La campagne concernait Microsoft 365. Cela dit, le sujet me semble assez rare (pour encore trop de monde, la double authentification c’est la solution de sécurité ultime inviolable), et l’article suffisamment bien traité pour être intéressant.
C’est aussi un rappel que la sécurité totale n’existe pas, y compris quand on est une entreprise gigantesque et qu’on a pris énormément de précautions.
En fait, je n'arrive pas à comprendre comment la double authentification peut être considérée comme sécurisée à partir du moment où elle se base en partie sur un terminal (l'ordiphone) plutôt franchement troué.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
Et pourtant, il suffirait que l'entreprise/prestataire fournisse sa clef GPG publique, et que les messages soient signés avec. Au moment de l'inscription au service, cette clef serait mise à disposition pour l'utilisateur, et … voilà, 99% des utilisateurs sont déjà perdus.
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
Toutes les doubles authentifications ne nécessitent pas de téléphone portable, si c'est bien d'un téléphone portable dont tu parle et l'attaque présentée ne nécessite pas que la double authentification utilise de téléphone portable. Elle demande simplement 2 choses :
du fishing par mail, sms ou le moyen que tu veux pour diriger vers ton faux site
que l'authentification se fasse via un navigateur pour récupérer le cookie de session
Tu aurai un token rsa physique ça marcherait aussi.
Je sais bien, mais je faisais seulement une remarque sur le fait que la double authentification n'était pas d'une sécurité absolue du fait de la fragilité (en terme de sécurité) de l'appareil qui est souvent considéré comme le deuxième facteur d'authentification, à savoir l'ordiphone. Je sais bien qu'il y a d'autres cas de figures et j’aimerais bien justement que les banques ne se réfugient pas derrière ces fichus téléphones.
Je ne parlais de l'attaque spécifique ciblée par l'article.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
L’authentification à deux facteurs n’a pas pour but d’apporter une « sécurité absolue », mais d’apporter plus de sécurité qu’en l’absence d’authentification à deux facteurs.
Sans authentification à deux facteurs, un attaquant qui parvient d’une manière ou d’une autre à obtenir ton identifiant et ton mot de passe (ce qu’il peut éventuellement faire de façon passive sans prendre de gros risques) a tout ce qu’il lui faut pour se connecter à ton compte.
Avec authentification à deux facteurs, il lui faut en plus franchir la barrière supplémentaire posée par la vérification du second facteur. Ce n’est certes pas impossible, mais ça augmente le coût et la difficulté de l’attaque, ne serait-ce qu’en imposant une attaque active.
Même le plus faible des protocoles d’authentification à deux facteurs (le SMS, assez facilement contournable vues les vulnérabilités des protocoles liés aux SMS) est un poil plus sécurisé que pas de second facteur du tout.
Posté par gUI (Mastodon) .
Évalué à 6.
Dernière modification le 05 août 2022 à 11:08.
En fait, je n'arrive pas à comprendre comment la double authentification peut être considérée comme sécurisée
Dans le cas où les 2 niveaux de validation passent par le même vecteur (browser) j'avoue qu'il y a un trou dans la raquette, j'y ferai attention à l'avenir.
Un bon exemple c'est ma banque qui, quand je fais une opération via le site web avec mon PC fixe, me demande confirmation via une alerte que je valide directement sur le smartphone. Là c'est un canal différent et intercepter les deux devient sacrément compliqué (mais comme toujours, pas impossible).
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
Je refuse de confier mes informations bancaires à un appareil que je peux perdre ou qui peut être volé, c'est ferme et définitif. Et ce d'autant plus que ça utilise une appli récupéré sur le google store et d'une et que la connexion est en wifi et de deux. Bref, la fiabilité hein !
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
Je refuse de confier mes informations bancaires à un appareil que je peux perdre ou qui peut être volé, c'est ferme et définitif.
Tu n'as donc pas de carte bancaire ? :)
Je taquine, je comprends tout à fait ton point de vue, pour ma part j'ai craqué avant toi pour accepter tout ça, mais je prédis que tôt ou tard tu n'auras plus le choix…
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
Every modern web service implements a session with a user after successful authentication so that the user doesn’t have to be authenticated at every new page they visit.
Une alternative consiste à authentifier la connexion plutôt que la session, via des certificats TLS. En plus, ça rend le phishing inopérant: une réponse valide pour attacker.tld n'est pas valide pour company.tld, donc attacker.tld ne peut pas se servir de la connexion obtenue par phishing pour se faire passer pour la victime auprès de company.tld.
L'authentification par certificat peut être à 2 facteurs si on protège la clé privée par mot de passe ou code pin.
# Je sais, c’est Microsoft
Posté par SpaceFox (site web personnel, Mastodon) . Évalué à 5.
La campagne concernait Microsoft 365. Cela dit, le sujet me semble assez rare (pour encore trop de monde, la double authentification c’est la solution de sécurité ultime inviolable), et l’article suffisamment bien traité pour être intéressant.
C’est aussi un rappel que la sécurité totale n’existe pas, y compris quand on est une entreprise gigantesque et qu’on a pris énormément de précautions.
La connaissance libre : https://zestedesavoir.com
[^] # Re: Je sais, c’est Microsoft
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 4.
En fait, je n'arrive pas à comprendre comment la double authentification peut être considérée comme sécurisée à partir du moment où elle se base en partie sur un terminal (l'ordiphone) plutôt franchement troué.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Je sais, c’est Microsoft
Posté par GG (site web personnel) . Évalué à 3.
Et pourtant, il suffirait que l'entreprise/prestataire fournisse sa clef GPG publique, et que les messages soient signés avec. Au moment de l'inscription au service, cette clef serait mise à disposition pour l'utilisateur, et … voilà, 99% des utilisateurs sont déjà perdus.
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: Je sais, c’est Microsoft
Posté par barmic 🦦 . Évalué à 1.
Quel est le rapport ? L'attaque s'appuie sur les sessions des navigateurs.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Je sais, c’est Microsoft
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 3.
La double authentification ? Le fait que ça repose souvent sur un terminal peu fiable ?
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Je sais, c’est Microsoft
Posté par barmic 🦦 . Évalué à 2.
Toutes les doubles authentifications ne nécessitent pas de téléphone portable, si c'est bien d'un téléphone portable dont tu parle et l'attaque présentée ne nécessite pas que la double authentification utilise de téléphone portable. Elle demande simplement 2 choses :
Tu aurai un token rsa physique ça marcherait aussi.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Je sais, c’est Microsoft
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 5.
Je sais bien, mais je faisais seulement une remarque sur le fait que la double authentification n'était pas d'une sécurité absolue du fait de la fragilité (en terme de sécurité) de l'appareil qui est souvent considéré comme le deuxième facteur d'authentification, à savoir l'ordiphone. Je sais bien qu'il y a d'autres cas de figures et j’aimerais bien justement que les banques ne se réfugient pas derrière ces fichus téléphones.
Je ne parlais de l'attaque spécifique ciblée par l'article.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Je sais, c’est Microsoft
Posté par gouttegd (site web personnel) . Évalué à 7.
L’authentification à deux facteurs n’a pas pour but d’apporter une « sécurité absolue », mais d’apporter plus de sécurité qu’en l’absence d’authentification à deux facteurs.
Sans authentification à deux facteurs, un attaquant qui parvient d’une manière ou d’une autre à obtenir ton identifiant et ton mot de passe (ce qu’il peut éventuellement faire de façon passive sans prendre de gros risques) a tout ce qu’il lui faut pour se connecter à ton compte.
Avec authentification à deux facteurs, il lui faut en plus franchir la barrière supplémentaire posée par la vérification du second facteur. Ce n’est certes pas impossible, mais ça augmente le coût et la difficulté de l’attaque, ne serait-ce qu’en imposant une attaque active.
Même le plus faible des protocoles d’authentification à deux facteurs (le SMS, assez facilement contournable vues les vulnérabilités des protocoles liés aux SMS) est un poil plus sécurisé que pas de second facteur du tout.
[^] # Re: Je sais, c’est Microsoft
Posté par devnewton 🍺 (site web personnel) . Évalué à 5.
Comme l'a un jour dit un sage, le multi-facteur ne protège pas contre la compromission du périphérique.
Ni contre le phishing :-(
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Je sais, c’est Microsoft
Posté par gUI (Mastodon) . Évalué à 6. Dernière modification le 05 août 2022 à 11:08.
Dans le cas où les 2 niveaux de validation passent par le même vecteur (browser) j'avoue qu'il y a un trou dans la raquette, j'y ferai attention à l'avenir.
Un bon exemple c'est ma banque qui, quand je fais une opération via le site web avec mon PC fixe, me demande confirmation via une alerte que je valide directement sur le smartphone. Là c'est un canal différent et intercepter les deux devient sacrément compliqué (mais comme toujours, pas impossible).
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Je sais, c’est Microsoft
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 9. Dernière modification le 05 août 2022 à 14:26.
Je refuse de confier mes informations bancaires à un appareil que je peux perdre ou qui peut être volé, c'est ferme et définitif. Et ce d'autant plus que ça utilise une appli récupéré sur le google store et d'une et que la connexion est en wifi et de deux. Bref, la fiabilité hein !
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Je sais, c’est Microsoft
Posté par gUI (Mastodon) . Évalué à 4.
Tu n'as donc pas de carte bancaire ? :)
Je taquine, je comprends tout à fait ton point de vue, pour ma part j'ai craqué avant toi pour accepter tout ça, mais je prédis que tôt ou tard tu n'auras plus le choix…
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Je sais, c’est Microsoft
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 2.
Pour l'instant, je me passe de l'appli bancaire aussi (après avoir été usager de la première heure, paradoxalement.) Pourvu que ça dure.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
# De l'intérêt de l'authentification des connexions
Posté par Samuel (site web personnel) . Évalué à 3.
Une alternative consiste à authentifier la connexion plutôt que la session, via des certificats TLS. En plus, ça rend le phishing inopérant: une réponse valide pour attacker.tld n'est pas valide pour company.tld, donc attacker.tld ne peut pas se servir de la connexion obtenue par phishing pour se faire passer pour la victime auprès de company.tld.
L'authentification par certificat peut être à 2 facteurs si on protège la clé privée par mot de passe ou code pin.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.