Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

[Édito] Mots de passe, double authentification : grrrrr… il est temps d’agir !

Relou, mais crucial

[Édito] Mots de passe, double authentification : grrrrr… il est temps d’agir !

Régulièrement, nous insistons sur l’importance de créer des mots de passe forts (ou phrases de passe), l’intérêt des gestionnaires et la double authentification. Ces protections réduisent considérablement le risque de compromission des données. Pourtant, c’est bien loin d’être gagné.

Le 12 janvier à 17h39

Les mots de passe sont un nid à problèmes. Le premier est humain : la sécurité, c’est chiant. C’est la vieille thématique du curseur : plus on veut sécuriser, moins l’utilisation devient simple. Pensez donc : un mot de passe fort, sans information évidente, sans mot du dictionnaire, et unique pour chaque application, chaque service ! Oui, c’est pénible.

D’abord, c’est quoi un mot de passe fort ? Idéalement, il devrait être d’au moins 12 caractères. À l’ANSSI, on préconise encore 8 caractères, mais les bonnes pratiques évoluent rapidement. La preuve, même LastPass s’y met (nous y reviendrons). Surtout, le mot de passe doit être composé des quatre grands groupes de caractères : majuscules, minuscules, chiffres et spéciaux. « toto1980 » est par exemple un très mauvais mot de passe. « 6 $2GaQDuk@ss » en est un très bon, tout comme une phrase de plusieurs mots du genre « death anne haut imization » (plus la phrase est longue, plus elle est forte).

Vous pouvez tester votre mot de passe par ici… enfin une variante reprenant le même principe, n’entrez jamais votre mot de passe sur ce genre de site ! « death anne haut imization » est ainsi plus fort que « 6 $2GaQDuk@ss »

Vous avez peut-être entendu dire qu’il ne fallait pas réutiliser ses mots ou phrases de passe. Pourquoi ? Parce que si un pirate peut deviner cette information ou la récupérer lors d’une fuite de données, il va s’empresser de la tester sur d’autres services (l’identifiant est souvent le même : votre adresse email). Avec à la clé une cascade de vols d’informations et l’inaccessibilité à vos informations, parfois personnelles, voire hautement sensibles. Créer des variations comme « toto1981 » et « toto1982 » ne sert à rien. Croyez-nous : si vous y avez pensé, les pirates y penseront aussi.

Un bon gestionnaire de mots de passe

C’est là qu’entrent en piste les gestionnaires de mots de passe. Il s’agit d’applications ou de services ayant pour objectif de stocker tous vos mots de passe. Ils peuvent ainsi les régurgiter dès que vous en avez besoin. Plus besoin de les retenir, sauf un : le mot de passe maitre de l’application, qu’il faudra choisir avec soin.

Mais leur intérêt principal est qu’ils peuvent créer pour vous des mots de passe forts, en tenant compte des bonnes pratiques citées plus haut. Ils peuvent générer des chaines aléatoires contenant un nombre défini de caractères, comprenant les quatre grands groupes. Le constat est le même pour les phrases de passe.

Quand on se penche sur un gestionnaire pour la première fois, tout est relativement simple. Depuis un navigateur, il va analyser les mots de passe saisis et que le butineur retient. Il en propose une liste résumée, que l’on peut modifier quand on le souhaite pour étoffer les informations. Tous proposent de classer les identifiants par catégorie.

Beaucoup proposent également plusieurs fonctions d’analyse. L’offre varie d’un gestionnaire à un autre. La plus courante est l’examen des mots de passe pour pointer ceux qui sont indignes de vous. Souvent, ils sont accompagnés d’une pastille rouge ou d’un panneau danger. Le gestionnaire vous invite alors à le changer. Certains sont même capables d’automatiser cette étape : connexion au site, génération d’un mot de passe fort, remplacement de l’ancien, sauvegarde. Le plus souvent, cette étape sera cependant manuelle.

En y consacrant un peu de temps (selon le nombre de services et applications que vous utilisez), on peut parvenir assez rapidement à la situation idéale : un mot de passe fort et aléatoire, unique pour chaque service.

Mais attention : si un gestionnaire de mots de passe est un grand pas en avant en matière de sécurité, le travail n’est pas terminé. Nous allons faire en sorte de vous rendre la situation un peu plus pénible avec la double authentification !

Ça suffit toutes ces notifications !

Un gestionnaire de mots de passe permet d’avoir des identifiants uniques et d’éviter les cascades de compromission. Cependant, si une entreprise est victime d’une fuite de données et qu’un mot de passe vient à être révélé, la compromission d’un seul compte peut être une énorme source d’ennuis.

C’est là qu’intervient la double authentification ou authentification à deux facteurs. Le principe n’est pas compliqué : en plus de la classique authentification avec votre mot de passe, le service va chercher une confirmation supplémentaire qu’il s’agit de vous, au moyen d’un autre appareil.

La solution la plus évidente est le smartphone. Il y a deux grands cas de figure. Dans le premier, de nombreux services permettent d’activer un deuxième facteur d’authentification via l’utilisation d’une application de type Authenticator (ces applications sont nombreuses, que ce soit sur Android ou iOS). Le plus souvent, le service va afficher un code QR que l’on scannera avec l’application. Ce dernier intègre alors le service dans sa hotte et se met à générer un code à six chiffres, renouvelé toutes les 30 secondes. C’est ce code qu’il faudra entrer lors de la connexion depuis un nouvel appareil ou un navigateur jamais utilisé jusque-là.

Dans de rares cas, ce code à six chiffres est envoyé par SMS ou par email. C’est « mieux que rien », mais il ne s’agit pas vraiment d’une méthode considérée comme sûre. Si vous en avez la possibilité, privilégiez toujours le passage par un Authenticator, car vous aurez la maîtrise de l’information, qui n’apparait que sur votre téléphone.

Dans le second cas de figure, plus rare, le service ne vous laisse pas le choix et vous impose l’utilisation conjointe de sa propre application mobile pour confirmer. C’est ce qui se passe avec la plupart des banques : tout nouvel accès doit être validé par une notification sur le smartphone.

On comprend bien sûr le gros avantage en matière de sécurité : si votre identifiant et votre mot de passe sont connus d’un pirate, celui-ci ne pourra pas se connecter à votre compte. À moins d’avoir aussi votre téléphone sous la main. Et même dans ce cas, il faudrait passer la barrière de la biométrie, désormais très courante.

Alors oui, c’est pénible toutes ces étapes supplémentaires. Mais ce sont vos données, personne d’autre que vous n’a théoriquement à les voir. Certaines sont très personnelles, voire très sensibles. Elles ne doivent pas se balader n’importe où. Et nous irons même un tantinet plus loin : l'authentification à deux facteurs devrait être une fonction classique, mise en avant, voire obligatoire dans de nombreux cas, et non une option (encore moins payante) planquée dans un recoin sombre des réglages.

Voilà, je suis proté… ah ben non

La conjonction d’un gestionnaire de mots de passe et de la double authentification représente une très bonne protection. Si vous n’avez pas encore fait la grande bascule vers ces deux éléments, nous ne saurions que trop vous les conseiller. Et au passage de faire un peu de prosélytisme. C’est pour la bonne cause, vous avez le droit.

Soyons honnêtes toutefois : ces protections ne représentent pas l’alpha et l’oméga de la sécurité. D’ailleurs, il n’existe rien de tel en matière de sécurité. Simplement un lot de bonnes pratiques qu’il vaut mieux cumuler pour réduire les risques autant que possible.

Si nous précisons ce point, c’est parce que le niveau maximal de sécurité que l’on peut atteindre dépend essentiellement du maillon le plus faible de la chaine. Et si vous, en tant que personne formidablement informée, êtes le maillon fort, ce n’est pas forcément le cas des éditeurs, auteurs des applications et services que vous utilisez pour vous protéger.

Le cas le plus emblématique dans ce domaine est celui de LastPass. La société, très connue pour son gestionnaire de mots de passe, a été piratée en 2022. Dans les mois qui ont suivi, les informations révélées sur la sécurité interne de l’entreprise n’ont pas plaidé en sa faveur. Citons également certains gestionnaires de mots de passe sur Android qui n'étaient pas aussi sécurisés qu'ils l'auraient dû, comme nous le rapportions le mois dernier.

Nous en venons ainsi à un point capital : au moment de choisir un prestataire de service, quel qu’il soit, renseignez-vous sur son sérieux et ses pratiques.

Pffff ça n’arrive qu’aux autres

Pourquoi s’embêter avec tout ça ? Après tout, vous n’avez jamais eu de problème. Déjà, parce que vous ne seriez pas forcément au courant si vous en aviez. De nombreuses attaques se font silencieusement, pour capter un maximum d’informations.

Ensuite, parce que non, ça n’arrive pas qu’aux autres. Le cas de LastPass l’a prouvé en affectant des millions de personnes dans le monde. Et toute cette sécurité ne tient souvent qu’à un fil, comme l’a rappelé la semaine dernière le cas d’Orange Espagne : un énorme problème d’accès Internet pour les usagers à cause d’un accès inapproprié. La raison ? Un mot de passe trop faible et l’absence de double authentification. Même chose pour la SEC américaine il y a quelques jours : un mot de passe trop faible pour son compte Twitter (nouvellement X), et ce sont plusieurs fausses informations sur le bitcoin qui ont été publiées. La preuve que ça n’arrive pas qu’aux autres et que les conséquences peuvent être très fâcheuses !

Le cas de 23andme est encore plus intéressant. Les informations ADN de 6,9 millions de personnes et des données personnelles de 14 millions de personnes ont été récupérées par des pirates. Comment ont-ils fait ? Ils ont réutilisé sur le site de l’ensemble des paires identifiant et mot de passe récoltées ailleurs. Les usagers n’auraient certes pas dû réutiliser leurs identifiants sur plusieurs sites. 23andme a d’ailleurs blâmé les victimes de la fuite pour ce manque de discernement. Cependant, la société n’imposait pas d’authentification à deux facteurs. Un tort maintenant réparé.

La présence de cette fonction peut d’ailleurs constituer un point de contrôle avant de confier des informations aussi personnelles à une entité.

Commentaires (62)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
A quand l'intégration des passkeys sur NEXT ? Les formulaires login/mot de passe c'est l'ancien monde 😄
votre avatar
Alors oui, c’est pénible toutes ces étapes supplémentaires. Mais ce sont vos données, personne d’autre que vous n’a théoriquement à les voir. Certaines sont très personnelles, voire très sensibles. Elles ne doivent pas se balader n’importe où.
Ouimé "j'ai rien à cacher", donc je peux montrer mes données à tout le monde, non ?
votre avatar
Elle n'est pas de moi mais la réponse type à cette phrase est : c'est comme enlever tout les rideaux et portes de chez toi, tu n'as rien à cacher.
La vrai réponse c'est : tu ne sais pas si tu n'as rien à cacher !! Imaginons que dans le futur le gouvernement déclare next interdit, tout les abonnés passés doivent être emprisonnés.
Bon évidement l'exemple est très exagéré, mais c'est réellement arrivé ces dernières années pour des pénalisations avortements, homosexualité et autre...
Pour moi la meilleure phrase est : je n'ai rien à cacher, mais je ne veux pas que cela se sache.
votre avatar
Mon post était ironique...
votre avatar
Question con mais il existe quoi comme app authentificator / OTP crédible sur android à part celles de Microsoft ou google? J'ai pas regarder les permissions mais sur le principe ça me ferait chi de passer par eux, et les autres éditeurs peu connus m'inspirent pas plus confiance.. Quelque chose en libre / open source peut-être?

Concernant l'article, quid des clés physiques?
votre avatar
Il y a Aegis Authenticator sur F Droid
votre avatar
FreeOTP
votre avatar
Je confirme, FreeOTP marche bien et est aussi dispo sur le PLay Store de Android.
votre avatar
Je donne un pouce vert (ça se dit toujours ?) pour Aegis, ça marche très bien et a toutes les fonctions nécessaires, mais l'appi reste quand même "KISS". Et on peut mettre de jolies icones pour chaque service :glasses:

Par contre, un gros pouce rouge pour FreeOTP : je ne sais pas si c'est toujours le cas, mais à l'époque où je l'avais, il n'y avait aucune fonctionnalité d'import/export, ET on ne pouvait plus voir les secrets une fois l'entrée créée. Donc, à chaque fois qu'on change de téléphone ou d'appli, on est obligé de réinitialiser toutes ses 2FA... :stress:
votre avatar
Maintenant il y a l'import/export dans FreeOTP, mais c'est assez récent en effet. Par contre je ne sais pas s'ils sont compatibles avec d'autres authenticators.
votre avatar
Il y a aussi l'application yubico autenticator
votre avatar
yubico autenticator ne fonctionne qu'avec une clé physique (yubikey)...
par contre, gros +1 pour aegis authernticator (je suis passé de freeotp à freeotp+, à andotp, et enfin à aegis que je ne regrette pas)
votre avatar
Même cheminement que toi et même conclusion
votre avatar
damn lag: 5 clics, 5 posts...
votre avatar
votre avatar
damn lag: 5 clics, 5 posts...
votre avatar
damn lag: 5 clics, 5 posts...
votre avatar
Si c'est pour saisir sur l'ordinateur et si tu utilises Keepass, tu peux les intégrer à l'enregistrement concerné grâce au plugin KeeOTP 2. Après il suffit de faire Copy TOTP et coller.
votre avatar
Il y a également 2FAS (opensource) : https://2fas.com/
votre avatar
Merci a tous je vais regarder ça! 👍
votre avatar
Avez vous prévu un comparatif de ces entreprises "sérieuses" ?
J'ai en tête Enpass / Protonpass / Bitwarden
votre avatar
Merci pour cet article !
:inpactitude:

Personnellement, je ne pourrais plus me passer de Bitwarden (découvert ici même dans un dossier sur les gestionnaires de MdP :incline: ).
C'est vraiment LE truc qui m'a permis de remplacer enfin tous mes MdP par des MdP forts et uniques.

Par contre, la 2FA, c'est vrai que c'est chiant... J'ai vraiment pas la foi de l'utiliser partout. :transpi:
(oui, je sais. C'est mal... :sm: )
votre avatar
Si vous appréciez Bitwarden, il permet dans sa version payante (10$/an) de gérer la double authentification.

Quand il vous remplit les champs login et password, il copie dans le presse-papiers le code TOTP. Il suffit de faire ensuite un crtrl+V à l'étape de la double authentification pour la passer sans douleur :)
votre avatar
Bitwarden ne gère pas la 2FA ?
J’utilise 1Password sur Mac et il remplit tout seul la 2FA. Au final, aucune contrainte supplémentaire et je l’active systématiquement.
votre avatar
Par exemple lorsque tu actives la double authentification, tu n'es pas obligé de saisir le mot de passer recu par sms, tu peux saisir celui de ton gestionnaire de mot de passe gérant la 2FA ?
votre avatar
La 2FA par SMS est la pire 2FA. C'est mieux que pas de 2FA, mais si ton opérateur mobile se plante et transfert ton numéro sur la SIM d'un attaquant se faisant passer pour toi, c'est cet attaquant qui va récupérer le code et pas toi. C'est déjà arrivé de nombreuses fois et arrivera encore. Ca s'appelle le SIM swapping.

La 2FA via une app dédiée n'a pas se problème mais elle en a un autre : Augmentation de la charge du support client du service concerné par les utilisateurs qui n'ont plus leur smartphone et s'aperçoivent que, comme la plupart des gens, ils n'ont pas fait de sauvegarde. Donc ils sont enfermés dehors.
votre avatar
Comment on fait une sauvegarde d'une app dédiée ?
Ou alors j'ai mal compris ce dont tu parles.
Mais mes banques imposent leur app dédiée... Qui imposent mon smartphone comme unique device de validation (contrairement à authenticator et équivalents qui permettent d'avoir plusieurs devis: smartphone et pc par exemple)
votre avatar
Par app dédiée j'entendais une app comme Authy, Google Authenticator, etc. Avec ce genre d'app tu peux au moins faire une sauvegarde du QR code : Lorsque le site te l'affiche quand tu actives la 2FA, tu enregistres l'image ou fais une capture d'écran.
En plus de cette sauvegarde "à la mano", certaines applis permettent une fois le QR code flashé d'accéder aux seeds (la donnée dans le QR code) voire ont une fonctionnalité d'export. Ca permet donc de faire une sauvegarde.

Pour de la 2FA par une app propre au service (banque, Steam, Battle.net...) c'est pas franchement possible je dirais. Sauf si ton smartphone est jailbreak peut-être, mais si c'est le cas l'app de la banque refusera probablement de fonctionner donc ça aidera pas au final.

Dans ce cas faut voir avec la banque ce qu'elle prévoit côté secours : Normalement les services permettant la 2FA te fournissent aussi des codes de secours que tu peux entrer à la place du code 2FA. Ca permet au moins de se connecter une fois histoire de désactiver puis réactiver la 2FA sur un autre appareil.

Si ta banque ne propose rien côté secours ils sont mauvais. Ce qui ne serait pas étonnant, les banques étant souvent à côté de la plaque côté sécurité. Moi la 2FA de ma banque c'est un code envoyé par SMS une fois tous les 6 mois. Je vois pas à quoi ça sert mis à part s'assurer tous les 6 mois que j'ai pas changé de numéro de mobile xD
votre avatar
Mais mes banques imposent leur app dédiée... Qui imposent mon smartphone comme unique device de validation (contrairement à authenticator et équivalents qui permettent d'avoir plusieurs devis: smartphone et pc par exemple)
Pour info, beaucoup de banque propose une solution alternative. Soit une notification d'un sms + envoi d'un mot de passe fixe, soit un boitier.

La banque n'a pas l'obligation de t'imposer un téléphone avec les play service de Google, ou un Apple. Pour ma part, je n'ai pas l'appli de ma banque. Au crédit Agricole, la banque postale, et LCL, ils t'envoient un SMS. Pour la banque populaire et caisse d'espargne, il s'agit d'un boitier.
votre avatar
On ne choisit pas les méthodes d'authentification. Tout dépend de ce que le site propose.
Si le site propose un QR Code, alors je l'active et je l'enregistre dans mon gestionnaire 1Password.
Comme il est disponible sur mon Mac et sur mon smartphone, je n'ai pas de problème de sauvegarde.
votre avatar
non c'est pas mal de ne pas l'utiliser partout de mon point de vue. Il faut choisir judicieusement où on s'emmerde à l'utiliser, par exemple je ne me vois pas l'utiliser sur next, l'enjeu n'étant pas important, contrairement à si j'y étais rédacteur ou dév
votre avatar
Alors âmes sensibles s'abstenir mais moi j'ai noté tous mes mots de passe dans un bon vieux fichier texte. (Oui, je sais, c'est hyper violent dit comme ça.) C'est bien rustique à souhait, mais ça m'évite d'avoir à utiliser un gestionnaire pouvant potentiellement comporter des failles de sécurité.

Par contre, ce fichier se trouve dans un conteneur chiffré à l'aide de VeraCrypt et le mot de passe permettant d'y avoir accès comporte 21 caractères.
votre avatar
T'es pas obligé d'utiliser un gestionnaire de mot de passe en ligne...

KeePass fait très bien le boulot
votre avatar
Tout à fait, et tu peux le bloquer dans ton pare-feu pour t'assurer que même s'il est compromis il n'essaiera pas d'extraire tes données.
votre avatar
Ça ressemble à PasswordStore. Des fichiers textes, chiffrés avec GPG 😇
votre avatar
Attention à la sécurité du logiciel qui gère ton fichier texte : Il se peut par exemple que lorsque tu le modifies le fichier se retrouve avant sauvegarde dans le dossier temporaire de ton ordinateur. De mémoire c'est par exemple le cas de Notepad++ avec l'option backup/snapshot.
C'est aussi à ça que sert un gestionnaire : Les devs ont pris en compte les endroits où le mdp va se retrouver en clair et y font attention (mémoire volatile, mémoire non volatile, presse papier...).
C'est d'ailleurs une des mises en garde dans la doc de VeraCrypt: Même si le conteneur est chiffré, le logiciel qui exploite la donnée située dans le conteneur peut laisser des traces hors de ce dernier.

Attention au presse papier : Si ton OS a une fonctionnalité d'historique du presse papier et qu'elle est activée, tes mdp copiés sont en clair dans cet historique.

Pour finir, attention aux sites de phishing : Tu peux te faire avoir par une URL quasi identique voire véritablement identique (homographe, très peu répandu car l'utilisateur moyen sait de toute façon pas lire une URL du tout), ou même une URL bien différente si tu es pas réveillé ou pressé. Un gestionnaire intégré à ton navigateur et se chargeant de remplir le formulaire à ta place lui ne se fera pas avoir.
votre avatar
bah c'est même systématique sous Windows tout drag&drop ou export passe dans un fichier temporaire (souvent dans %AppData%) puis ce fichier est ouvert dans le bloc-note. Sous windows pas de tmpfs, la copie en clair va rester là, survivre au reboot tant que tu n'utilises pas la fonctionner "Nettoyage de disque".

Bref c'est un catastrophe ! Keepass est gratuit, opensource et 100% hors ligne.
votre avatar
Merci à vous tous pour vos conseils,

Oui, j'avoue qu'un fichier texte c'est pas hyper génial niveau sécurité (même dans un conteneur chiffré) mais c'est ce que je trouvais le plus simple à gérer.

Je vais donc voir du coté de Keepass.

Big up !
votre avatar
Attention à vos sources > l'ANSSI ne préconise pas '8' caractères

Niveau de sensibilité Longueur minimale en nombre de caractères Taille de clé équivalente en bits [5]
Faible à moyen > Entre 9 et 11 ≈65
Moyen à fort > Entre 12 et 14 ≈85
Fort à très fort Au moins 15 ≥100

cyber.gouv.fr République Française
votre avatar
En effet. La CNIL a elle aussi mis à jour ses recommendations pour s'aligner : https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-recommandation-pour-maitriser-sa-securite. La force minimale recommandée va aussi varier en fonction des contre-mesures présentes sur la plateforme (par exemple blocage du compte après n essais).

Edit: Tiens, j'ai dû faire le markdown de l'URL à la main, sinon le parser ne la rend pas cliquable.
votre avatar
Pour ma part, j'en reste au gestionnaire de mots de passe de Firefox, avec en plus, un mot de passe maître.
ET, le tout, sur une partition /home chiffrée.
ET, le tout, constamment synchronisé via Nextcloud (en autohébergé) sur deux disques en RAID sur un NAS avec un VPN, tout comme le reste de mes documents de travail, notes, et j'en passe.

Firefox a fait la preuve d'un support à très long terme, et je n'ai pas le souvenir que Firefox Sync en outre, ait rencontré des problèmes de sécurité, donc je ne vais pas m’embarrasser d'un énième gestionnaire tiers, même libre, alors que j'ai déjà ce qu'il faut à disposition, rudimentaire certes, mais fonctionnel.
votre avatar
La meilleure gestion de sécurité devrait passer par la séparation des tâches critiques. Car bien protéger est un équilibre parfois instable entre commodité et robustesse. Si on tire trop sur l’aspect commodité, on entraîne de facto une situation de risque.
La mise en œuvre de systèmes abscons et trop complexes mal attribués génère soit la non utilisation (mode de connexion si compliqué que l’usager n’arrive pas à l’utiliser et délaisse le service) soit la remédiation par des astuces qui viennent annihiler la protection (comme le post-it sur le bureau virtuel plein de paires login / mots de passes hypercomplexes).

Le gestionnaire de mots de passe est un essentiel aujourd’hui. Car il vient contrecarrer la difficulté croissante de connexion, pas seulement parce qu’il stocke en zone « protégée » les informations, mais aussi parce qu’il simplifie (reconnaissance du lieu plus complétion automatique) - plus besoin de connaître l’information : il la connaît pour nous.

Néanmoins couplé à une authentification forte on peut se demander à quoi sert vraiment encore le mot de passe (question) ? Si j’ai besoin du code TOTP ou de tout autre moyen qui m’authentifie par rapport à un appareil, donnée biométrique, ou autre, est ce encore utile de rendre nécessaire le,mot de passe, surtout s’il est stocké, comme dans les gestionnaires de mot de passe moderne juste à côté du générateur de code TOTP… L’idée du passwordless fait son chemin dans certains cas d’ailleurs.

C’est là que peut entrer en compte la séparation de domaines critique : pour l’accès à certaines opérations courantes l’authentification forte est superfétatoire. Et l’authentification simple, suffisante, tandis que l’authentification forte donne accès aux opérations qui présentent un risque. Accéder à son solde de compte en banque en lecture seule est-il une opération critique ? Doit-on la protéger autant que celle consistant à ajouter un bénéficiaire et lui faire un virement ?

Le jour où il existera un moyen unifié, non contraignant et sûr à 100% de prouver que la personne qui accède aux informations est authentique n’est pas venu. Il viendra sûrement. Pour le moment on en est encore au moyen âge à ce sujet, je crois.
votre avatar
Mon problème avec la double-authentification est ce qui se passe quand ton smartphone est cassé, ce qui m'est arrivé cet été. En attendant d'en avoir un nouveau fonctionnel, 2 semaine après, tout est bloqué !
votre avatar
Un service proposant la mise en place de la 2FA doit aussi proposer des codes de sécurité à entrer au cas où l'appareil générant la 2FA n'est pas disponible.

Faire des sauvegardes des QR codes 2FA est aussi une option. Un logiciel spécialisé peut ensuite exploiter le QR code pour générer le code 2FA, pas besoin d'attendre le nouveau smartphone.
votre avatar
J'avoue que parfois, j'ai du mal avec le 2FA. Pas sur le principe (c'est très bien !), mais sur sa mise en oeuvre.

Bien trop souvent, le 2FA, c'est :
- un login / mot de passe (pas que, mais c'est le plus courant)
- 1 méthode alternative (très souvent, SMS)

Trop rarement, le 2FA c'est :
- un login / mot de passe
- x méthodes alternatives (et x méthode en même temps, pas juste une)

La mise en pratique du 2FA idéal, pour moi, c'est de permettre de choisir son ou ses moyens alternatifs. Quand on est incapable d'utiliser son téléphone parce que perdu/volé mais aussi cassé (exemple personnel : écran cassé, qui n'affichait que 20% de l'écran et insensible au tactile), c'est très compliqué d'utiliser les SMS ou l'application TOTP !

Le TOP aussi niveau sécurité, même si ce n'est plus de la prévention, ce sont les notifications de nouvelles connexion. Quand un nouvel appareil se connecte à un compte => un mail. C'est toujours bon, ça ne coûte rien et évite bien des soucis, car si une nouvelle connexion arrive, on peut très rapidement agir et changer son mot de passe.
votre avatar
C'est toujours bon, ça ne coûte rien et évite bien des soucis, car si une nouvelle connexion arrive, on peut très rapidement agir et changer son mot de passe.
Bof. Je te pirate en pleine nuit, le temps que tu vois la notif le lendemain matin j'aurai fais mon office depuis plusieurs heures.

Même si c'est pas en pleine nuit, du moment que l'attaque est automatisée les dégâts seront faits en quelques secondes. Peut-être même avant que la notif arrive jusqu'à toi.

Changer de mot de passe suite à une telle notif c'est comme changer de serrure une fois qu'un cambrioleur est passé. Ca peut l'empêcher de revenir mais ça n'empêchera pas les dégâts de son premier passage.

D'ailleurs c'est même pire que ça : De nombreux sites ne virent pas les utilisateurs actuellement connectés à ton compte si tu changes de mot de passe. Donc c'est un peu comme changer la serrure alors que le cambrioleur est toujours chez toi, sans possibilité de le forcer à partir.
Sur ce sujet cf par exemple les classements de Bitwarden comme https://bitwarden.com/blog/industry-leaders-security-rankings-personal-email-services-edition/, regardez le nombre de sites qui ont "Does not require login using new password".
Ca a tendance à être le cas notamment des services utilisant JWT, car par défaut le JWT est décorrelé des informations du compte utilisateur, et ne sera donc pas impacté si elles changent (mot de passe, adresse email...). Le JWT restera donc valide jusqu'à sa péremption, ce qui peut prendre plusieurs minutes à plusieurs heures voire jours.

Donc au mieux une telle notif va te permettre de prendre tes dispositions pour contrer le piratage en prévenant les gens que ça pourrait impacter, en bloquant ta CB, etc. Mais elle n'empêche pas le piratage, qui a déjà eu lieu.

Deuxième intérêt d'une telle notif : Ca peut éviter à un pirate de maintenir dans le temps un accès furtif à ton compte. Et encore, cf ce que j'ai dis sur les services qui ne virent pas les utilisateurs actuellement connectés quand tu changes ton mot de passe.

Edit: Pas dingue votre nouveau WYSIWYG Next, ça gère pas les URLs automatiquement, pas de bouton pour en créer une (donc faut connaître le markdown), et même en connaissant le markdown impossible de faire une citation.
votre avatar
Bof. Je te pirate en pleine nuit, le temps que tu vois la notif le lendemain matin j'aurai fais mon office depuis plusieurs heures.
Encore faut-il connaitre mon fuseau horaire :p
Changer de mot de passe suite à une telle notif c'est comme changer de serrure une fois qu'un cambrioleur est passé. Ca peut l'empêcher de revenir mais ça n'empêchera pas les dégâts de son premier passage.
C'est ne pas savoir comment fonctionne une partie du Dark Web. Une partie, c'est de vendre des comptes piratés. Donc empêcher les gens de revenir, c'est quand même loin d'être négligeable.

Par contre, tu as raison sur les services qui ne déconnectent pas au changement de mot de passe, et la mauvaise gestion des jetons JWT (qui doivent avoir une durée de vie très courte en réalité pour être sécurisés).

Maintenant, comme dit, dans mon précédent message, ce n'est pas un mécanisme de protection, c'est un mécanisme de détection. Donc la finalité n'est pas du tout la même, et en complément de mesures de protection, cela forme un système assez efficace.
votre avatar
Par contre, tu as raison sur les services qui ne déconnectent pas au changement de mot de passe, et la mauvaise gestion des jetons JWT (qui doivent avoir une durée de vie très courte en réalité pour être sécurisés).
A mon humble avis le JWT est pertinent uniquement lorsque la bdd contenant l'utilisateur et se chargeant de l'auth est gérée par un tiers plutôt que par le site. Ca évite de requêter ce tiers à chaque requête de l'utilisateur pour récupérer les informations de ce dernier ou authentifier la requête. Auquel cas le JWT agit un peu comme un cache.
Mais dans la plupart des cas la bdd est gérée par l'appli consommée par l'utilisateur, donc l'intérêt me semble très très limité: Si récupérer un utilisateur en bdd est lent l'appli a des gros soucis d'optimisation.

En outre, même si la bdd est gérée par un tiers, des données aussi critiques que l'auth je trouve ça mal venu de les mettre en cache : Ca me dérange le fait de trouver ça acceptable qu'on puisse ne pas virer un attaquant quand on veut car on doit attendre que le "cache" (le token) expire. Tout ça pour faire l'économie d'un hit à la bdd/API tierce.

Beaucoup de sites utilisent le JWT uniquement parce que c'est la mode. Et aussi pour y stocker et récupérer des données utilisateur (pseudo, adresse email) pour les afficher en front, ce qui est un gros problème de sécurité : Ils vont stocker le JWT dans un espace accessible au JS (probablement le local storage, bien qu'un cookie sans le flag HttpOnly fasse aussi l'affaire), ça signifie que le JWT peut être volé en cas de faille XSS (cf https://cheatsheetseries.owasp.org/cheatsheets/HTML5_Security_Cheat_Sheet.html#local-storage)
votre avatar
Le problème de la notification de nouvelle connexion est que la plus part de ceux qui s'en servent, dont Google, sont des crétins car ils considèrent les adresses IPv6 en entier alors que les appareils en changent parfois plusieurs fois par jour.

Du coup, validation Google pour toutes les connexions et cela fait franchement chier.

La moindre des choses serait de ne garder que le préfixe 64 bits pour les adresses IPv6.
votre avatar
Le problème de la notification de nouvelle connexion est que la plus part de ceux qui s'en servent, dont Google, sont des crétins car ils considèrent les adresses IPv6 en entier alors que les appareils en changent parfois plusieurs fois par jour.
C'est bizarre, car je n'ai pas d'adresse IP fixe. Pourtant, cela ne m'a jamais posé de souci. Cela fait même bien longtemps que je n'ai pas eu à me reloguer sur mon compte Gmail. Et quand je travaille en itinérance (espace de coworking ou client), idem, jamais eu de souci. Et parfois je suis en IPv6 (chez moi), parfois en IPv4 (en extérieur).

De plus, il faut bien avoir conscience que derrière une seule adresse IP (notamment en IPv4), il peut y avoir plusieurs appareils différents (impossible donc de se servir de l'adresse IP pour identifier de manière sûre un appareil). Et en IPv6, il est impossible de savoir si une adresse IP avec le même préfixe (qu'il faut connaitre !) désigne un autre appareil ou le même appareil avec un changement d'IP.

La moindre des choses serait de ne garder que le préfixe 64 bits pour les adresses IPv6.
C'est ça qui serait crétin. Rien, dans la norme IPv6, indique que le prefix est de 64 bits. C'est à la discrétion des fournisseurs d'accès et des gestionnaires de réseau. C'est souvent l'usage, mais rien n'est imposé.

En bref, j'ai l'impression que ton problème n'est pas lié aux IPs, mais plutôt à la connexion elle-même (navigation privée, ou navigateur configuré pour supprimer tous les cookies, logiciel antivirus, ...)
votre avatar
Je pense que tu as raison concernant l'impact des diverses protections contre le pistage et les cookies mais l'adresse IP, même quand c'est une IPv4 qui est partagée par plusieurs utilisateurs, est belle est bien utilisée par Google et par tous les autres services qui tracent la connexion de leurs utilisateurs.

La preuve en est que les messages envoyés par Google sont du type « une nouvelle connexion depuis un linux ... viens d'être réalisée. Si c'est bien vous, pas besoin de répondre à ce message ». Et dans le message de Google, il y a bien l'adresse IPv4 quand c'est celle-là qui est utilisée.
votre avatar
Ca dépend de ce que tu entends par "est utilisée". l'IP n'est pas utilisée à des fins d'authentification, mais de sécurisation lors d'une nouvelle connexion.

Le fait que Google ajoute l'information dans le mail n'est une preuve de rien, si ce n'est que l'information est transmise. C'est juste une information supplémentaire, au même titre que le navigateur, le système d'exploitation ou la date et l'heure pour permettre à l'utilisateur de dire savoir si c'est lui ou pas qui est à l'initiative de la connexion.

Si Google s'en servait à des fins d'authentification, alors changer d'IP ou de User Agent te déconnecterait. Ce qui n'est pas le cas en pratique. On n'a jamais vu non plus quelqu'un se retrouver automatiquement connecté aux services de Google car il a la même adresse IP qu'un autre utilisateur (et heureusement).


Pour une connexion établie, Google (et les autres) se fiche "généralement" de ton adresse IP (bien qu'elle soit tracée). Je dis généralement, car ils peuvent s'en servir pour détecter et bloquer des activités suspectes. C'est ainsi que Microsoft par exemple, a bloqué des tentatives de connexion sur mon compte, car les IP utilisées pour les nouvelles connexions étaient en dehors des adresses IP que j'utilise classiquement (adresse en Allemagne au lieu de la France) pendant que j'étais déjà connecté en France.

Mais à moins d'une activité véritablement suspecte (comme la connexion à 2 endroits séparés par des milliers de km en même temps ou une nouvelle connexion depuis un lieu inconnu), l'adresse IP ne sert pas si tu es déjà connecté.
votre avatar
Je n'ai jamais parlé d’authentification mais bel et bien de ce dont mentionne: la détection des nouvelles connections depuis des adresses réputées inconnues.

Avec IPv4, ton arrivée sur leur serveur est assez constante niveau adresse alors que cette adresse change constamment en IPv6. Mais si tu ne retient que le préfixe 64 bits qui est LA NORME contrairement à ce que tu penses, là, c'est assez constant.

Donc, en IPv6, toute connexion à leurs service déclenche le fameux mail qui demande si c'est normal. D'où mon agacement.

Si la détection de nouveau lieu de connexion se faisait avec le préfixe IPv6 ou tout simplement avec l'ASN, cela éviterait ces messages tellement fréquents que le jour où un vrai piratage est tenté, on ne les lit plus.
votre avatar
Je n'ai jamais parlé d’authentification mais bel et bien de ce dont mentionne: la détection des nouvelles connections depuis des adresses réputées inconnues.
Merci pour la précision, car ce n'est pas ce que j'avais compris dans ton premier message ;)
Avec IPv4, ton arrivée sur leur serveur est assez constante niveau adresse alors que cette adresse change constamment en IPv6. Mais si tu ne retient que le préfixe 64 bits qui est LA NORME contrairement à ce que tu penses, là, c'est assez constant.
Et bien non. Désolé. . Il y a bien une histoire de 64 bits. Pour être précis, l'interface ID fait bien 64 bits. Le global routing prefix + subnet ID aussi du coup. Mais du coup, un prefix de 64 bits permet juste d'identifier l'adresse publique fourni par le FAI, et ne permet pas de détecter si 2 IP différentes dans le même préfix correspondent à deux machines différentes ou à une seule ayant changé d'adresse IP.

Il est donc tout à fait normal de recevoir une alerte pour toute connexion. Et cette alerte elle est aussi bien présente en IPv4 qu'en IPv6.

Tu trouves peut être ça "trop", car j'ai l'impression que chaque jour, tu te connectes (=authentifie) plusieurs fois. Ce n'est pas l'usage de la grande majorité des utilisateurs, qui se connecte une fois (=authentifie) et se reconnecte ensuite mais sans authentification (via une option style "se souvenir de moi").
votre avatar
Il y a encore du boulot au niveau de l'utilisation d'un gestionnaire de mot passe.

Au taff, pourtant dans un service technique, trop peu de collègues utilisent un gestionnaire... Ce n'est pas faute pourtant de faire de la prévention. En plus on en a un dans la boite pour gérer l'ensemble des passwords de notre environnement.
C'est désespérant :frown:

Quand j'explique à un collègue le principe d'un mot de passe unique et fort, et qu'il me sort : "t'inquiète j'ai ma propre technique pour avoir un mot de passe différent", j'aimerais bien voir la gueule des mots de passe :reflechis:

De mon côté, Bitwarden auto herbergé, TOTP intégré à Bitwarden (là on peut se poser la question, est-ce que mettre tous ses œufs dans le même panier est une bonne solution)
Depuis peu, Bitwarden prend en charge les passkeys. A voir dans le temps comment ça évolue et si c'est utilisé.
Ma banque les prend en charge, ça évite de passer par leur clavier virtuel.

J'extrapole un peu, mais l'année dernière j'ai mis en place également un site/service > un mail différent pour chacun. Meilleure gestion de mes données personnelles et de la sécurité.
Un nom de domaine + un service de mail (Proton, Tuta, Skiff, etc.) + un gestionnaire d'alias (SimpleLogin, Addy, etc.)

C'est radical, si un mail est compromis, je le bloque et le change sur le site en question.
votre avatar
Idem de mon côté, une adresse email (alias donné par SimpleLogin) et un mot de passe différent par site, comme ça, je ne communique jamais ma véritable adresse email. Et si trop de mail reçus de la part d'un expéditeur, on peut désactiver la réception d'emails de cet expéditeur.

Rajout systématique d'une authentication multi-facteurs et/ou basculement sur un clé physique quand disponible. Et déconnexion du site à chaque fois (c'est super pénible mais ça aide à protéger contre le hijacking de jeton/session)
votre avatar
Deux problèmes rédhibitoires :
- intérêt d'un mot de passe qu'on ne peut pas retenir et donc taper sur une machine qui n'est pas la nôtre et où on ne dispose pas de notre fameux gestionnaire rendu indispensable ?
- la double authentification oblige à avoir un smartphone Android/iOS récent car les applications sont en général uniquement compatibles avec ces deux OS, en plus donc du terminal utilisé (PC...). Ou de prendre le risque d'utiliser une VM Android pleine de "télémétrie"...

Donc ça n'a pas de sens, sachant qu'une information fuitée est ensuite recopiable à l'infini donc c'est foutu, la vraie règle devrait être de ne pas mettre de données sensibles en ligne, point, elles ne doivent pas exister ! Oui c'est plus chiant, etc., comme vous dites, mais de toute façon quoi qu'on fasse, la sécurité en ligne n'existe pas, ce n'est qu'une question de temps et de motivation, alors autant faire le deuil de celle-ci au lieu d'embêter l'humanité et de la rendre encore plus esclave de matériels et logiciels.
votre avatar
intérêt d'un mot de passe qu'on ne peut pas retenir et donc taper sur une machine qui n'est pas la nôtre et où on ne dispose pas de notre fameux gestionnaire rendu indispensable ?
Côté aisance de frappe, opter pour une phrase de passe plutôt que mot de passe pour les comptes que tu es susceptible d'utiliser sur des appareils où le gestionnaire n'est pas présent. Le problème étant que la plupart des sites imposent la présence de caractères spéciaux et compagnie, voire limitent la longueur du mdp au point où une phrase de passe serait trop faible.

Côté mémoire, aujourd'hui c'est impossible d'avoir des mots de passe sécurisés ET que tu peux retenir, car tu as des dizaines de comptes nécessitant tous un mot de passe fort et unique.
la double authentification oblige à avoir un smartphone Android/iOS récent car les applications sont en général uniquement compatibles avec ces deux OS, en plus donc du terminal utilisé (PC...). Ou de prendre le risque d'utiliser une VM Android pleine de "télémétrie"...
C'est à peu près les deux seuls OS qui sont vraiment utilisés par une part non négligeable de la population. De plus il existe des logiciels sur PC permettant de générer les codes 2FA.
Si le téléphone est trop vieux pour gérer l'appli, deux cas :
- c'est un smartphone et il faut arrêter de l'utiliser car n'étant plus maintenu il est bourré de failles de sécurités (du genre prise de contrôle totale juste en t'envoyant un MMS)
- ce n'est pas un smartphone, mais ça reçoit des SMS, reste plus qu'à espérer que le site proposant la 2FA la propose aussi par SMS

Ne pas oublier la 2FA par email aussi, ça reste assez répandu, et là pas besoin d'un 2e appareil.

Pour le reste de ton propos tu prônes l'abandon de l'informatique : Je ne me prononcerai pas sur le bien ou le mal de la chose, mais le fait est que ce n'est pas du tout dans cette direction que nous allons.
votre avatar
J'ai le sentiment que de plus en plus de gens se sentent totalement dépassé par l'informatique et ses règles qui changent trop vite par rapport à la capacité que l'humain moyen d'apprendre.

Personnellement, je me rend compte que se maintenir à jour exige un effort permanent. Sauf, que moi, cela m'intéresse.

Avec la réduction progressive du nombre de PC et de la partie de la population qui est vraiment à l'aise sur le sujet, je pense que l'on risque le rejet total de la technologie.

Donc, pour en revenir au sujet, le 2FA ne devrait être utilisé que pour les comptes sensibles.

Perso, quand j'ai dû changer le mot de passe de cette puin d'application des chèques vacances sur laquelle je dois me loguer à chaque fois car ils imposent un changement régulier, je les ai aï. Taper un vrai mot de passe sur un tel, pour ouvrir l'application au moment de payer, c'est juste une horreur ergonomique.

Le code de validation du paiement est bien suffisant, comme sur une carte bleue.
votre avatar
J'ai le sentiment que de plus en plus de gens se sentent totalement dépassé par l'informatique et ses règles qui changent trop vite par rapport à la capacité que l'humain moyen d'apprendre.
Parfaitement d'accord ! On fera jamais plus simple qu'avoir une clé à mettre dans une serrure.
Avec la réduction progressive du nombre de PC et de la partie de la population qui est vraiment à l'aise sur le sujet, je pense que l'on risque le rejet total de la technologie.
Comment ça ? Certes il y a de moins en moins de gens qui savent utiliser un ordinateur, mais c'est parce qu'ils utilisent uniquement (et beaucoup) un smartphone ou une tablette, pas parce qu'ils rejettent la technologie.
Néanmoins je pense que "se sentir dépassé par l'informatique" est très lié au fait que les gens n'utilisent quasi plus qu'un smartphone ou une tablette : Ils sont enfermés dans des écosystèmes applicatifs conçus pour faire de la rétention au maximum et avec une ergonomie aux petits oignons qui les assiste beaucoup. Résultat ils sont perdus dès qu'ils sortent de leurs applis habituelles car ils n'ont jamais eu à développer la compétence "galérer sur un PC et chercher comment faire telle chose".
Une prof de collège ou lycée m'avait expliqué que pas mal d'élèves avaient des difficultés en informatique pour accomplir des tâches que l'on considère comme "simples" : copier/déplacer un fichier d'un dossier à un autre, envoyer un email... Peut-être parce que sur smartphone il n'y a pas de gestion de fichier aussi libre que sur PC ni d'arbo claire, et qu'aujourd'hui la plupart des communications numériques se font par WhatsApp.
Perso, quand j'ai dû changer le mot de passe de cette puin d'application des chèques vacances sur laquelle je dois me loguer à chaque fois car ils imposent un changement régulier, je les ai aï. Taper un vrai mot de passe sur un tel, pour ouvrir l'application au moment de payer, c'est juste une horreur ergonomique.
Le changement régulier est déconseillé par l'ANSSI, le problème ici c'est avant tout l'appli qui fait n'importe quoi. Je te rejoins sur la galère de taper des mdp forts sur un clavier de téléphone/tablette, mais malheureusement les gens n'utilisent quasi plus que ça...
Et à mon avis c'est eux qui ont commencé, pas l'industrie. Mais cette dernière a suivi et entretient maintenant l'habitude, notamment en poussant les utilisateurs vers les applis mobiles car c'est là qu'elle met tout le budget, étant donné que la plupart des utilisateurs sont avant tout sur mobile.
votre avatar
Tu devrais pousser plus loin la réflexion, à mon avis, pour te rendre compte que tout ce qu'on fait, c'est une fuite en avant techniciste (et scientiste), parce que des gens passionnés arrivent à continuer à rêver et faire rêver, alors que face à ça on se rend bien compte que notre monde se casse la figure et que ça ne rend fondamentalement pas plus heureux ni plus sage.

Au-delà de ces considérations, on voit bien aussi que concrètement, les promesses de sécurité ne peuvent pas être tenues, c'est perdu d'avance, en effet ça nécessite un effort permanent alors qu'un outil non informatique fait le boulot pour lequel il est prévu et est immuable (peut-être un léger entretien). Les quelques avantages et conforts obtenus ne compensent pas les désagréments (facile à voir dans le domaine automobile par exemple).

Si au début on comprenait la logique de retenir un mot de passe pour ne pas que d'autres puissent facilement fouiller nos affaires théoriquement accessibles depuis le monde entier, on ne comprend plus pourquoi, en plus des cerveaux humains, on devrait désormais se battre contre les machines (utilisées par ces mêmes humains pour nuire), et donc passer de "mots de passe" humains aux mots de passe inhumains. On devient quoi, nous là-dedans ?

Et si nous sommes abonnés ici, c'est que nous discutons entre intéressés, voire passionnés, mais vous avez une idée du gouffre qui nous sépare des autres ? C'est pour ça que c'est une folie de tout numériser et de donner ensuite une responsabilité à l'utilisateur de sécurité (et ça va être de sa faute si toute sa vie privée est copiée à l'infini suite à une fuite ? Mais il n'a jamais voté pour s'exposer comme ça, en connaissance de cause, derrière de maigres sécurités ! Il n'a pas la moindre idée des possibilités de ce monde au-delà de ce qu'il comprend de ce qui s'affiche sur son écran !).
votre avatar
Et si nous sommes abonnés ici, c'est que nous discutons entre intéressés, voire passionnés, mais vous avez une idée du gouffre qui nous sépare des autres ? C'est pour ça que c'est une folie de tout numériser et de donner ensuite une responsabilité à l'utilisateur de sécurité (et ça va être de sa faute si toute sa vie privée est copiée à l'infini suite à une fuite ? Mais il n'a jamais voté pour s'exposer comme ça, en connaissance de cause, derrière de maigres sécurités ! Il n'a pas la moindre idée des possibilités de ce monde au-delà de ce qu'il comprend de ce qui s'affiche sur son écran !).
Parfaitement d'accord. L'informatique est un outil bien trop puissant et à l'impact bien trop lourd si ça tourne mal, comparé aux compétences de l'individu moyen la manipulant ou y étant exposé. Les Anglais ont un dicton du genre "donner une lame de rasoir à un singe". Aucun mépris dans le terme singe, je me mets dedans, bien que je sois dev et passionné du sujet.

Sans parler de la notion d'ordinateur fatal, qui pousse la réalité à se plier à un modèle informatique (qui peut être limité ou erroné) et pas l'inverse, comme l'explique Benjamin Bayart : https://www.youtube.com/watch?v=7VnJ_NiiHas&t=1623s.

[Édito] Mots de passe, double authentification : grrrrr… il est temps d’agir !

  • Un bon gestionnaire de mots de passe

  • Ça suffit toutes ces notifications !

  • Voilà, je suis proté… ah ben non

  • Pffff ça n’arrive qu’aux autres

Fermer