Je n’ai jamais été un expert en cybersécurité. Mais comme beaucoup, le sujet à commencer à m’interroger lorsque j’ai été confronté à quelques situations qui m’ont obligé à me poser les bonnes questions : un compte piraté ici, un mail étrange là, une notification de connexion suspecte reçue un soir alors que je n’étais connecté à rien.
La base quoi.
MAJ
Il n’y a pas que ça. La plupart s’en foutent quand on leur parle de ça.
Article très intéressant. Et bien rédigé. Dommage qu’il y ait juste une grossière faute de grammaire dans l’introduction (deux en fait), sinon c’était le sans-faute.
Ne jamais se connecter à partir d’un mail, ne même pas y regarder a deux fois !
Les sites devraient suivre les bonnes pratiques de base, surtout ceux des GAFAM, ou supérieur a une certaine audience… Opquast en regroupe un bon paquet et vous ne devez JAMAIS stocker un mot de passe dans une base de données !
Google, Apple sont de très mauvais élèves que fait l’UE pour nous protéger ?
oui à l’authentification à 2 facteurs mais :
- très peu de site l’utilisent. Peut-être faudrait-il les obliger par une loi.
- c’est lourdingue. Il faut aller sur son téléphone chercher le code et le copier sur son PC par exemple. ça ne pourrait pas être automatique ?
De plus en plus j’ai des courriers venant de boites avec lesquels j’ai un contrat, qui contiennent une info et aucun lien par exemple ma banque, la sécu, ma complémentaire maladie ou seulement des liens sans connexion.
1 « J'aime »
Et pourquoi donc ? C’est bien ce que fait Clubic.
Faudrait plutôt mettre le pgp/gpg systématique
La plupart des services utilisant une 2FA s’appuient sur la norme TOTP RFC 6238. Et il existe des applications PC, et même des extensions de navigateur qui implémentent cette norme. Et parmi les extensions, il y en a bien qui gèrent le remplissage automatique ou semi-automatique (code copié automatiquement dans le presse-papier, y a plus qu’à coller).
Par exemple, WinAuth en application autonome dédiée au TOTP sous Windows, ou Bitwarden qui est un gestionnaire de mots de passe et de TOTP, disponible sous forme d’application, d’extension de navigateur et de page web.
1 « J'aime »
Merci pour cet excellent article !
1 « J'aime »
Qui dit automatique dit aussi stockage quelque part d’une donnée qui, elle même, peut être dérobée…
Je ne pense pas que la double authentification se résume à l’envoi d’un code pas SMS qui semble t il est loin d’être infaillible.
Une Yubikey sur port USB avec une demande d’intervention physique pour valider (bouton à presser) est une autre méthode par exemple.
Excellent article sur un sujet qui reste un peu touffu et cette maladie des acronymes anglo-saxons qui rend le sujet bien obscur pour moi, l’utilisateur lambda que je suis. lol Merci 
Petite imprécision concernant la signification de zéro day. Ce ne sont pas des failles qui permettent la prise de contrôle a distance, mais des failles présentes depuis la sortie du logiciel.
Ni l’un, ni l’autre.
Une faille zero-day, c’est une faille pour laquelle il n’y a pas encore de correctif.
2 « J'aime »
Certes, mais n’oublions pas que tout le monde n’est pas sensibilisé à ces questions là. 
2 « J'aime »
Et qui est déjà activement exploitée il me semble.
1 « J'aime »
Effectivement, mais pas incorrect complètement :
The term « zero-day » originally referred to the number of days since a new piece of software was released to the public, so « zero-day software » was obtained by hacking into a developer’s computer before release.
1 « J'aime »
Est-ce de l’humour ou juste une étourderie? 