sujet Re: L'authentification à 2 facteurs est-elle efficace pour protéger les boîtes mail ? dans protéger mes données et mon accès internet

L'authentification à 2 facteurs est-elle efficace pour protéger les boîtes mail ?

chlchl — Sun, 22 Jan 2023 10:30:06 GMT

Bonjour,

J'ai un compte orange avec une boîte mail associée. Depuis plusieurs années, j'ai ajouté cette boîte dans Outlook, ce qui m'évite de me connecter au portail orange quand je veux consulter mes mails.

Hier, J'ai protégé l'accès à mon compte avec l'authentification à 2 facteurs (2FA). Quand je me connecte au compte sur le portail orange, je suis logiquement invité à entrer un code à 4 chiffres sur mon smartphone.

Par contre, quand j'ouvre Outlook, les mails continuent d'être automatiquement récupérés du serveur.

Cela veut-il dire que, dans l'absolu, quiconque possède l'email et le mot de passe d'un utilisateur qui a protégé son compte avec le 2FA peut quand même consulter les mails de cet utilisateur en ajoutant le compte de ce dernier dans un client de messagerie ?

Cordialement,

chl

Re: L'authentification à 2 facteurs est-elle efficace pour protéger les boîtes mail ?

fredolerouge — Sun, 22 Jan 2023 10:41:18 GMT

salut @chlchl

qu'as tu activé exactement ?

mobile connect ?

le cas échéant c'est tout sauf une authentification à deux facteurs, juste une facilité

Re: L'authentification à 2 facteurs est-elle efficace pour protéger les boîtes mail ?

chlchl — Sun, 22 Jan 2023 11:04:35 GMT

Oui, Mobile Connect.

Aucune véritable utilité, donc, pour une protection maximale de la boîte mail.

Pas sûr que tous les utilisateurs de Mobile Connect soient conscients de cette limite.

Or il semble techniquement possible de mettre en œuvre un authentification 2FA qui marche à la fois sur le portail et dans les clients de messagerie tiers. Le portail mail.com aux USA l'a fait.

"Two-factor authentication works in the mail.com mailbox on the web, in the mail.com Mail app as well as in third-party email programs."

En attendant qu'orange nous concocte quelque chose d'équivalent, un seul mot d'ordre: choisir un mot de passe en béton.

Re: L'authentification à 2 facteurs est-elle efficace pour protéger les boîtes mail ?

fredolerouge — Sun, 22 Jan 2023 11:09:46 GMT

re @chlchl

@PhilDur @Ancien Membre

effectivement, mobile connect ne sert à rien d'autre qu'à se faciliter la tâche en ne tapant qu'un code à quatre chiffre

et effectivement, je crains que ceux qui pensent sécuriser leur compte n'aient pas pas conscience du peu de sécurité que cette solution leur apporte réellement

nous sommes plusieurs ici à souhaiter une vraie double authentification, et mobile connect indique malgré tout que orange saurait faire

pourquoi ne l'a t'il pas fait ?

personnellement, j'ai ma petite idée, pour éviter les coups de fil au 3900 de Mme Michu ou de Mr Chombier qui aurait activé la double authentification au détour d'un clic et ne saurait pas s'en sortir

exemple vécu un jour chez mes parents (75 et 73 ans), en panique d'avoir activé mobile connect

Re: L'authentification à 2 facteurs est-elle efficace pour protéger les boîtes mail ?

PhilDur — Sun, 22 Jan 2023 11:42:49 GMT

Bonjour @chlchl

@chlchl a écrit :

...J'ai protégé l'accès à mon compte avec l'authentification à 2 facteurs (2FA). ....

Ca n'existe pas chez Orange

...Quand je me connecte au compte sur le portail orange, je suis logiquement invité à entrer un code à 4 chiffres sur mon smartphone. ...

Ca ne constitue pas du 2FA

Par contre, quand j'ouvre Outlook, les mails continuent d'être automatiquement récupérés du serveur.

Cela veut-il dire que, dans l'absolu, quiconque possède l'email et le mot de passe d'un utilisateur qui a protégé son compte avec le 2FA peut quand même consulter les mails de cet utilisateur en ajoutant le compte de ce dernier dans un client de messagerie ?

Mobile Connect d'Orange n'est pas une authentification à deux facteurs stricto sensu.

C'est une connexion rapide, presque bien protégée.

Ca ressemble à du 2FA

Ca utilise le mobile

Ca peut être contourné

On peut se connecter avec le mot de passe même si la protection est activée.

Par contre, quand j'ouvre Outlook, les mails continuent d'être automatiquement récupérés du serveur. "

N'est pas une anomalie.

Outlook ne se connecte pas de la même manière.

Outlook utilise le protocole POP ou IMAP.

Pour accéder au serveur POP ou au serveur IMAP il utilise la ligne sous SSL, chiffrement et authentification des partenaires (c'est un tunnel sécurisé), il y a authentification par mot de passe.

L'authentification 2FA d'Orange ne concerne pas la messagerie

L'authentification 2FA d'Orange ne concerne que le web

L'authentification 2FA d'Orange n'est utilisable qu'avec une SIM Orange

L'authentification 2FA d'Orange est contournable

L'authentification 2FA d'Orange n'est pas du 2FA

A ma connaissance seul Google propose un protocole de connexion à sécurisation renforcée pour les accès à POP, IMAP et SMTP.

Ce protocole OAuth2 est implémenté dans Thunderbird, probablement dans Outlook, mais je ne me suis jamais posé cette question pour Outlook (Devant la simplicité de Thunderbird, j'ai migré d'Outlook à Thunderbird depuis longtemps).

Mon souhait pour le futur

Il serait souhaitable que l'état impose aux FAI Français et aux fournisseurs de webmails accessibles en France d'utiliser une authentification à deux facteurs vraie.

Et pour les accès mail directs qu'un protocole renforcé comme OAuth soit obligatoire

En attendant je réitère ma demande à court terme :

M. et Mme Orange, s'il vous plait, exigez une réelle authentification forte dès que votre client dépose des fiches contact dans son dossier Contacts qui est accessible depuis le web ; actuellement il sert principalement à alimenter la cybercriminalité en adresses mail vérifiées prêtes à être piratées.

Cordialement

PhilDur

Re: L'authentification à 2 facteurs est-elle efficace pour protéger les boîtes mail ?

Daniel35 — Tue, 24 Jan 2023 08:45:53 GMT

Bonjour . @chlchl

Je plussoie les avis déjà exprimés.

Juste pour enfoncer un peu plus le clou :

Mobile connect est sensé prévenir les utilisateurs par SMS si un "intrus" se connecte au compte directement avec le mot de passe. Comme l'a dit @PhilDur MC ne fonctionne qu'avec le webmail.

Or les pirates utilisent un logiciel de messagerie pour siphonner la boîte du compte piraté. Pas de SMS dans ce cas.!!!

Comme déjà dit : MC c'est du confort. Pas de la sécurisation.

Cordialement
Daniel35
.