internet & fixe mon mail Orange

Voir tous les sujets internet & fixe

"On n'a jamais prétendu ça.! Relis les posts."
Vérifie toi avant de poster !
papou22: "... pouvoir sauvegarder ses messages chez soi, non piratable"
Auquel j'ai répondu, et tu as ensuite répondu.

"Alors, si tu considères que la sécurisation de l'accès aux comptes chez Orange est suffisante sans authentification à 2 facteurs, j'espère n'avoir jamais à faire aux services des entreprises pour lesquelles tu travailles."

Bon apparemment je suis tombé sur le fan club Thunderbird qui ne jure que par cette appli et ne veut pas entendre parler du reste.
Une dernière réponse, et je laisse tomber.

1) Je n'ai jamais prétendu çà, relis les posts.

2) Il faut que tu comprennes que puisque Orange n'autorise pas le 2FA, ton compte EST vulnérable, même si tu n'utilises que Thunderbird.
Renseigne toi sur les différents moyens de pirater un compte et leur fréquence. Ensuite, réfléchis dans quels cas Thunderbird va te protéger ou pas, et de quoi.
Oui si tu es organisé, tu vas régulièrement sauvegarder tes mails sur un support externe et si ça marche bien, tu pourras récupérer l'historique. Pas ton compte, et c'est souvent le plus important.
Si c'est ton PC qui est vérolé, tu risques en pratique de tout perdre. D'expérience, les sauvegardes manuelles utilisateurs, ca **bip** souvent. Je ne te parle même pas des cas ou on se fait voler PC et disque USB.

La seule solution raisonnable est de NE PAS UTILISER le mail orange. Mon compte orange ne me sert qu'à gérer des trucs sans importance, aucune importance s'il est un jour piraté. Tu devrais sérieusement réfléchir à çà.

3) Par "moyens de sécuriser son compte", je faisais référence à utiliser un mot de passe unique et long, enregistré dans un coffre-fort comme keepass, utiliser des comptes secondaires, etc.
Egalement et surtout à Mobile Connect, qui permet de récupérer un compte piraté et qui me semble absolument nécessaire si l'on persiste à vouloir utiliser le mail orange.
Mais bon, puisque LA solution est Thunderbird ...

Bonjour @chris99999 

En fait tu fais les réponses comme ça t'arrange.

D'un côté tu dis :

---

@chris99999  a écrit :

...De plus, un compte mail, orange ou autre, ce peut se sécuriser considérablement...

 

---

Et de l'autre:

---

@chris99999  a écrit :

La seule solution raisonnable est de NE PAS UTILISER le mail orange.

---

En nous soupçonnant d'utiliser à tour de bras des adresses @orange, Thunderbird ou pas.

Si tu as parcouru un peu ce forum, on n'arrête pas de répéter que tant que Orange n'offrira authentification à 2 facteurs : rien en ligne chez eux. Et surtout pas d'adresse orange comme login de sites web, pour éviter les piratages en chaine.

D'ailleurs le contenu de ma boite orange:

Je préfère utiliser des comptes avec sécurisation à 2 facteurs pour ma messagerie et comme login pour les différents sites.

---

@chris99999  a écrit :
Par "moyens de sécuriser son compte"..... Également et surtout à Mobile Connect...

---

Mobile connect..! Alors là on rêve....!!!!!!!!

Et ceci conseil de la part d'un "expert" en cybersécurité.!

Mobile Connect:

• cet outil ne protège en rien l'accès aux comptes: l'accès au compte est toujours possible par le mot de passe.!
• cet outil, supposé avertir le client par SMS qu'un accès aux comptes par mot de passe par autrui (ou par soi) a été effectué, ne le fait pas si accès au compte via un client de messagerie... ou même via l'appli Mail orange sur smartphone: un comble.!

Cet outil ne sert donc quasiment à rien en terme de sécurité.
..."quasiment" car son seul point positif est que le mot de passe du compte sous Mobile connect ne peut être changé sans validation par Mobile connect.

On va finir par croire que tu travailles pour Orange.!

Quant à:

---

@chris99999  a écrit :

Mobile Connect, qui permet de récupérer un compte piraté...

 

---

On attend avec impatience le mode d'emploi.!!!

---

@chris99999  a écrit :

Une dernière réponse, et je laisse tomber.

 

---

Moi pareil. Ça devient pathétique.!

.

Bonjour @Daniel35 

Je réponds déjà à ta première remarque

Tu as écrit:

En fait tu fais les réponses comme ça t'arrange. D'un côté tu dis : "De plus, un compte mail, orange ou autre, ce peut se sécuriser considérablement.", de l'autre "la seule solution raisonnable est de NE PAS UTILISER le mail orange."

- D'une part, il faut toujours sécuriser son compte au maximum quelque soit le fournisseur.
mot de passe court d'un dico < compte avec mot de passe long non composé de mots du dico < mot de passe long < compte mot de passe long, unique par adresse email < précédent + coffre-fort virtuel genre keepass < < 2FA etc
- D'autre part, la sécurité par Orange n'étant pas aussi bonne qu'elle le pourrait, il est raisonnable d'utiliser un autre fournisseur ou de cantonner son mail orange aux données non critiques.
Je pense qu'on est sur la même page non ?  

Bonjour @chris99999 

---

@chris99999  a écrit :

Je pense qu'on est sur la même page non ?  

 

---

Sur ce point :

"il faut toujours sécuriser son compte au maximum quelque soit le fournisseur."

100 % d'accord

Sur ce point :

"cantonner son mail orange aux données non critiques."

50 % : si tu parles de la messagerie, un pirate y trouveras toujours matière à business: adresses récoltées par exemple.

Sur ce point:

"il est raisonnable d'utiliser un autre fournisseur" 

...  seulement si cet autre fournisseur propose l'authentification à 2 facteurs.

Sur le point de Mobile connect : pas du tout...!!!

.

Bonjour @Daniel35 

Tu as écrit:"

Mobile connect..! Alors là on rêve....!!!!!!!! Et ceci conseil de la part d'un "expert" en cybersécurité.!

Mobile Connect:

• cet outil ne protège en rien l'accès aux comptes: l'accès au compte est toujours possible par le mot de passe.!
• cet outil, supposé avertir le client par SMS qu'un accès aux comptes par mot de passe par autrui (ou par soi) a été effectué, ne le fait pas si accès au compte via un client de messagerie... ou même via l'appli Mail orange sur smartphone: un comble.!

Cet outil ne sert donc quasiment à rien en terme de sécurité.

"

Bon, je suis tombé sur le gars qui a regardé 3 épisodes de Dr House et qui explique à son chirurgien comment il doit opérer.

Tu te permets d'avoir un jugement définitif sur un sujet pour lequel tu n'as même pas les connaissances de base. Et d'être ironique de plus !

Repartons de 0, pour les personnes qui liraient ces posts. 
Quelles sont les méthodes de piratage les plus courantes ? C'est assez bien  expliqué sur le site de avg

1) Vous avez été piégé par une escroquerie de type phishing Click sur un lien dans un mail demandant de vérifier le compte etc. Par exemple moi répondant au mail que j'ai reçu suite à ta réponse sur le blog. Pour répondre, je dois m'authentifier et le site me propose Mobile Connect. Tu sais quoi, si ce mail avait été un phishing, je m'en serais rendu compte parce que l'option Mobile Connect n'aurait pas été proposée. Pareil si le mail avait été pour accéder à mes mails etc.
Ca s'appelle de la prévention.

2) Vous ne vous êtes pas déconnecté de votre compte après avoir utilisé un PC ou un appareil public
Alors justement, quand tu as l'option Mobile Connect, tu ne saisis plus ton mot de passe. Le gars pourra sans doute lire certains de tes mails mais les dégats seront limités car il ne peut pas modifier ni même retrouver ton mot de passe etc.
Cerise sur le gateau, si il essaie de se reconnecter, Mobile Connect te renverra une alerte et tu seras au courant !
Même remarque que 1) si le PC est infecté par un key logger etc. 

3a) Vous avez utilisé un mot de passe faible et facile à deviner
Puisque avec Mobile Connect, tu n'as quasiment plus jamais à saisir un mot de passe, en particulier dans les situations les plus dangereuses (café, aéroport etc), tu es plus enclin a utiliser un mot de passe long, unique etc. 
Ca facilite aussi la prévention 

3b) Ou bien utilisé le même mot de passe sur plusieurs sites
Bon là on n'y peut pas grand chose. la règle 1, c'est le mot de passe des boites mails doit être unique et non devinable. Malgré tout, le fait de ne plus saisir son mot de passe avec Mobile Connect ici réduit la surface d'attaque

4) Votre logiciel de sécurité n'est pas à jour ... téléchargements douteux et de pièces jointes suspectes
Même remarque que 1 si on s'est fait infecter par un keylogger. Si c'est par un ransomware, disque encrypté et souvent (je maintiens mes propos, sauvegarde également infectée ou endommagée), tu risques de perdre toutes tes données. Tu as quand même une très bonne chance tes mails chez ton provider, mais manque de bol avec ton conseil de vider la mailbox, c'est mort.

4b) Je rajoute un chapître sur PC perdu ou volé, dégats des eaux. 
Loi de Murphy, ça va souvent arriver au mauvais moment, PC et disque USB perdu quand tu pars en vacances. Plus d'accès à tes mails. Avec Mobile Connect, t'as juste à te rappeler un code à 4 chiffres pour accéder à tes mails, sauf bien sûr si tu les supprime automatiquement !

5) Vous avez utilisé un réseau Wi-Fi non sécurisé 
Attaques qui fonctionnent de moins en moins bien depuis l'usage quasi systématique du https, mais bon.
Pas la peine de faire un dessin. Avec Mobile Connect, tu ne saisis plus ton mot de passe sur ton PC ou téléphone mais un code qui ne passe pas par le wifi. 

6) Votre adresse e-mail a été récupérée par des spammeurs.
Certes. Pas grand chose à rajouter. Ne pas hésiter à créer une adresses email temporaire ou dédiées pour les cas ou l'on doive laisser son adresse mail. Je vais quand même élaborer un peu dans le paragraphe suivant.

Maintenant, on va expliquer un peu comment fonctionnent les pirates
Il sont très organisés et spécialisés. Il y a des équipes qui se chargent d'écrire des malwares, d'autres de louer des bots pour infecter les machines, d'autres qui récupèrent des listes site/login/mot de passe et vérifient si les identifiants sont valides. Ils vont également les essayer sur d'autres sites, avec le même mot de passe ou des variations.
C'est ce qu'on appelle le "credential stuffing", et j'en vois passer quasiment tous les jours.
Ils revendent ensuite ces listes à d'autres équipes qui vont se charger de voir ce qu'ils peuvent en tirer. 

En conséquence:
- Quand des identifiants sont volés, il se passe en général un certain temps avant que les données ne soient exploitées (je ne parle pas ici des APT qui ne touchent que peu les particuliers)
- Les pirates utilisent des outils à base de browsers pour déterminer si les identifiants sont valides. Pas des applications de mail.
A cette étape, ils ne savent même pas forcément si c'est du mail ou pas, et ne comprennent même pas forcément la langue. 
C'est là aussi que contrairement à ce que tu affirmes, Mobile Connect est utile car en te prévenant rapidement, il te donne des grandes chances de récupérer ton compte en resettant ton mot de passe, appel service client etc ....

Ta remarque que ca ne sert "quasiment à rien en terme de sécurité car son seul point positif est que le mot de passe du compte sous Mobile connect ne peut être changé sans validation par Mobile connect." est grotesque.
C'est au contraire un point tout à fait majeur, qui va souvent t'éviter de perdre tes données et même l'accès à ta messagerie ou à d'autres services.

Re @chris99999 

Je ne sais lequel est le plus grotesque de nous deux, mais tu te contentes  d'étaler (*) ici des concepts archi connus contre le piratage, et pire, tu viens prétendre que Mobile Connect est un outil de sécurité alors qu'il n'empêche nullement de se connecter à un compte orange avec le seul mot de passe et ne prévient absolument pas le titulaire en cas d'un accès intrusif à la messagerie via un client de messagerie ni même via l'appli Mail orange sur smartphone.!!!!

Pour un expert de sécurité, ou plutôt pseudo expert,  tu repasseras. Murphy t'a rattrapé.

Et je récidive : j'espère n'avoir jamais affaire aux sociétés pour lesquelles tu bosses ! 

(*) comme la confiture. Moins on en a plus on l'étale.!

.

"tu te contentes  d'étaler (*) ici des concepts archi connus contre le piratage"

Désolé, je pensais que tu ne les connaissais pas. Donc tu les connais mais malgré les explications de texte, tu ne les comprends toujours pas, où tu les refuses. C'est plus grave que je ne le pensais. Bon ...

"Et je récidive : j'espère n'avoir jamais affaire aux sociétés pour lesquelles tu bosses ! "
J'ai bien peur de te décevoir. On va dire que statistiquement, tu as ou as eu probablement affaire à au moins l'une de ces sociétés. :-)
Par contre, tu ne pourrais probablement pas y travailler à cause des programmes de sensibilisation à la sécurité que l'on déploie chaque année et dont on s'assure la compréhension ou a minima l'adoption par l'ensemble du personnel.

"Pour un expert de sécurité, ou plutôt pseudo expert"

Alors, la Sécurité informatique en France, c'est très petit monde, où à défaut d'être tous toujours d'accord, il y a certains consensus.
Le petit Daniel nous apprend que Mobile Connect ne sert à rien, pour la seule raison que "client de messagerie, mail orange gnagnagna", que je suis un pingouin, que les ingénieurs sécurité d'Orange sont des pingouins, que les organismes qui ont audité Orange sont des pingouins, que les clients d'Orange sont des pingouins. 

Et que donc le seul expert en sécurité, c'est lui même.

A un moment, il va falloir poser les rames, j'ai bien peur que tu aies attaqué la falaise là.

Re @chris99999 

Manifestement tu bosses pour Orange aussi pour vanter aussi fort  Mobile Connect, ce pneu crevé sur la sécurité.

Pitoyable.!

Tu cautionnes certainement aussi ce lien de l'assistance Orange :

https://assistance.orange.fr/ordinateurs-peripheriques/depanner/probleme-de-mail/probleme-pour-acced...

... avec en bas  au point 3 -  Mobile Connect

"Ainsi pour pouvoir pirater votre compte, il faudrait récupérer votre code confidentiel ET voler votre téléphone mobile."

...qui est un mensonge, dans la mesure où l'accès au compte par mot de passe reste possible. Comment peux-tu cautionner une telle énormité.??

Quant aux "programmes de sensibilisation à la sécurité", ça craint si c'est un pseudo expert comme toi qui les élabore.😱

---

@chris99999  a écrit :

...que je suis un pingouin...

 

---

.C'est toi qui le dis, mais je ne démens pas.

.

bonjour @chris99999 

@Daniel35 @papou22  🫂

je rève ou je suis mal reveillé quand je vois

 Mobile Connect, qui permet de récupérer un compte piraté et qui me semble absolument nécessaire si l'on persiste à vouloir utiliser le mail orange.

mobile connect est un gadget si je me connecte par exemple a ton compte , tu recevra une notification sur smartphone avec nouvelle connexion sans mobile connect avec un lien

si tu n'as pas le smartphone avec toi tu fais comment ?

continue d'utiliser le webmail , si tu te retrouves avec la boite vide (comme ca a été le cas recement,des contacts perdus , voire des mails important il ne faudra pas venir chouiner

de mon coté je me sert d'outlook  , sauvegarde les mails sur le pc 

enfin je ne laisse rien (contacts, mails,et autres sur le site orange qui souffre de failles de securité

un peu de lecture

https://www.nextinpact.com/article/45912/securite-emails-chez-fai-via-spf-dkim-arcdmarc-orange-a-tra...

et pour finir

https://www.lanouvellerepublique.fr/niort/la-galere-d-une-deux-sevrienne-apres-le-piratage-de-sa-boi...

cdt