Recherchez dans la Communauté

Vous avez une question ?

Interrogez la communauté

internet & fixe protéger mes données et mon accès internet

Mobile Connect

PhilDur
#TopMembre
#TopMembre
10 476  

Mobile Connect

Bonjour toutes et tous

 

Orange a commencé à bouger par rapport à la sécurisation des comptes.

 

Ayant été demandeur, je ne pouvais pas passer sous silence le service Mobile Connect.

L'idée que j'avais soumise est toujours accessible : 

Sécuriser le compte de l'utilisateur

 

Une page lui est dédiée, allez la visiter et la lire avec attention, revenez ensuite ici nous faire partager vos réflexions.

 

Pour accéder à Mobile Connect suivez ce lien ou tapez https://mc.orange.fr/faq dans la barre d'adresse de votre navigateur.

 

Cordialement

PhilDur

 

Faites confiance aux produits libres : Firefox, Thunderbird, LibreOffice, Irfanview, VLC, 7-zip, FileZilla
Votre machine vous en remerciera
25 RÉPONSES 25
PhilDur
#TopMembre
#TopMembre
10 460  

Re: Mobile Connect

Bonjour

 

 

Je me suis inscrit à "Mobile Connect" et je l'utilise.

J'aimerais bien avoir des retours des autres utilisateurs avant que j'en dise plus, je ne voudrais pas influencer vos avis.

 

@JuanLucas38 as-tu essayé de te déconnecter  du portail et de te reconnecter "à l'ancienne", sans utiliser ton téléphone ?

 

 

A vos claviers

PhilDur

Faites confiance aux produits libres : Firefox, Thunderbird, LibreOffice, Irfanview, VLC, 7-zip, FileZilla
Votre machine vous en remerciera
JuanLucas38
#TopMembre
#TopMembre
10 416  

Re: Mobile Connect

Bonjour à tous

 

Salut @PhilDur

 

Voila je suis inscrit, j'ai fais mon premier essai, concluant !!!!

 

Aux suivants.

 

Si on cherche un peu on finit par trouver

Daniel35
Orange Star
Orange Star
10 395  

Re: Mobile Connect

Hello @PhilDur

 

@JuanLucas38

 

Je viens d'activer aussi ça fonctionne.

Mais...

- on peut toujours s'identifier à l'ancienne avec le seul mot de passe au lieu de Mobile connect...??? Ce mode n'est donc qu'un choix de connexion et non une sécurité.

- On annonce sur la page de présentation (https://mc.orange.fr/faq) :

"Pour prévenir le piratage, dès que vous ou une autre personne accède à votre compte Orange par mot de passe, vous en êtes instantanément averti par SMS sur votre mobile."

Je n'ai pas eu de SMS, ni en me connectant à l'ancienne sur mon compte sur le portail,

Edit : j'ai refait 3 essais après ce post et finalement bien reçu les SMS en s'identifiant "à l'ancienne"

Premier essai trop proche activation...?

 

ni en reparamétrant le compte concerné (que j'avais supprimé pour voir... il est en IMAP je vous rassure... enfin, pas tous ) sur le client de messagerie de mon smartphone.

Edit : j'ai refait la manip à nouveau, et pas reçu de SMS dans les 2 cas de reparamétrage.

 

En l'état, je ne vois donc pas beaucoup d'intérêt à Mobile Connect, à part simplifier l'accès (4 chiffres à saisir sur son mobile au lieu de mes 16 caractères "complexes" sur le portail).

Pour moi je perçois mal le progrès en terme de sécurité d'accès (Edit: à part les SMS sur l'accès via le portail). Ce n'est en aucun cas pas une double authentification comme on le demande.

Désolé si je dégage des ondes négatives. Peut-être suis-je à côté par rapport à la finalité de Mobile Connect...?

 

Cordialement

Daniel

.

«Une erreur peut devenir exacte selon que celui qui l'a commise s'est trompé ou non» Pierre Dac
JuanLucas38
#TopMembre
#TopMembre
10 347  

Re: Mobile Connect

Salut @Daniel35

 

@PhilDur

 

Non tu n'es pas à coté. Je l'ai constaté également. Le mobile connect est associé à un compte et pas les autres si tu ne fais la démarche pour tous les comptes.

 

Ensuite le choix de s’identifier normalement !!!!?????? qu'est-ce qu'il fait là ?

 

Si on cherche un peu on finit par trouver

PhilDur
#TopMembre
#TopMembre
10 331  

Re: Mobile Connect

Bonjour

 

Le Mobile Connect fonctionne bien comme il est décrit.

Voir sa page de présentation.

 

Connexion avec PIN

Dès qu'on l'active, si on l'utilise on n'a plus qu'à saisir un code PIN sur le téléphone mobile et on est authentifié.

Mais il y a une première restriction : le mobile doit être un mobile Orange ou Sosh.

 

Connexion sans le mobile

Elle reste possible. Il suffit de cliquer plus bas sur 

Orange_022_21022019.new.jpg
"s'identifier avec votre mot de passe".

Quand on s'identifie avec le mot de passe, on est bien prévenu instantanément par SMS de l'établissement de cette connexion.

C'est à mon humble avis, le seul plus, un tout petit plus, de ce produit : on est averti que quelqu'un vient de se connecter à ce compte.

 

Petit nota pour @Daniel35, j'ai refait des tests dans tous les sens, on est bien averti de toute connexion au compte par un SMS. Ça fonctionne même si tu fais la connexion depuis la même machine, avec un autre navigateur.

 

 

Quelques conclusions :

C'est une authentification plus forte que celle du seul mot de passe.

 

L'accès au compte par le mot de passe est toujours possible, et donc les pirates devront être rapides. Mais leurs outils sont des ordis et des scripts  (d'où le nom "script kiddies" utilisés par les anglo saxons pour le désigner), il ne leur faut que quelques secondes pour récupérer les contacts, changer le mot de passe, l'adresse mail, .... et pire si affinité.

 

Ma réaction à ce niveau a été de me dire que je l'utiliserai "pour savoir", pour avoir un retour de toute connexion.

 

Mais ce n'est pas tout

 

Mobile connect est défini sur le site MC :

Mobile Connect est un service d’authentification proposé par votre opérateur mobile et s’appuyant sur la carte SIM et le numéro de mobile. Sur tous les sites et applications partenaires (facilement reconnaissables à la présence du logo Mobile Connect) votre téléphone et ce code à 4 chiffres vous permettent d’accéder le plus simplement du monde à vos services sans plus avoir à vous souvenir de chacun des identifiants et mots de passe. Mobile Connect est disponible gratuitement pour tous les clients mobile Orange.

 

Là je comprends mieux, cet outil n'est pas un outil de sécurité, c'est un outil de référencement commercial. Il permet à un fournisseur partenaire d'être certain de l'identité du consommateur du service et de pouvoir faire facturer ses services par Orange. Un peu comme Internet+ avec authentification.

 

Ce n'est pas un produit de sécurité (c'est mon avis), Orange exploite l'utilisation du mobile pour la saisie du PIN pour faire croire qu'on se trouve en face d'une authentification forte.

Ce n'est pas le cas.

 

Ce serait le cas si cette authentification forte était exigée pour accéder au compte du client, à ses contacts ou à sa boite mail.

 

Utilisé juste en parallèle, ça montre :

  • la volonté de faire passer le commercial avant la sécurité des clients
  • la disponibilité de la technologie qui aurait pu être utilisée pour une authentification vraiment forte.

 

Ce serait le cas si l'utilisateur recevait un SMS pour lui signaler tout échec de connexion

 

Ce serait le cas si l'utilisateur recevait une alarme au bout de N échec de connexions

 

Ce serait le cas si le compte mail de l'utilisateur était bloqué tant qu'une connexion n'étais pas authentifiée depuis le omble  en cas de suspicion d'activité agressive. Free bloque les comptes mail dès qu'ils découvrent une "activité suspecte".

 

 

La demande de sécurisation des comptes clients reste totalement d'actualité.

  • La mise en place d'une habilitation forte doit être possible quel que soit le mobile du client.
  • Le client doit être informé de toute connexion à son compte, par SMS ou/et par consultation de l'historique des connexions.

Orange vient de nous prouver que la techno est déjà utilisée chez eux et qu'ils sauraient faire. Il leur manque simplement la volonté de le faire.

 

Cordialement

PhilDur

 

 

Faites confiance aux produits libres : Firefox, Thunderbird, LibreOffice, Irfanview, VLC, 7-zip, FileZilla
Votre machine vous en remerciera
Daniel35
Orange Star
Orange Star
10 304  

Re: Mobile Connect

Hello @PhilDur

@PhilDur a écrit :
"Petit nota pour @Daniel35, j'ai refait des tests dans tous les sens, on est bien averti de toute connexion au compte par un SMS. Ça fonctionne même si tu fais la connexion depuis la même machine, avec un autre navigateur."

Exact... sauf si on paramètre le compte (adresse + MdP) sur un client de messagerie. Dans ce cas: pas de SMS.

La double authentification, qui me semble indispensable au moins pour le compte principal (mot de passe "à l'ancienne" suivi de la confirmation avec MC par exemple) reste à faire.
Et comme MC fonctionne, il ne manque pas grand chose pour y arriver.

Cordialement
Daniel35
.
«Une erreur peut devenir exacte selon que celui qui l'a commise s'est trompé ou non» Pierre Dac
PhilDur
#TopMembre
#TopMembre
10 295  

Re: Mobile Connect


@Daniel35  a écrit :

Exact... sauf si on paramètre le compte (adresse + MdP) sur un client de messagerie. Dans ce cas: pas de SMS.

Ce cas n'est pas une connexion au "compte".

Il n'y a pas connexion au "compte" quand tu utilises un client mail.

 

 

Le client mail ne se connecte qu'au serveur mail dont il a besoin (POP, IMAP et/ou SMTP).

Le client mail n'aura jamais accès aux contacts du compte, aux numéro de mobile de contact, ....

 

La double habilitation ne concerne que le web et pas la messagerie.

Le problème de l'insécurité du web, c'est qu'une fois connecté au compte on a accès total à TOUT !

 

Essaye avec ton compte gmail d'activer la double habilitation et configure Thunderbird avec ton compte gmail, tu n'auras jamais un SMS à chaque connexion au serveur POP ou SMTP.

 

Cordialement

PhilDur

Faites confiance aux produits libres : Firefox, Thunderbird, LibreOffice, Irfanview, VLC, 7-zip, FileZilla
Votre machine vous en remerciera
Daniel35
Orange Star
Orange Star
10 281  

Re: Mobile Connect

Hello @PhilDur

 


@PhilDur  a écrit :

... Il n'y a pas connexion au "compte" quand tu utilises un client mail....

...La double habilitation ne concerne que le web et pas la messagerie.

.. Essaye avec ton compte gmail d'activer la double habilitation et configure Thunderbird avec ton compte gmail, tu n'auras jamais un SMS à chaque connexion au serveur POP ou SMTP.



J'ai activé la double authentification sur mon compte gmail depuis que c'est proposé par Google.

Pas de SMS, mais chez Google/Gmail la double authentification fonctionne aussi pour le premier paramétrage d'un compte @gmail sur Thunderbird et nouveau PC.

On y va:

- création d'un nouveau User sur le PC de madame... "Ça ira pour cette fois"

- ouverture de TB tout neuf

- paramétrage du compte @gmail avec saisie de l'adresse et mot de passe, validation choix POP ou IMAP,

Et ça suit:

Demande de confirmation du compte: re-saisie adresse et MdP

TB Gmail1.jpg

 

Puis validation sur le mobile / double authentification:

 

TB Gmail2.jpg

 

Et après validation sur mobile, validation de l'accès du compte avec TB

TB Gmail3.jpg

 

Et on a accès aux messages qui descendent bien, cette fois.

Ces étapes ne sont nécessaires qu'au premier paramétrage du compte sur TB sur le PC concerné.

Pas essayé avec un autre client de messagerie.

 

C'est cette double authentification (MdP + validation MC) qu'il me paraît opportun de mettre en place chez Orange pour l'accès au compte (au moins le compte principal) sur le Portail, mais aussi lors du paramétrage du compte sur un client de messagerie.

 

Cordialement

Daniel35

.

«Une erreur peut devenir exacte selon que celui qui l'a commise s'est trompé ou non» Pierre Dac
PhilDur
#TopMembre
#TopMembre
10 268  

Re: Mobile Connect


@Daniel35  a écrit :
chez Google/Gmail la double authentification fonctionne aussi pour le premier paramétrage d'un compte @gmail sur Thunderbird et nouveau PC.

 



C'est tout à fait normal, Google "exige" une authentification avec le compte sur leur site web.

Google est à l'informatique le Trump de la terre !

Mis à part cette initialisation tu n'as jamais de recours au SMS pour authentifier une connexion d'un courrielleur.

 

Cordialement

PhilDur

 

Cordialement

 

Faites confiance aux produits libres : Firefox, Thunderbird, LibreOffice, Irfanview, VLC, 7-zip, FileZilla
Votre machine vous en remerciera

Vous avez une question ?

Interrogez la communauté

Déjà 753026 membres inscrits 🧡

1012 personnes actuellement en ligne

Tous les membres en ligne