internet & fixe mon mail Orange

Voir tous les sujets internet & fixe

Bonjour . @JC13 

. @fredolerouge  . @PhilDur . @papou22  . @johann 

Ça ne sent pas bon tout cette affaire.!

Première fois, à ma connaissance,  où est évoquée par ici cette demande répétée de code Mobile connect non provoquée par le titulaire.

J'espère que ça ne préfigure pas une nouvelle forme d'arnaque qui va se généraliser. Il suffit d'un moment d'inattention, on saisit le code 4 chiffres, et le pirate prend la main sur le compte.

J'espère me tromper.

Encore un effet pervers de Mobile connect qui n'est pas une authentification 2 FA.

Car avec une vraie 2FA, la demande de code suit, en toute connaissance de cause, la saisie du mot de passe.! Et seulement dans ce cas.

Cordialement
Daniel35
.

Bonjour @JC13 ,

Depuis que nous utilisons Mobile Connect sur deux lignes, ce problème s'est produit une ou deux fois. Alors il se peut que ce soit effectivement une tentative d'intrusion, auquel cas il faut tout de suite avoir le bon réflex afin d'annuler la demande sur son mobile, sans quoi, patatras... Et sur ce point, surtout ne jamais valider la validation de Mobile Connect en un clic (mais je crois que cette option de Mobile Connect n'est plus proposée au moment de la souscription au service, notamment à cause de cela il me semble, et désormais le code à quatre chiffre est forcément obligatoire).

Il se peut aussi que ce soit le simple fait d'une erreur de saisie du numéro de ligne d'un autre client utilisant lui aussi Mobile Connect, auquel cas, là aussi, il faut avoir le bon réflex ; il n'est d'ailleurs pas rare qu'une personne qui commet se genre d'erreur, la reproduise plusieurs fois avant de se rendre compte de sa bêtise, d'où la répétition de l'incident sans gravité...

Mais en effet, une vraie 2FA solutionnerait efficacement ce problème ; là, si une demande est faite à Mobile Connect, on saura alors tout de suite que quelqu'un a d'ores et déjà trouvé le mot de passe qu'il faudra alors changer dans la foullée...

Et c'est tellement évident, qu'on se demande bien pourquoi Orange ne le fait pas... ça, plus une option permettant d'autoriser ou non tout accès à la messagerie via POP ou IMAP...

JusteEnPassant

salut @JusteEnPassant 

@Daniel35 

---

[...]

(mais je crois que cette option de Mobile Connect n'est plus proposée au moment de la souscription au service, notamment à cause de cela il me semble, et désormais le code à quatre chiffre est forcément obligatoire).

[...]

---

caramba encore raté !

c'est en fait tout l'inverse !

de base, le mot de passe seul est la règle, l'activation de mobile connect est simplement proposée lors de la connexion au portail, libre à chacun de l'activer ou non

partant de là :

- activer mobile connect sans activer la sécurité renforcée permet la saisie du code, mais permet toujours l'accès par mot de passe

- activer mobile connect avec la sécurité renforcée activée oblige la saisie du code pour un accès aux service orange

- en aucun cas mobile connect, avec ou sans sécurité renforcée n'empêche la connexion aux serveurs sur la seule base du mot de passe

là où on est d'accord, c'est que orange progresse, mais n'est pas encore en 2FA

tu sous estimes en revanche l'alerte que @JC13  a reçue, ce n'est pas une erreur, mais une tentative de piratage bien réelle

Bonsoir @fredolerouge ,

Non non, pas raté...

Lorsque j'écrivais "Mobile Connect en un clic", je voulais parler de la fonction Click OK de la Cardelet qui est une fonction jumelle de la fonction Code personnel (à 4 chiffre). On choisit soit l'une soit l'autre au moment du développement du site que l'on souhaite sécuriser via Mobile Connect. Dans le cadre du portail d'Orange, Click OK est désormais inactif et n'est plus proposé au moment de l'activation du service il me semble.

En fait cette fonction Click OK est trop instantanée : vous appellez une identification via Mobile Connect, et au lieu de vous demander votre code secret à 4 chiffres, le mobile vous propose deux réponses possibles sous la forme de deux boutons : refuser ou accepter.

Le souci de Click OK (en un clic donc), c'est que l'erreur est vite arrivée et dans le cas du problème évoqué par @JC13 , je pense qu'une telle fonction d'activation, sans aucun autre facteur d'identification placé en amont, tel un mot de passe ou mieux encore, la biométrie, aurait été bien trop dangereuse pour les utilisateurs. Et dans le cas d'une authentification à triple facteur, là par contre avec Click OK positionné en tant que troisième facteur d'identification, eh ! bien ce serait le Top !

Bonne soirée,

JusteEnPassant

Hello Merci à tous pour vos réponses.

C'est vrai que je vois plutôt une erreur de n° de mobile faite par un autre utilisateur.

Néanmoins il ne faut pas sous-estimer les arnaqueurs et suivre le conseil de fredolerouge.

Mon mot de passe est plutôt complexe (12 caractères, chiffres, lettres, majuscules, minuscules, caractère spécial); je vais par précaution le changer.

Bien cordialement

Ouah ! 12 caractères n'est plus du tout considéré comme un mot de passe fort en 2023 au regard de la vitesse des processeurs actuels !

Fixez en un de 30-36 caractères @JC13 !

Et ne fixez jamais les mêmes mots de passes pour tous vos sites ; un mot de passe différent par site !

Cordialement,

JusteEnPassant

Re . @JusteEnPassant 

---

@JusteEnPassant  a écrit :
...Et ne fixez jamais les mêmes mots de passes pour tous vos sites ; un mot de passe différent par site...

 

---

C'est mieux mais encore une illusion que tu proclames de façon approximative.

Car une fois l'adresse login piratée (*) le pirate ira avec l'adresse sur les sites courants et passera par la procédure de mot de passe oublié sur le site, qui enverra le code à l'adresse piratée. Piratage en chaîne, donc.

(*) : Utiliser comme login des adresses avec authentification 2FA, mieux protégées. Donc pas d'adresse orange.!!!

Et activer l'authentification 2FA sur tous les sites qui le proposent (PayPal, Facebook..etc).

.

salut @JusteEnPassant 

@JC13 

en complément de @Daniel35 , il faut un couple adresse/mot de passe différent par site, et au bas mot 4 adresses mails pour tout gérer :

- ton adresse principale FAI : elle ne doit servir que pour ta relation avec ton FAI

- une adresse "administrative" : pour l'énergie, impôts, etc

- une adresse "commerciale" : pour les sites marchands

- une adresse "sociale" : pour les amis, la famille

et j'ajouterai une adresse poubelle