Je ne m’explique pas comment des acteurs qui dénoncent régulièrement les problèmes de souveraineté et les GAFAM ne s'appliquent pas ces conseils à eux-mêmes. Clever Cloud a ses MX qui pointent chez Google https://quihebergelesmails.fr/?domain=clever.cloud
Je les adore chez Clever Cloud et ce que j'ai pu tester chez eux est intéressant. Je suis souvent les déclarations de leur fondateur, Quentin Adam. En revanche dénoncez les GAFAM c'est bien mais dans ce cas, pourquoi chez Clever Cloud, ils utilisent Google Workspace ? Ce commentaire n'est pas tout à fait sur le sujet j'en conviens mais quand on veut être crédible, il faut être cohérent, non ?
(reply:2140779:dvr-x) Pour pouvoir utiliser Proton Pass tu dois le relier à ton compte proton donc te connecter. Une fois à l’intérieur de Proton Pass tu peux activer la biométrie. Jusque là tout va bien. Par contre si tu modifies ta biométrie (en rajoutant un doigt par exemple), tu peux toujours te connecter avec ton nouveau doigt dans Proton Pass sans avoir à te reconnecter. C’est là le problème et la différence entre les mauvaises applications et les bonnes (qui vont demander de se reconnecter) apparait en terme de sécurité. Et pour les devs, je rappelle ce post : https://swiftrocks.com/detecting-touchid-fingerprint-changes
(reply:2140677:dvr-x) par expérience, les choses arrivent toujours au mauvais moment (vacances, aéroport,…). Je pointe le fait que dans cette vie numérique où nous confions de plus en plus de choses à nos périphériques, les éditeurs doivent nous proposer des solutions de la plus simple à la plus paranoïaque (chacun l’adapte à son cas personnel). Avant d’adopter la moindre nouvelle solution, je me mets dans le cas le plus défavorable car c’est à ce moment que l’on voit si la solution fonctionne. J’applique une sorte de plan de reprise d’activité personnel que je teste. Ce n’est que mon opinion mais l’important est je pense que nous soyons tous suffisamment formés pour comprendre ce que nous faisons et décider en connaissance de cause. Echange intéressant, merci ;)
(reply:2140602:dvr-x) je suis d’accord cela n’arrive pas tous les jours même si je pense que le risque est à prendre en compte. Imagine juste le fait qu’une personne puisse prendre le contrôle de ton téléphone soit par la force, soit par la ruse et que par conséquent qu’il puisse avoir accès à l’ensemble de tes données de tes sites et comptes bancaires. Si tu réfléchis bien, c’est le cas si tu stockes tout chez Proton. Pour illustrer, dans ton téléphone, modifie ton identification biométrique en rajoutant une empreinte supplémentaire par exemple. Les applications bien sécurisées vont t’alerter en te disant que la biométrie a été modifiée et vont te demander de te ré-authentifier, les autres vont te laisser te connecter avec ta nouvelle empreinte sans rien demander…
Encore une fois je suis d’accord, cela n’arrive que très rarement et heureusement ! Mais pour une application qui va permettre dans son écosystème de tout stocker, c’est léger de ne pas le prendre en compte. J’ai fait le test, ce n’est pas le cas avec Proton pour le moment mais j’espère que cela va changer car leur démarche est intéressante…
Merci d’avoir détaillé ta pensée, mais à qui de faire la vérification, quand bien même ce serait possible ? app > le smartphone a changé son PIN smartphone > coucou les apps, PIN changé Comment c’est nommé d’ailleurs dans une politique de sécurité ?
Si on utilise le dispositif de verrouillage du téléphone pour autoriser à accéder au contenu de l’application (biométrie en général), cette dernière doit en cas de modification du dispositif se verrouiller et imposer de confirmer qu’on est bien l’utilisateur autorisé. En général, c’est en rentrant un mot de passe maitre compliqué mais en fait c’est tout dispositif 2FA prévu pour confirmer initialement. J’espère que je suis clair…
Dans le cas que tu cites : coucou les Apps, Pin ou biométrie changé, c’est bien vous ? Merci de confirmer comme prévu initialement… C’est d’autant plus important que l’on parle d’applications qui gèrent des données, des mots de passe ou sécurisent notre argent. Un autre test à faire que j’ai fait sur mon iPhone avec TouchID, j’ai rajouté un doigt ;), 1password m’a demandé de rentrer à nouveau mon mot de passe (alors que TouchID suffit en principe), mes applications bancaires également…
je crois que L’ANSSI en parle quelque part et le définit avec précision. De manière plus générale, c’est empêcher un accès en cascade
(reply:2140544:Patatt) Tout à fait. Mais ne pas envoyer une alerte quand un changement de mot de passe servant à déverrouiller le téléphone a été modifié, je ne parle pas uniquement de la biométrie c’est une approche très légère en terme de sécurité. L’accès Proton permet d’accéder à tout : mot de passe, email, données… Je travaille dans la tech et j’ai souvent été surpris par le manque de sérieux des analyses sur ce sujet. Il y a un test facile à faire pour tester : changer le PIN pour déverrouiller on téléphone (sans parler de biométrie), une application sérieuse devrait alerter et demander le mot de passe de l’application. Quand je tombe sur de jeunes dev, je leur fais toujours lire cet article juste pour le contexte : https://swiftrocks.com/detecting-touchid-fingerprint-changes. 1Password par exemple va alerter. Après 1Password a le défaut de ne pas être Opensource mais c’est un autre débat ;) et je n’ai pas testé pour Bitwarden
(reply:2140533:Xanatos) c’est une façon qui se répand de plus en plus. Une personne profite soit d’un mot passe faible, ou d’une moment de distraction pour rajouter ou modifier une identification biométrique. On voit aussi de plus en plus de techniques pour pirater les identifications biométriques. Comme on dit en sécurité informatique, le problème est souvent entre la chaise et l’ordinateur, c’est l’humain ;)
Ne pas s’en préoccuper dans sa politique de sécurité pour se focaliser simplement sur les attaques à distance, ce n’est pas sérieux et vraiment dommage…
On a une approche très sécurisée pour protéger l’utilisateur contre des attaques à distances mais par contre une très grande légèreté dans la sécurisation pour une utilisation quotidienne où c’est souvent le téléphone qui est compromis. En résumé, si on se fait pirater son téléphone, l’application devrait redemander le mot de passe maitre et ce n’est pas le cas… Un petit fil qui en parle : Reddit
Si tu as un abonnement personnel, c’est dans le gestionnaire de compte. Si c’est via les code cadeau, ça se demande dans la procédure. Si c’est sur devis c’est automatique.
ça a l’air chouette oui, petit souci quand même c’est que pour l’instant si tu veux gérer des profils il faut soit utiliser le site, soit avoir ton propre serveur avec un docker qui tourne. ça reste une très bonne idée pour ne rien avoir à stocker, mais ça génère un point de défaillance unique qui est le site. donc l’un dans l’autre…
Je te rejoins mais c’est une très bonne idée… Le dev est tout seul je crois. Je suis très réservé sur l’idée de protéger des accès cloud avec un solution Cloud. C’est pour cela que j’utilise 1Password sur un Mac et avec un Sync en Wifi (mais l’éditeur de 1password fait tout pour pousser on abonnement dans le Cloud).
J’utilise 1password en version standalone et synchro en wifi avec mes devices. Je regarde avec beaucoup d’intérêt ce projet français Lesspass (https://lesspass.com/). Il manque encore quelques fonctionnalités mais l’idée me plait bien…
L’application iOS en revanche poussait être un peu plus sécurisée (je ne sais pas pour Android) : on peut modifier TouchID /FaceID en rajoutant un profil ou un doigt et déverrouiller son coffre fort sans devoir re-saisir son mot de passe. L’équipe m’a indiqué qu’ils allaient modifier ce comportement. J’attends le correctif pour déployer cette application.
33 commentaires
Le 07/01/2026 à 11h13
Le 18/11/2025 à 10h17
Clever Cloud a ses MX qui pointent chez Google https://quihebergelesmails.fr/?domain=clever.cloud
Le 05/09/2025 à 14h39
Le 24/07/2025 à 19h21
Modifié le 23/07/2025 à 16h25
Le 10/06/2025 à 14h08
Le 09/06/2025 à 16h47
Le 05/06/2025 à 17h39
Le 28/10/2024 à 14h11
Le 24/10/2024 à 20h39
Le 11/10/2024 à 16h41
Le 25/09/2024 à 10h19
Le 04/07/2023 à 15h12
Tutanota (https://tutanota.com/fr/) marche plutôt bien est très sécurisé et très bien placé en terme de prix
Le 30/06/2023 à 13h22
Le 30/06/2023 à 12h08
Le 30/06/2023 à 09h33
Le 29/06/2023 à 17h42
Encore une fois je suis d’accord, cela n’arrive que très rarement et heureusement ! Mais pour une application qui va permettre dans son écosystème de tout stocker, c’est léger de ne pas le prendre en compte. J’ai fait le test, ce n’est pas le cas avec Proton pour le moment mais j’espère que cela va changer car leur démarche est intéressante…
Le 29/06/2023 à 12h16
Si on utilise le dispositif de verrouillage du téléphone pour autoriser à accéder au contenu de l’application (biométrie en général), cette dernière doit en cas de modification du dispositif se verrouiller et imposer de confirmer qu’on est bien l’utilisateur autorisé. En général, c’est en rentrant un mot de passe maitre compliqué mais en fait c’est tout dispositif 2FA prévu pour confirmer initialement. J’espère que je suis clair…
Dans le cas que tu cites : coucou les Apps, Pin ou biométrie changé, c’est bien vous ? Merci de confirmer comme prévu initialement…
C’est d’autant plus important que l’on parle d’applications qui gèrent des données, des mots de passe ou sécurisent notre argent.
Un autre test à faire que j’ai fait sur mon iPhone avec TouchID, j’ai rajouté un doigt ;), 1password m’a demandé de rentrer à nouveau mon mot de passe (alors que TouchID suffit en principe), mes applications bancaires également…
je crois que L’ANSSI en parle quelque part et le définit avec précision. De manière plus générale, c’est empêcher un accès en cascade
Le 29/06/2023 à 09h11
Le 29/06/2023 à 08h12
Ne pas s’en préoccuper dans sa politique de sécurité pour se focaliser simplement sur les attaques à distance, ce n’est pas sérieux et vraiment dommage…
Le 29/06/2023 à 07h30
C’est un peu dommage.
On a une approche très sécurisée pour protéger l’utilisateur contre des attaques à distances mais par contre une très grande légèreté dans la sécurisation pour une utilisation quotidienne où c’est souvent le téléphone qui est compromis. En résumé, si on se fait pirater son téléphone, l’application devrait redemander le mot de passe maitre et ce n’est pas le cas…
Reddit
Un petit fil qui en parle :
Le 22/06/2023 à 12h49
Le 02/05/2023 à 20h02
Vive la souveraineté numérique
Le 09/12/2022 à 07h22
Fais ce que je dis, pas ce que je fais !
On comprend mieux les déboires de Qwant, où comment saborder une belle initiative…
Le 09/12/2022 à 07h13
cela va dans la bonne direction
Le 15/10/2021 à 13h04
Merci, je me réabonne de suite…
Le 15/10/2021 à 12h16
Je n’ai pas eu de réponse à mon email. Comment avoir une facture pour ma société ?
Le 16/09/2021 à 06h32
Tel un Lemmings : let’s go !
Le 06/09/2021 à 10h52
Let’s try…
Le 04/03/2021 à 12h22
Outlook est optimisé pour Apple Silicon.
Dans la suite Office en version Intel, only il reste OneDrive et Teams
Le 13/09/2020 à 16h24
Je te rejoins mais c’est une très bonne idée… Le dev est tout seul je crois.
Je suis très réservé sur l’idée de protéger des accès cloud avec un solution Cloud. C’est pour cela que j’utilise 1Password sur un Mac et avec un Sync en Wifi (mais l’éditeur de 1password fait tout pour pousser on abonnement dans le Cloud).
Le 11/09/2020 à 12h48
J’utilise 1password en version standalone et synchro en wifi avec mes devices. Je regarde avec beaucoup d’intérêt ce projet français Lesspass (https://lesspass.com/). Il manque encore quelques fonctionnalités mais l’idée me plait bien…
Le 25/04/2020 à 10h01
Excellent produit. Bon compromis entre simplicité / Sécurité / OpenSource / UX
L’application iOS en revanche poussait être un peu plus sécurisée (je ne sais pas pour Android) : on peut modifier TouchID /FaceID en rajoutant un profil ou un doigt et déverrouiller son coffre fort sans devoir re-saisir son mot de passe. L’équipe m’a indiqué qu’ils allaient modifier ce comportement. J’attends le correctif pour déployer cette application.
Wait and see…