on bloque le code PUK, le téléphone est définitivement verrouillé.
Le voleur ne peut qu'effectuer un hard RESET sous Android... mais le Hard Reset efface alors toute connexion à votre boite mail.
Donc le voleur pourra toujours initialiser une demande.... il n'aura jamais le mail
Personnellement même j'utlise un procédé de réplication
Je possède une adresse mail base et offcielle que je en consulte que de chez moi ou de PC que ej jugent hyper sécurisés
Sur mon téléphone je paramètre un autre compte Gmail qui sert aux échanges de tous les jours sans importance critique
Pour tout échange critique.... j'invite mon correspondant à me contacter sur mon adresse mail de base
Sur le compte GMAIL de base je sélectionne via des règles de renvoie de message des expéditeurs pour lequels je désire recevoir une copie sur mon adresse secondaire
De ce fait... je limite l'apparition sur mon téléphone de messages trop sensibles
Au pire des cas, si le voleur a réussi à avoir accès au téléphone par exemple parce qu'il vous l'arrache alors que voue l'utilisez... il ne pourra compromettre au pire que mon adresse mail secondaire (c'est un moindre mal)
Mais dans les faits... en agissant rapidement vous pourrez avoir accès à votre compte secondaire, modifier son mot de passe et désactiver au moins temporairement, le numéro de téléphone volé
Car ...
- On peut renseigner plusieurs numéros de téléphone (comme celui de sa compagne), chaque numéro faisant l'objet bien sur d'une validation initiale
Si on perd son téléphone, lors de la procédure de récup Google vous donnera le choix du numéro de téléphone où envoyer le SMS
Vous pouvez même renseigner un numéro de téléphone FIXE (Google uniquement).
Dans ce cas Google envoie un message vocale sur le téléphone fixe qui énumère les chiffres... oui c'est vrai CA MARCHE
J'ai analysé cette question bien avant certain d'entre vous... je pratique l'info depuis plus de 30 ans, donc certains messages me font bien rire
- Google comme Microsoft vous permettent aussi de parémétrer plusieurs adresses mails de récup.
Si vous soupconnez votre boite mail d'être hacké, il suffit alors de demander à Google d'envoyer le lien de réinitialisation sur l'autre adresse mail... tout simplement (par exemple l'adresse mail de votre compagne)
- Google comme Microsoft ont prévus un controle complémentaire pour s'assurer de la légitimité d'une demande de réinitialisation... la fameuse réponse à une question du type : Quel est ne nom de jeune fille de votre mère.
- Tout changement d'infos sensibles dans le compte Google (comme le retrait d'un numéro de téléphone, adresse...) enclenche au préalable une procédure de double authentifcation, ce qui dans les faits rendra difficile les modifications de données
- Il y a une procédure de récupération lié au TOTP qui sont les fameux codes de récup... il appartient à l'utlisateur de les garder en lieu sur
Ca ne fait pas des comoptes Google et Microft des comptes inviolables dans tous les scénarios.... simple cas extreme, si votre agresseur vous met un couteau sous la gorge vous lui fournirez tous les codes nécessaires...
Mais ces comptes, contrairement à UNE MASSE DE KONNERIES racontées sur ce fil, ont une sécurité très bien pensée et Free, comme Orange, SFR, Bouygues pourraient très bien s'en inspirer
Je n'utilise plus les comptes mail opérateurs depuis longtemps.... pas parce que j'adore Google (et je suis conscient qu'ils utilisent mes données), mais parce que je suis consterné par l'amateuriseme des opérateurs français en terme de sécurité.
Et puis.... niveau disponibilité, les comptes gmail c'est de la grande classe... très rarement des problèmes
AVANT DE BALANCER DES COMMENTAIRES INSULTANTS TOURNEZ 50 FOIS LA LANGUE DANS VOS BOUCHES
Et encore une fois pour revenir au sujet, penser que Free stockait vos mots de passe en clair... c'est juste une grossière bêtise, ça ne se fait plus depuis 30 ans
C'est la procédure de récupération qui pose question.