sujet Re : Double authentification ? dans mon mail Orange

Double authentification ?

Bouls — Thu, 14 Aug 2014 08:27:08 GMT

Bonjour, j'aimerais savoir si Orange pratique la double authentification ? C'est à dire : recevoir un sms par exemple ( avec un code ) en cas de connexion sur le mail pour permettre cette connexion ?

Merci d'avance

Re : Double authentification ?

PhilDur — Thu, 14 Aug 2014 09:16:16 GMT

Bonjour Bouls

@Bouls a écrit :
Bonjour, j'aimerais savoir si Orange pratique la double authentification ? C'est à dire : recevoir un sms par exemple ( avec un code ) en cas de connexion sur le mail pour permettre cette connexion ?

Merci d'avance

Pas en procédure normale.

Par contre ça peut être utilisé pour t'envoyer un mot de passe perdu.

Cette procédure est souvent utilisée par les sites de paiement bancaire pour vérifier l'identité du payeur.

(protection contre le vol de carte)

Re : Double authentification ?

Bouls — Thu, 14 Aug 2014 20:30:59 GMT

Ah oui, ça ne m'intérésse pas ça je veux juste pas qu'on puisse se connecter si jamais on trouve mon mot de passe ( par virus ou autre )

Re : Double authentification ?

Ancien Membre — Fri, 15 Aug 2014 04:10:07 GMT

Bonjour Bouls,

La meilleure des protections, c'est d'utiliser un mot de passe fort (lettres+chiffres+caractère spécial) et surtout de ne rien laisser à portée des pirates sur le serveur Orange. Ni mails, ni contacts.

Utilises-tu un logiciel client de messagerie ? Si ce n'est pas le cas, tu ferais bien de t-y mettre pour appaiser tes craintes.

Re : Double authentification ?

PhilDur — Fri, 15 Aug 2014 08:31:37 GMT

Bonjour Bouls

Je n'avais pas bien compris ta question, désolé.

Cela dit je ne connait aucun site destiné au grand public qui pratique ce genre de sécurité.

Je suis preneur de nom de sites , si tu en connais, juste par curiosité, j'aimerais voir comment ça fonctionne.

Du coup je vais me permettre un hors sujet qui m'est cher.

Le niveau de sécurité d'un système est limité par le maillon faible.

Voici quelques maillons affaiblissants :

L'utilisation du webmail est un autre exemple. L'ensemble des données du webmail est accessibles aux "e-cambrioleurs" 24/24 et 7j/7. Pour les mails, ce n'est en général pas très grave, la majorité de ce qu'on reçoit est composé d'une part de la pub, du spam ou du fishing, d'autre part de message sans importance autre qu'affective. Nous n'échangeons que très rarement des données ayant une importance vitale ou commerciale (je reste dans le cadre de la vie privée, les entreprises ont d'autres contraintes). Mais pour les contacts, là c'est très préoccupant : les dossiers de contacts des particuliers contiennent des listes d'adresses mail qui constituent des cibles pour le spam et autres e-cochoncetés.

Les comptes utilisateurs sont globalement des comptes "administrateurs".

Ce qui fait que leur navigateur hérite des droits "administrateurs", ce qui fait que les codes actifs (ActiveX, et scripts) contenus dans les pages visitées ont des droits administrateurs sur la machine du surfeur. Ils peuvent utiliser le meilleur pare-feu, ils font rentrer le loup dans la bergerie eux-même. Une mention spéciale à Ubuntu qui ne permet pas d'utiliser en permanence un compte administrateur et un autre à Microsoft qui le déconseille dans le panneau de configuration sur la page où il faut choisir (mais qui prend le temps de lire l'avertissement ?)

Les mots de passe faibles

Pour être certain de bien s'en souvenir de nombreux utilisateurs utilisent des mots de passe très personnel, dates de naissance, prénoms, plaque d'immatriculation. Le e-truands connaissent totes ces méthodes et pour chacune d'elle ont des outils appropriés. Mon exemple favori porte sur les dates de naissance : en moins de 36600 essais on trouve toutes les dates de naissances au format jjmmaaaa.

L'utilisations de logiciels copiés, ou de clés de licences copiées.

Ces comportements conduisent les utilisateurs à ne plus mettre à jour ces logiciels (les éditeurs ne peuvent pas bloquer les machines, mais ils repèrent vite les clés duppliquées), qui rapidement deviennent des passoires de sécurité. Pourquoi utiliser des copies d'Office quand LibreOffice fait la même chose gratuitement.

Et, là, tu nous parles de double authentification, tu as raison, mais la réponse de @Ancien Membre me semble suffire, arrêtons d'utiliser des mots de passe à la khon :smileytongue: et la protecyoion sera déjà bien améliorée.

Le pire sur ce forum : de nombreux utilisateurs accusent les opérateur d'être responsables du spam et des attaques. Ils pourraient certainement blinder encore plus la sécurité, mais les faiblesses viennent des sécurité les plus faibles : des utilisateurs eux même. Les vols de fichiers chez les opérateurs relèvent du banditisme organisé et mobilise des équipes de cyber-flics privés ou de l'état qui n'ont malheureusement pas toujours les moyens de la mafia.

Tout ceci ne te concerne certainement pas, mais je suis prêt à parier que ton compte utilisateur est un compte administrateur, sauf si tu utilises Ubuntu.

Cordialement

Re : Double authentification ?

Bouls — Mon, 18 Aug 2014 12:38:08 GMT

Gmail l'utilise (www.xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx )

Concernant mon mot de passe je pense qu'il est assez sécurisé, mais il suffit d'un cheval de troie, d'un keylogger ou autre. Que mon mot de passe soit 1234 ou pluscompliqué ne changerait rien dans ce cas

Et non papou22, j'utilise le webmail d"orange

[EDIT : Merci de ne pas faire de publicité]

Re : Double authentification ?

PhilDur — Fri, 15 Aug 2014 12:50:20 GMT

Salut Bouls

Ce n'est pas exactement de la double authentification.

Il y a une étape complémentaire qui consiste à faire authentifier certaines machines et qui auront des droits révocables pour certains services.

Monsieur ou Madame, le censeur, il n'y avait aucune publicité dans le mail de Bouls. Moins en tout cas que la mention Lithium en bas de chaque page de ce forum. Celle ci ne me gène pas.

Ce que tu décrivais est réellement de la double authentification

1 tu te connectes classiquement

2 le serveur dispose d'un autre canal pour vérifier que c'est bien toi qui a traité l'étape 1

Mais sur un service grand public ça fait repoussoir.

L'utilisation de ssl est généralement préférée ; mais elle a un coût car les certificats ssl sont payants et ont des durées de vie limitées.

Mais, c'est déjà pas mal.

Merci pour le tuyau

Re : Double authentification ?

PhilDur — Fri, 15 Aug 2014 13:05:52 GMT

Bonjour

Je viens d'aller faire un tour chez un opérateur de messagerie mondial qui diffuse un logiciel pour téléphones dont l'icone est un petit bonhomme qui ressemble furieusement à R2D2 :robottongue:

J'ai regardé et lu leur principe de double authentification.

C'est très bien et ça me plairait bien d'en disposer pour mon compte Orange.

Le fait d'authentifier une fois pour toutes une machine implique d'assumer le risque de vol de ladite machine.

Merci @Bouls

Re : Double authentification ?

Ancien Membre — Fri, 15 Aug 2014 13:46:10 GMT

@Bouls a écrit :
.../...
Et non papou22, j'utilise le webmail d"orange
.../...

Et bien toi qui sembles concerné par la sécurité, tu prends des risques et tu en fais prendre à tous ceux qui sont dans tes contacts. C'est pourtant si facile de mettre tout ça chez toi, sur ton PC, à l'abri derrière ton firewall !

Pourquoi chercher midi à quatorze heures ?

Re : Double authentification ?

Bouls — Fri, 15 Aug 2014 14:27:22 GMT

Je ne comprend pas la différence de se connecter sur le webmail d'orange ( donc via le site officiel ) et via un logiciel. Ca ne reste pas pareil ?

Et pas de problème PhilDur, j'aimerais bien avoir ça aussi sur mon mail Orange, je pense que ce n'est pas compliqué à faire pour eux

Re : Double authentification ?

PhilDur — Fri, 15 Aug 2014 15:06:05 GMT

Ben non, c'est fondamentalement différent

@Bouls a écrit :
Je ne comprend pas la différence de se connecter sur le webmail d'orange ( donc via le site officiel ) et via un logiciel. Ca ne reste pas pareil ?

Et pas de problème PhilDur, j'aimerais bien avoir ça aussi sur mon mail Orange, je pense que ce n'est pas compliqué à faire pour eux

Déjà le mode de connexion : pas de double authentification pour le webmail, on vient d'en parler alors que pour les clients de messagerie on peut utiliser une authentification.

Mais ce n'est pas ce point qui est fondamental.

Si tu utilises un client de messagerie, tu peux ne rien laisser sur le web.

Ton courrier, mais en général le courrier des particulier n'est pas très chaud ... quoique parfois !

Ton carnet d'adresses, et là c'est plus critique. Il est bien plus facile pour les e-truands de remonter de carnet d'adresse en carnet d'adresse que de réussir un coup de temps à autre chez un opérateur.

Qu'on soit bien clair, on ne parle pas du carnet d'adresse de toi, ou de n'importe quel passionné, curieux, conscient et informé, mais de la grande majorité des internautes qui n'ont aucune idée de "comment ça marche" et pour qui un éditeur sort régulièrement des bouquins jaunes "La xxxxxx-ique pour eux" ;-).

On ne les trouve pas au "Monde en tique"

Le e-pirates raffolent des dossiers de contacts et autres carnets d'adresse. Ils contieenent de par la toile de milliards d'adresses mail à spammer et qui plus est sont des identifiants de comptes pour plus de la moitié d'entre elles.

J'aimerais bien que les mots de passe des comptes des utilisateurs soient évalués par les logiciels des opérateurs et qu'une note de solidité leur soit donnée et mémorisée (lecture-seule) dans le profil de l'utilisateur, la date de dernier changement pourrait intervenir dans la note.

Les services rendus par l'opérateur ne pourraient être accessibles que si une note de sécurité minimale est atteinte par la protection gérée par l'utilisateur.

Un compte dont le mot de passe est "Marignan1515" et n'a pas été changé depuis 3 ans est-il réellement protégé ?

Le carnet d'adresse est en ligne 24h/24 et 7j/7, tous les contacts de cet internaute imprudents sont menacés très fortement d'e-attaques.

L'accès au carnet d'adresse ne devrait plus être permis, une réauthentification et un changement de mot de passe me semble un minimum.

Les opérateurs sont victime de banditisme et ils luttent contre avec plus ou moins de succès, mais une grande majorité d'utilisateurs ne sait même pas qu'elle met la confidentialité des autres en utilisant un dossier contact accessible aux e-truands.

Les clients de messagerie permettent au moins de soustraire les contacts aux pirates.

Pour un entreprise un produit comme Office (avec outlook) peut représenter une solution envisageable.

Pour les particuliers et les petites (très petites) entreprises Thunderbird permet de mettre à l'abris une des données clé d'une famille ou d'une PME.

Re : Double authentification ?

Ancien Membre — Fri, 15 Aug 2014 16:07:23 GMT

Re-bonjour @Bouls ,

La différence, c'est que le logiciel stocke tout (mails et contacts) chez toi, sur ton PC, derrière un parre feu, alors qu'en webmail, ceux-ci sont en self service du premier pirate de passage, sur le site Orange. Une bricole, quoi. Du point de vue sécurité, ça fait toute la différence

De plus, les différences fonctionnelles sont là :

http://communaute.orange.fr/t5/mon-mail-Orange/Outlook/m-p/161769#M6496

Re : Double authentification ?

gecko — Fri, 15 Aug 2014 16:37:39 GMT

Salut bouls,,

je ne sais pas ce que tu feras de tous ces conseils pertinents au demeurant

simplement, si tu choisis d'utiliser un logiciel de messagerie, saches que en cochant laisser une copie sur le serveur de celui ci, tu pouras à la fois consulter de puis le webail et depuis le logiciel

pour les contacts du webmail vulnérables selon papou22 et Phildur, il suffit de les effacer du webmail après les avoir transféré dans le logiciel

Re : Double authentification ?

Ancien Membre — Sat, 16 Aug 2014 06:43:15 GMT

Salut @gecko ,

Je sais que c'est ton dada, mais en l'occurrence, si on laisse les mails sur le serveur, retour à la case départ : les mails sont piratables et on prend des risques. Alors oui, il faut le faire pour y accèder à partir d'autres équipements, mais le moins possible; et surtout, mettre une date d'expiration suffisamment courte pour que le risque soit limité : une semaine, par exemple. De plus, si on ne met pas de date d'expiration des mails sur le serveur, on aura un jour une situation de boite pleine.

Quand tu recommandes de laisser les messages sur le serveur ça vaut le coup de mentionner que ce n'est utile que dans deux cas :

- Accéder à ses anciens mails ("reçus" uniquement) quand on n'est pas sur son ordinateur mais sur celui de quelqu'un d'autre

- Lire les même mails à partir de différents équipements (ordi + tablette + smartphone)

Si on n'a pas besoin de ça, on ne laisse rien sur le serveur.