Le 04/07/2023 à 15h 12

Tutanota (https://tutanota.com/fr/) marche plutôt bien est très sécurisé et très bien placé en terme de prix

Le 30/06/2023 à 13h 22

(reply:2140779:dvr-x)
Pour pouvoir utiliser Proton Pass tu dois le relier à ton compte proton donc te connecter. Une fois à l’intérieur de Proton Pass tu peux activer la biométrie. Jusque là tout va bien.
Par contre si tu modifies ta biométrie (en rajoutant un doigt par exemple), tu peux toujours te connecter avec ton nouveau doigt dans Proton Pass sans avoir à te reconnecter. C’est là le problème et la différence entre les mauvaises applications et les bonnes (qui vont demander de se reconnecter) apparait en terme de sécurité.
Et pour les devs, je rappelle ce post : https://swiftrocks.com/detecting-touchid-fingerprint-changes

Le 30/06/2023 à 12h 08

(reply:2140747:dvr-x) oups, je pensais avoir répondu à tout, cela doit être mon grand âge ;). Tu peux me recopier la question ?

Le 30/06/2023 à 09h 33

(reply:2140677:dvr-x) par expérience, les choses arrivent toujours au mauvais moment (vacances, aéroport,…). Je pointe le fait que dans cette vie numérique où nous confions de plus en plus de choses à nos périphériques, les éditeurs doivent nous proposer des solutions de la plus simple à la plus paranoïaque (chacun l’adapte à son cas personnel).
Avant d’adopter la moindre nouvelle solution, je me mets dans le cas le plus défavorable car c’est à ce moment que l’on voit si la solution fonctionne. J’applique une sorte de plan de reprise d’activité personnel que je teste.
Ce n’est que mon opinion mais l’important est je pense que nous soyons tous suffisamment formés pour comprendre ce que nous faisons et décider en connaissance de cause.
Echange intéressant, merci ;)

Le 29/06/2023 à 17h 42

(reply:2140602:dvr-x) je suis d’accord cela n’arrive pas tous les jours même si je pense que le risque est à prendre en compte.
Imagine juste le fait qu’une personne puisse prendre le contrôle de ton téléphone soit par la force, soit par la ruse et que par conséquent qu’il puisse avoir accès à l’ensemble de tes données de tes sites et comptes bancaires. Si tu réfléchis bien, c’est le cas si tu stockes tout chez Proton.
Pour illustrer, dans ton téléphone, modifie ton identification biométrique en rajoutant une empreinte supplémentaire par exemple. Les applications bien sécurisées vont t’alerter en te disant que la biométrie a été modifiée et vont te demander de te ré-authentifier, les autres vont te laisser te connecter avec ta nouvelle empreinte sans rien demander…

Encore une fois je suis d’accord, cela n’arrive que très rarement et heureusement ! Mais pour une application qui va permettre dans son écosystème de tout stocker, c’est léger de ne pas le prendre en compte. J’ai fait le test, ce n’est pas le cas avec Proton pour le moment mais j’espère que cela va changer car leur démarche est intéressante…

Le 29/06/2023 à 12h 16

Si on utilise le dispositif de verrouillage du téléphone pour autoriser à accéder au contenu de l’application (biométrie en général), cette dernière doit en cas de modification du dispositif se verrouiller et imposer de confirmer qu’on est bien l’utilisateur autorisé. En général, c’est en rentrant un mot de passe maitre compliqué mais en fait c’est tout dispositif 2FA prévu pour confirmer initialement. J’espère que je suis clair…

Dans le cas que tu cites : coucou les Apps, Pin ou biométrie changé, c’est bien vous ? Merci de confirmer comme prévu initialement…
C’est d’autant plus important que l’on parle d’applications qui gèrent des données, des mots de passe ou sécurisent notre argent.
Un autre test à faire que j’ai fait sur mon iPhone avec TouchID, j’ai rajouté un doigt ;), 1password m’a demandé de rentrer à nouveau mon mot de passe (alors que TouchID suffit en principe), mes applications bancaires également…

je crois que L’ANSSI en parle quelque part et le définit avec précision. De manière plus générale, c’est empêcher un accès en cascade

Le 29/06/2023 à 09h 11

(reply:2140544:Patatt) Tout à fait. Mais ne pas envoyer une alerte quand un changement de mot de passe servant à déverrouiller le téléphone a été modifié, je ne parle pas uniquement de la biométrie c’est une approche très légère en terme de sécurité. L’accès Proton permet d’accéder à tout : mot de passe, email, données… Je travaille dans la tech et j’ai souvent été surpris par le manque de sérieux des analyses sur ce sujet.
Il y a un test facile à faire pour tester : changer le PIN pour déverrouiller on téléphone (sans parler de biométrie), une application sérieuse devrait alerter et demander le mot de passe de l’application.
Quand je tombe sur de jeunes dev, je leur fais toujours lire cet article juste pour le contexte : https://swiftrocks.com/detecting-touchid-fingerprint-changes.
1Password par exemple va alerter. Après 1Password a le défaut de ne pas être Opensource mais c’est un autre débat ;) et je n’ai pas testé pour Bitwarden

Le 29/06/2023 à 08h 12

(reply:2140533:Xanatos) c’est une façon qui se répand de plus en plus. Une personne profite soit d’un mot passe faible, ou d’une moment de distraction pour rajouter ou modifier une identification biométrique. On voit aussi de plus en plus de techniques pour pirater les identifications biométriques. Comme on dit en sécurité informatique, le problème est souvent entre la chaise et l’ordinateur, c’est l’humain ;)

Ne pas s’en préoccuper dans sa politique de sécurité pour se focaliser simplement sur les attaques à distance, ce n’est pas sérieux et vraiment dommage…

Le 29/06/2023 à 07h 30

C’est un peu dommage.

On a une approche très sécurisée pour protéger l’utilisateur contre des attaques à distances mais par contre une très grande légèreté dans la sécurisation pour une utilisation quotidienne où c’est souvent le téléphone qui est compromis. En résumé, si on se fait pirater son téléphone, l’application devrait redemander le mot de passe maitre et ce n’est pas le cas…
Un petit fil qui en parle : https://www.reddit.com/r/ProtonPass/comments/14hxvof/biometricpin_protection_does_not_protect_you_if/

Le 22/06/2023 à 12h 49

Sauf que depuis le 12 juin, on ne peut plus activer le 2FA pour les nouveaux utilisateurs (https://help.openai.com/en/articles/7967234-does-openai-offer-multi-factor-authentication-mfa-two-factor-authentication-2fa)

Le 02/05/2023 à 20h 02

Vive la souveraineté numérique

Le 09/12/2022 à 07h 22

Fais ce que je dis, pas ce que je fais !
On comprend mieux les déboires de Qwant, où comment saborder une belle initiative…

Le 09/12/2022 à 07h 13

cela va dans la bonne direction

Le 15/10/2021 à 13h 04

Merci, je me réabonne de suite…

Le 15/10/2021 à 12h 16

Je n’ai pas eu de réponse à mon email. Comment avoir une facture pour ma société ?

Le 16/09/2021 à 06h 32

Tel un Lemmings : let’s go !

Le 06/09/2021 à 10h 52

Let’s try…

Le 04/03/2021 à 12h 22

Outlook est optimisé pour Apple Silicon.
Dans la suite Office en version Intel, only il reste OneDrive et Teams

Le 13/09/2020 à 16h 24

Je te rejoins mais c’est une très bonne idée… Le dev est tout seul je crois.
Je suis très réservé sur l’idée de protéger des accès cloud avec un solution Cloud. C’est pour cela que j’utilise 1Password sur un Mac et avec un Sync en Wifi (mais l’éditeur de 1password fait tout pour pousser on abonnement dans le Cloud).

Le 11/09/2020 à 12h 48

J’utilise 1password en version standalone et synchro en wifi avec mes devices. Je regarde avec beaucoup d’intérêt ce projet français Lesspass (https://lesspass.com/). Il manque encore quelques fonctionnalités mais l’idée me plait bien…

Le 25/04/2020 à 10h 01

Excellent produit. Bon compromis entre simplicité / Sécurité / OpenSource / UX
 
L’application iOS en revanche poussait être un peu plus sécurisée (je ne sais pas pour Android) : on peut modifier TouchID /FaceID en rajoutant un profil ou un doigt et déverrouiller son coffre fort sans devoir re-saisir son mot de passe. L’équipe m’a indiqué qu’ils allaient modifier ce comportement. J’attends le correctif pour déployer cette application. 
Wait and see…