Commentaires : Vous avez un compte Amazon ? Adieu le mot de passe et la vérification en deux étapes!

Débat sur l'actu
23

Sous iOS ? Parce que sous Android (du moins la version qui est sur les Pixel), ce n’est pas possible, dès lors qu’on désactive le verrouillage de l’appareil, on perd la possibilité de s’identifier par empreinte dans les applications :

image
image504×1122 38.5 KB

24

Je suis passé aux passkeys pour 2 comptes (pas Amazon) pour essayer mais j’ai une question…

Que se passe-t-il si je perds ou qu’on me vole les dispositifs utilisés pour me connecter, et qui sont nommément enregistrés sur le site ou service en question ? Par exemple pour un compte, j’ai activé l’empreinte via mon téléphone actuel et via un MacBook. Si ces appareils me sont volés, s’ils sont détruits, ou que je les vends, que se passe-t-il, comment puis-je être identifié et me connecter ? Que va-t-on me demander pour prouver que c’est bien moi ?

J’ai perdu l’accès à 3 comptes mail pour des procédures de sécurité des comptes. La validation en 2 étapes me réclamait d’autoriser la demande sur mon téléphone. Or je n’avais plus le téléphone qui avait servi à l’activation, et n’avait évidemment aucune demande sur mon nouveau téléphone. Toutes les options proposées étaient impossibles (sms impossible car le numéro enregistré était un ancien numéro, mail de secours impossible car le fournisseur a fermé). Et impossible d’enregistrer mon nouveau téléphone car il faut d’abord valider l’autorisation avec l’ancien… J’ai alors tenté de récupérer ces comptes via une procédure qui demande des tas d’infos, mais les infos fournies se sont avérées insuffisantes. Impossible de récupérer ces comptes donc, où comment des mesures censées protéger notre compte se retournent contre nous, simplement parce-qu’on a … changé de téléphone et de numéro !

Alors bien sûr, pour certains comptes j’ai des séries de numéros à usage unique, ou un email voire 2 de secours. Mais en fait, sur la plupart des comptes, j’ai une dizaine de mesures (2 emails de secours, SMS, validation par application sur smartphone, passkeys sur plusieurs appareils, codes de validation de secours, ET mot de passe). Mais du coup, le mot de passe est encore là.

25

Tu perds ton tel il est mort et tu l’a bien dans l’os le plus souvent. Alors que pour la double authentification par sms, il suffit de mettre la sim dans un autre téléphone

26

Les clés d’accès sont stockées sur l’appareil qu’on utilise pour aller sur le service. Donc on s’en fout de les perdre si on perd l’appareil, puisque de toute façon à partir de ce moment là, on ne l’utilise plus pour accéder au service.

Mais si je perds mon téléphone, je ne perds pas les clés d’accès que j’ai sur mon PC dans Windows Hello. Et inversement, si je perds mon PC, je ne perds pas les clés d’accès qui est est dans mon téléphone…

J’ai l’impression que beaucoup de gens confondent les clés d’accès et le 2FA via téléphone. Ce n’est pas la même chose.

Les clés d’accès sont là pour remplacer le mot de passe par un système d’authentification tiers et déconnecté quand on se connecte à un service en ligne depuis un appareil avec lequel on s’y est déjà connecté une fois. Ce n’est pas un second facteur d’authentification.

Et pour la 2FA, perso je préfère largement TOTP plutôt qu’un SMS, quand TOTP est proposé… Tellement plus pratique de ne dépendre ni d’un appareil (on peut avoir le générateur sur plusieurs appareils) ni d’un réseau (le TOTP fonctionne de façon totalement offline, faut juste que l’appareil qui génère soit à l’heure).

3 « J'aime »
27

Quand je regarde les commentaires, tout ca me fait penser un peu au alarmes dans les maisons et voitures. Ca coute cher, ca crée des milliers de contraintes aux utilisateurs MAIS ca gene absolument pas les voleurs! :rofl:

Ca me gonfle déja teeeeeeellement de mettre verouillage sur mon telephone! :triumph:. J’etais tout content de changer de banque pour pouvoir mettre ma CB sur mon gogole wallet… Tout ca pour que cet emmerdeur m’oblige a verouiller le tel! au lieu de me demander la meme procédure UNIQUEMENT quand je veux payer… :rage:

1 « J'aime »
28

Souvent, il y a des codes de secours …
Sinon, authentificateur physique (genre Yubikey + leur générateur de codes 2FA) + 2FA.
Bon, faut pas perdre la clé …

… Perso, j’en ai une principale et une en backup. :sweat_smile:

Après, oui, cela fait des contraintes, mais bon …

Source ?

Non, parce que balancer une « info » comme ça, sans rien avancer de plus, tout le monde sait le faire.

C’est gênant à ce point ?

1 « J'aime »
29

« Quand le FBI nous a demandé les données qui étaient en notre possession, nous les avons fournies, insiste TimCook »

Le FBI a demandé à Apple avoir un programme pour accéder à l’IPhone sans passer par Apple.
Qu’ils ont d’ailleurs trouver depuis.
Quelle naïveté.

30

Oui, les données qu’Apple avait en sa possession. Mais Apple n’a jamais donné les informations permettant de déchiffrer le contenu d’un iPhone. Parce que justement elle n’a pas ces données en sa possession : elle ne connait pas les codes de déverrouillage des iPhone, elle ne connait pas les empreintes digitales des utilisateurs d’iPhone.

Mais bon, tu saches les choses tellement mieux que le non sachant que je suis. Du coup, je peux d’ailleurs te retourner ta question initiale : tu es dev chez Apple pour sacher tout ça ? :rofl:

1 « J'aime »
31

Si Apple le dit c’est que c’est vrai… Le marketing.

32

Non. L’application des bonnes pratiques de la cryptographie, dans un OS dont les entrailles ont été analysées dans tous les sens par des milliers d’experts en sécurité. Des vrais qui savent de quoi ils parlent. Pas des sachants.

Accessoirement, il y a un principe de base pour conserver une information secrète : il faut minimiser le nombre de personnes qui la connaissent. Hors les équipes de dev système d’Apple, c’est des milliers de personnes, et surtout, des centaines qui entrent et sortent d’Apple chaque année. Imaginer un seul instant qu’une bombe comme le fait qu’Apple mentirait sur le chiffrement des iPhone puisse rester secrète dans un tel contexte, c’est vraiment être complètement inconscient de la réalité…

Et sinon, tu n’as toujours pas répond à la question fondamentale : qu’est ce qu’Apple aurait à gagner en récupérant les empreintes digitales et les codes PIN de ses clients ? À comparer à ce qu’elle aurait à perdre si elle le faisait et que ça finissait par ce savoir (et ça finirait inévitablement par se savoir).

1 « J'aime »
33

Source : je suis electricien batiment depuis 15ans, j’en ai installé/depanné et deposé par mal… Souvent posées apres un cambriolage dans le voisinage ou les proches. Au début c’est bien, et ca deviens vite un enfer de contraintes plus que ca ne rassure ( devoir donner le code, le bip aur proches, sui les paument, entretenir, ne pas oublier de la mettre la couper sans parler des declenchements intenpestifs suite a des defaillances ou fausses manip :man_shrugging:t2:

Et au final, les gens ne font meme pu attention quand une alarme sonne, du fait manque de fiabilité ressenti.
De toute facon, generalement, les braqueurs sont plus rapides que les reactions.

Source les vidéos des cameras de plusieurs maisons de clients ( et perso) qui se sont faitent braquer quand meme… En quelques minutes c’est torché!

D’allleurs, pour les voitures c’est tellement efficace qu’elle en sont toutes equipees d’aujourd’hui :rofl: ( et remplacer un bete neiman m fracturable, par un systeme keyless relié a l’OBD n’a pas changé grand chose, si ce n’est les outils des voleurs :man_shrugging:t2:)

Concernant le verouillage du tel, oui je trouve ca juste insupportable… Retaper un code/ faire une forme, viser le lecteur d’empreinre etc… A chaque sms/message/ mail recu… c’est chiant.
Comme de se voir imposé une casse spécifique pour un mdp, Ou les changements obligatoires etc…

Je peux comprendre les enjeux, mais les methodes mises a dispositions sont souvent trop contraignantes. Par essence, le numerique est crackable, la seule parade qu’on a, c’est le temps , la duree pour cracker, mais a la base, ca cree des contraintes, qui pour moi, sont trop grandes.

Du coup, OUI, devoir mettre un mot de passe pour verouiller mon telephone complet, uniquement parceque l’appli qui gere le paiement par CB ne donne pas la possibilité de valider l’action pas une securité spécifique et uniquement les 3 fois par jour ou je l’utilise, est pour moi completement avsurde et rebarbatif :man_shrugging:t2:

1 « J'aime »
34

Bonjour @MattS32,

  1. Donc potentiellement Piratable / Copiable vers une autre Machine ? et ce, de manière non vérifiable / non visible pour l’utilisateur.
  1. Donc Piratable / Keyloggable de la même manière qu’auparavant, à la première connection ?

  1. Soit c’est fait pour une sécurité plus sûre et plus simple, soit avec un code Pin simple, facilement mémorisable / piratable en regardant derrière une épaule. 1234 ( avant de voler la machine ). Les gens qui faisaient des schémas pour déverrouiller sous Android autrefois, était de la même manière, visuellement facilement mémorisable ( avant un vol par exemple ).

  2. Soit c’est pour au final avoir un Pin type 2ièm mot de passe que l’on tape à chaque fois, exactement comme avant ; ce qui permet à l’usage et dans le temps de faire totalement oublier aux utilisateurs leur 1ier mots de passe ( ceux des comptes d’origine qui te permet de générer / regénérer ta clef à la première connection ) et donc de te faire perdre dans la foulée et de manière irréversible l’accès aux différents comptes en ligne.

Est-ce que je me trompe dans ces 4 réponses ?
Ou, ai-je mal compris le fonctionnement du Passkey ?

Cordialement,
Merci

35

Oui, s’il y a une faille majeure dans l’OS. Autrement, non : la clé d’authentification est stockée dans une zone sécurisée (dans le cas où c’est l’OS qui gère) qui n’est pas accessible à un processus n’ayant pas un niveau de privilèges très élevé.

Et la clé est bien entendu stockée chiffrée, et pour la déchiffrer il faut aussi récupérer la clé de chiffrement, qui est dérivée du code PIN (donc il le faut) et si possible d’une clé matérielle (c’est notamment là qu’intervient la puce TPM quand il y en a une… et voler la clé d’une puce TPM, c’est vraiment pas chose facile : même l’OS n’a pas accès aux clés privés du module TPM, quand elles sont utilisées elles sont stockées dans une enclave sécurisée de la mémoire). En l’absence de TPM, d’autres identifiants hardware peuvent éventuellement être utilisés dans le chiffrement de la clé pour s’assurer qu’elle ne soit pas déchiffrable/utilisable facilement sur une autre machine.

Oui. Mais du coup uniquement à la première connexion. Alors que si on continue à se connecter avec le mot de passe, il peut être récupéré à chaque connexion. Et si on choisi « maintenir la connexion » pour ne pas avoir à saisir le mot de passe à chaque fois, là le site va déposer un cookie dans le navigateur, ce qui n’est pas du tout sécurisé (stocké non chiffré par défaut, accessible à n’importe quel processus et généralement réutilisable sur n’importe quel autre navigateur ou client HTTP)

Le code PIN peut être à plus de 4 caractères et contenir autre chose que des chiffres. On peut aussi le remplacer par d’autres modes d’authentification (biométrie, clé physique…).

Et comme ce code est le même partout, même s’il ne fait que quelques caractères, l’utilisateur va très vite prendre l’habitude de le taper très vite, rendant difficile sa mémorisation pour un observateur… J’ai déjà fait le test avec des collègues, mon PIN à 8 chiffres, aucun n’a réussi à me donner plus que les 3 premiers chiffres dans l’ordre… d’autant plus difficile qu’avec l’habitude on n’utilise même pas forcément le même doigt pour taper un même chiffre selon sa position : en faisant mon geste au ralenti je me suis rendu compte que sans même le faire consciemment, les deux chiffres en double dans mon PIN ne sont pas tapés deux fois avec le même doigt quand je tape vite…

Alors pour ça, tu sais, y a un truc qui a été inventé il y a fort longtemps : le gestionnaire de mots de passe… Un truc qui est de toute façon indispensable aujourd’hui si tu veux un minimum de sécurité, parce qu’on a tellement de comptes en ligne qu’il est humainement quasiment impossible de retenir tous les mots de passe…

En outre, la plupart des services en ligne ont des procédures de réinitialisation en cas de mot de passe perdu, donc la perte du mot de passe n’est que rarement synonyme de perte irréversible de l’accès au compte…

1 « J'aime »
36

Quand je paye sur amazon avec ma CB, je dois entrer un code à 8 chiffres envoyé par SMS par ma banque, et depuis peu, ensuite aussi entrer mon pin à 8 chiffres d’accès à mon compte bancaire en ligne, tout ceci sur une page de paiement générée par ma banque, avec le même clavier virtuel aléatoire que pour le site de ma banque.

Bref, je pense que ce n’est pas amazon qui décide de ça, mais ta banque.

37

Merci @MattS32 pour votre réponse.

  1. Donc contrairement à ce que je disais et d’aprés vous, il ne suffit pas uniquement d’avoir la clé chiffré et le code PIN pour pouvoir « déchiffrer » l’accès au compte sur une autre machine. Autrement dit, il faut encore « autre chose » qui appartient uniquement à la machine source et que la machine cible n’a pas, et ce « quelque chose » est difficile à « trouver / copier » sur la machine source et / ou à « émuler » sur la machine cible. Ai-je bien compris le principe ?
  1. Effectivement !
  1. Ne peux-ton pas créer 2 codes PIN différents sur 2 machines différentes, pour l’accès à un même compte en ligne ?
  1. Le fait de taper le même code PIN tout le temps et pour tout les comptes, peux aussi faciliter ( par multiplication ) son interception …
  1. Moi j’utilise « un algo mémo » basé sur l’Url et le Username, certes surement moins complexe qu’un pass généré par un gestionnaire, mais il ne reste du coup que dans ma tête. Il peut être facile avec un accès machine d’accéder à tous les mots de passe d’un gestionnaire qui se trouvent du coup au même endroit, non ?. Cela peut être dommage d’avoir le mot de pass compte bien crypté quelque part via le Pin, mais potentiellement facilement accessible via l’accès a un gestionnaire de mot de passes une fois logué sur la machine, non ?
  1. Effectivement ! sauf si l’on fait comme @frigolu :face_with_diagonal_mouth:

En attendant votre réponse,
Merci pour ces premiers éclaircissements.

38

Oui, si TPM ou équivalent est utilisé pour la sécurisation de la clé d’accès. Mais ça ne sera pas forcément toujours le cas. C’est le cas sur les smartphones dotés d’une enclave sécurisée (iPhone, Pixel, mais sans doute aussi la plupart des Android de dernières années, en particulier sur le haut de gamme). À priori aussi oui si on utilise Windows Hello ou l’équivalent sous macOS. Non par contre si on utilise une solution comme un gestionnaire de mot de passe pour partager les clés d’accès entre plusieurs machines : de fait dans ce cas le stockage doit se faire indépendamment de la machine.

Oui, par partout j’entendais « partout sur la machine ». Sur deux machines différentes, on peut effectivement utiliser deux PIN différents si on le souhaite.

Si cet algo est suffisamment simple pour être mémorisé, il y a un risque que quelqu’un qui met la main sur un ou éventuellement plusieurs de tes mots de passe puisse comprendre l’algo et générer les autres… Je fait ça aussi pour les quelques sites les plus importants (mail notamment), mais j’ajoute une petite part de cryptographie (4 à 8 caractères en plus) que je mémorise et que j’enregistre dans mon gestionnaire de mot de passe sans le préfixe « algo mémo ». Pour les sites moins important, c’est 100% cryptographique et stocké dans le gestionnaire.

Un bon gestionnaire de mots de passe stocke de manière chiffrée et ne se déverrouille, avec son propre mot de passe + de préférence du 2FA, que quand c’est nécessaire (et les clés d’accès permettent de réduire la fréquence à laquelle on déverrouille le gestionnaire de mots de passe). Bien sûr il y a toujours un risque supplémentaire par rapport à des mots de passe uniquement dans la tête de l’utilisateur (mais en contrepartie, il limite le risque de vols de mots de passe par keylogger, avec la saisie automatique). Mais c’est vraiment ingérable autrement quand on a énormément de mots de passe.

Oui bien sûr, il faut s’assurer que les procédures de récupération restent opérationnelles… Pour ma part je tiens à jour une base contenant tous mes comptes et les infos qui y sont associées : adresse mail, adresse physique, numéro de téléphone, numéro de CB, RIB. Ainsi quand l’une de ces données change, en deux clics je sors la liste de tous les comptes associés et je peux aller les mettre à jour.

1 « J'aime »
39

Bonjour @MattS32 et merci à nouveau pour votre réponse.

  1. Ok !
  1. Je ne savais pas que cela pouvait ce faire. Dans ce cas la, le chiffrement de la clé repose uniquement sur le code PIN je suppose ? Est-ce que cela ne réduit pas la sécurité de ce mode de fonctionnement « PassKey » de fait ?
  1. Effectivement, mais du coup je me posais aussi la question. :slightly_smiling_face:
  1. Effectivement, je pense que dans mon cas il faudra récupérer plusieurs couple ( Url / Login / Pass ) et un peu d’imagination pour arriver à le deviner.
  1. J’avais testé Bitwarden à un moment, il faudrait que je le réinstalle alors pour revoir tout cela. Vous voulez dire qu’a chaque connection sur un site vous tapez le mot de passe maitre du gestionnaire + le code 2FA ? mais de quelle clés d’accès pour réduire la fréquence parlez-vous ? je pense que n’ai pas bien compris toute cette partie. :roll_eyes:
  1. Ah cela je ne le savais pas ! Je pensais qu’un keylogger pouvais aussi enregister la saisie automatique fait par un gestionnaire de mots de passe. Bon à savoir …
  1. Ce n’est pas bête.
  1. Je fais aussi un peu cela, mais en moins évolué que vous, il faudra un jour que je pense à l’améliorer. :slightly_smiling_face:

Merci en tout cas pour votre temps et toutes ces explications bien utiles.
En attendant vos nouvelles précisions.

Cordialement,

40

Oui, c’est moins sûr que si c’est stocké par le gestionnaire de l’OS. Mais ça n’est pas moins sûr qu’un mot de passe stocké dans le même gestionnaire de mots de passe.

Oui sur mes PC. Sur le téléphone, c’est juste avec mon empreinte par contre.

Avec les clés d’accès, on se connecte moins souvent avec le mot de passe. Donc on déverrouille moins souvent le gestionnaire de mot de passe (si on stocke les clés d’accès au niveau de l’OS, pas dans les gestionnaire de mots de passe…), ce qui limite le risque que son mot de passe maître soit volé.

Non, il ne peut pas. Par contre il peut y avoir d’autres logiciels malveillants (sous forme d’extension du navigateur) qui peuvent arriver à choper la saisie automatique. Mais pas un simple keylogger.

1 « J'aime »
41
  1. Ok.
  1. Ok.
  1. D’accord.
  1. Effectivement puisque l’on déverrouille à chaque fois avec le PIN dans Windows Hello, si j’ai bien compris.

Et bien encore merci pour toutes ces explications.
Je pense que l’on a vraiment fait le tour du sujet.

Une nouvelle fois merci, et très bonne journée à vous.
Rainforce :wink:

42

Pas très fiable comme source :slight_smile:
On est en 2023, déverrouiller son tel c’est instantané maintenant que ce soit via l’empreinte ou via reco faciale (sauf si t’as plus de doigts ou plus de tete).

Mais par contre comparer un système d’authentification tel que celui présenter avec de l’installation de contrôle d’accès/surveillance de bâtiment sans vouloir manquer de respect à personne chacun son domaine de compétence.