- Communauté Orange
- ➔
- Vos idées
- ➔
- Sécuriser le compte de l'utilisateur
- S'abonner au fil RSS
- Marquer comme nouveau
- Marquer comme lu
- Marquer
- S'abonner
- Page imprimable
- Signaler
Sécuriser le compte de l'utilisateur
Bonjour
On observe de plus en plus de piratages de la messagerie.
Or le compte de l'utilisateur ne dispose d'aucune protection spécifique.
Le piratage de la boite mail (déjà inquiétant) suffit pour pirater le compte lui-même.
Le compte donne accès à des services de paiment sur internet ; le piratage de la boite mail donne accès au portefeuille du client attaqué, et là Orange doit impérativement une protection.
Les pirates cherchent les mots de passe des boites mail dont ils connaissent les adresses (on ne publie pas son adresse mail sur un site public, comme un forum, un site web, ...), et, quand ils l'ont enfin trouvé ils l'utilisent pour inonder les contacts présents dans le compte avec des messages de SPAM, de phishing ou toute autre arnaque du genre "... je suis perdu, au milieu d'un territoire isolé, on m'a tout volé, envoie mao des sous a l'ordre du patron de mon hotel par la western Union ...".
Ils suppriment parfois les contacts.
En général le changement du mot de passe bloque cette situation et l'utilisateur retrouve l'usage de sa boite mail et de son compte.
Mais il y a pire :
Le Vol de compte
Là, le pirate va plus loin, il intervient dans les données administratives du compte, il peut changer
- le mot de passe
- l'adresse mail de contact
- le numéro de tel portable du contact
Et quand il a fait tout ça il est maitre du compte.
Il est même possible de changer l'adresse mail du compte.
C'est le : vol du compte.
Il est important qu'Orange supprime cette possibilité.
Le principe de base serait de sécuriser différemment la boite mail et le compte.
Ainsi les données administratives du compte ne pourraient plus être modifiées, le vol de compte serait alors impossible.
Quelques axes de solutions, à optimiser bien évidemment, mais j'espère que parmi ces propositions certaines pourraient être mises en oeuvre sans impliquer une refonte complète de l'architecture de sécurité déjà mise en place. Lors d'une refonte de la sécurité, il serait opportun d'utiliser une authentification complémentaire basée sur une donnée qui ne transite pas en ligne (le num de client, par hasard)
Demander une confirmation par un SMS ou un mail sur le mail de contact avant d'autoriser l'accès aux données du compte.
D'autres outils sont disponibles comme :
- ne rendre l'accès au compte possible que depuis la ligne de l'abonné
- ne rendre l'accès au compte que depuis un ou plusieurs ordinateurs donnés
- restreindre l'accès au compte aux seules lignes Orange
De nombreux réseaux et services permettent de consulter les dernières connexions au compte.
Pourquoi Orange ne permettrait-il pas de tracer les accès au compte sans possibilité d'effacement, évidemment.
Facebook, Microsoft et Google ont déjà bien progressé dans la protection de leurs utilisateurs, pourquoi Orange en est toujours au même stade qu'au siècle passé !
Oui je sais je charie, mais c'est bien là le problème, la piraterie a évolué, pas la protection.
Merci d'avance de vos propositions, vos top (pour attirer l'oeil d'Orange) et vos réactions.
PhilDur
Merci de poster ici des commentaires directement liés à cette proposition.
Pour ajouter un commentaire ici, vous devez être inscrit. Si vous êtes déjà inscrit, connectez-vous. Dans le cas contraire, inscrivez-vous puis connectez-vous.