Sécuriser le compte de l'utilisateur

PhilDur · ‎14-10-2016

Bonjour

On observe de plus en plus de piratages de la messagerie.

Or le compte de l'utilisateur ne dispose d'aucune protection spécifique.

Le piratage de la boite mail (déjà inquiétant) suffit pour pirater le compte lui-même.

Le compte donne accès à des services de paiment sur internet ; le piratage de la boite mail donne accès au portefeuille du client attaqué, et là Orange doit impérativement une protection.

Les pirates cherchent les mots de passe des boites mail dont ils connaissent les adresses (on ne publie pas son adresse mail sur un site public, comme un forum, un site web, ...), et, quand ils l'ont enfin trouvé ils l'utilisent pour inonder les contacts présents dans le compte avec des messages de SPAM, de phishing ou toute autre arnaque du genre "... je suis perdu, au milieu d'un territoire isolé, on m'a tout volé, envoie mao des sous a l'ordre du patron de mon hotel par la western Union ...".

Ils suppriment parfois les contacts.

En général le changement du mot de passe bloque cette situation et l'utilisateur retrouve l'usage de sa boite mail et de son compte.

Mais il y a pire :

Le Vol de compte

Là, le pirate va plus loin, il intervient dans les données administratives du compte, il peut changer

le mot de passe
l'adresse mail de contact
le numéro de tel portable du contact

Et quand il a fait tout ça il est maitre du compte.

Il est même possible de changer l'adresse mail du compte.

C'est le : vol du compte.

Il est important qu'Orange supprime cette possibilité.

Le principe de base serait de sécuriser différemment la boite mail et le compte.

Ainsi les données administratives du compte ne pourraient plus être modifiées, le vol de compte serait alors impossible.

Quelques axes de solutions, à optimiser bien évidemment, mais j'espère que parmi ces propositions certaines pourraient être mises en oeuvre sans impliquer une refonte complète de l'architecture de sécurité déjà mise en place. Lors d'une refonte de la sécurité, il serait opportun d'utiliser une authentification complémentaire basée sur une donnée qui ne transite pas en ligne (le num de client, par hasard)

Demander une confirmation par un SMS ou un mail sur le mail de contact avant d'autoriser l'accès aux données du compte.

D'autres outils sont disponibles comme :

ne rendre l'accès au compte possible que depuis la ligne de l'abonné
ne rendre l'accès au compte que depuis un ou plusieurs ordinateurs donnés
restreindre l'accès au compte aux seules lignes Orange

De nombreux réseaux et services permettent de consulter les dernières connexions au compte.

Pourquoi Orange ne permettrait-il pas de tracer les accès au compte sans possibilité d'effacement, évidemment.

Facebook, Microsoft et Google ont déjà bien progressé dans la protection de leurs utilisateurs, pourquoi Orange en est toujours au même stade qu'au siècle passé !

Oui je sais je charie, mais c'est bien là le problème, la piraterie a évolué, pas la protection.

Merci d'avance de vos propositions, vos top (pour attirer l'oeil d'Orange) et vos réactions.

PhilDur

Merci de poster ici des commentaires directement liés à cette proposition.

JuanLucas38 · ‎03-02-2018

Bonjour,

Dans une des porpositions il y avait celle de pouvoir accéder au compte Orange que depuis une ligne Orange.

A mon avis ça ne doit pas être très compliqué à faire, pas très "onéreux" et ça filtrerai déjà pas mal les attaques.

ABBZH · ‎02-03-2018

Bonjour,

Moi aussi j'ai parlé de se sujet à Orange mais ils doivent fumer la moquette car rien ne change.

J'avait proposé une double authentification par SMS ou code par Application (Google Authenticator ou Microsoft Authenticator).

Daniel35 · ‎04-03-2018

Hello @PhilDur

Je découvre ton post sur la sécurisation d'accès à l'espace client via le compte mail principal.

Je "plussoie" à ta demande qu'Orange mette en place une double authentification pour l'accès à cet espace client, où l'on a accès à trop d'informations et actions (*) sensibles, et trop dépendant du risque du piratage de son compte mail principal.

D'autres opérateurs et organismes le font.
Il serait temps qu'Orange s'y mette.

Cordialement
Daniel35

(*) dont la commande/cativation de carte SIM pour les offres groupées internet + mobile. Un article de Que choisir en parle / piratage carte.

JuanLucas38 · ‎22-04-2018

Bonsoir @PhilDur

Salut @Daniel35

C'est re-moi.

Jusqu'à fin mars 2018 j'utilisais un PC avec un compte local. Depuis début Avril je me suis laissé persuadé par mon fils de basculer sur un compte Microsoft

Quel bonheur car tout se synchonise d'un PC à l'autre etc... par contre c'est bardé de sécurité, la moindre connexion au compte par quel biais que ce soit et le smartphone n'arrete plus de vibrer, c'est pénible à la longue mais archi super hyper rassurant. Par contre on ne fait plus rien sans smartphone mias qui de nos jours ne se balade pas toute la journée avec son appareil.

Qu'Orange prenne un peu de la graine sur Microsoft pour ce qui est sécurité. Ils ont certainement des failles mais j'ai fais parti pendant environ 1 an sur un forum d'entre-aide (idem que celui-ci) mais chez Microsoft et je n'ai jamais vu un seul post relatant un problème de piratage.

Donc OK pour qu'Orange blinde aussi bien l'accès au compte (ça reste la priorité) mais je pense que dans la foulée, car une fois la sécurité mise en place pour l'accès au compte, elle peut être répliquée pour la messagerie.

Maintenant ce que j'en dis............

Morice22 · ‎23-04-2018

@PhilDurBonjour,

Merci pour ce post très intéressant, je me sentais bien seul quand je disais qu'Orange devait mieux sécuriser les accès aux comptes.

Je suis d'accord avec vous à 100%.

Bonne journée

Mécontentement7 · ‎04-05-2018

il est invressemblable que un tracqueur puisse pirater un compte ou messagerie Orange et que la dite société Orange ne puisse rien faire !!! car quand les obonnés paient leurss factures c'aussi pour une protection maximum par Orange de ce genre de mauvaise surprise . si cela m'arrivais je pense que je changerai immédiatement de fournisseur internet et telephone .

papou22 · ‎17-08-2018

Bonjour,

Idée complémentaire à cette suggestion très oportune et malheureusement restée lettre morte jusqu'ici :

Orange devrait envoyer un mail vers l'adresse du compte principal (et un SMS quand un mobile de récupération est renseigné) de NOTIFICATION à chaque modification d'un paramètre quelconque (redirection, adresse de récupération, mobile de récupération, mot de passe,etc...) dans les préférences et dans l'espace client et changement effectif seulement après confirmation.

Quelque chose du genre :

"Nous avons bien enregistré votre demande de re-direction de vos mails vers l'adresse tatempion@gmail.com

(Message à adapter à chaque cas de changement de paramétre)

Cette demande sera traitée et effective suite à une confirmation de votre part en réponse à ce mail ou SMS. A défaut de confirmation de votre part dans les 24 heures, elle sera rejetée.

Si cette demande de modification de paramétrage n'est pas de votre fait, veuillez changer de toute urgence votre mot de passe de compte principal et contacter le service client au 3900 ou par eChat."

La mise en place de ce système empècherait à elle seule la majorité des cas de piratage de compte.

Les meilleures idées

Des TopMembres pour vous aider

Déjà 754625 membres inscrits 🧡

2368 personnes actuellement en ligne