- Communauté Orange
- ➔
- internet & fixe
- ➔
- securité
- ➔
- L'authentification à 2 facteurs est-elle efficace ...
Vous avez une question ?
Interrogez la communautéL'authentification à 2 facteurs est-elle efficace pour protéger les boîtes mail ?
- S'abonner au fil RSS
- Marquer le sujet comme nouveau
- Marquer le sujet comme lu
- Placer ce Sujet en tête de liste pour l'utilisateur actuel
- Marquer
- S'abonner
- Page imprimable
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
L'authentification à 2 facteurs est-elle efficace pour protéger les boîtes mail ?
Bonjour,
J'ai un compte orange avec une boîte mail associée. Depuis plusieurs années, j'ai ajouté cette boîte dans Outlook, ce qui m'évite de me connecter au portail orange quand je veux consulter mes mails.
Hier, J'ai protégé l'accès à mon compte avec l'authentification à 2 facteurs (2FA). Quand je me connecte au compte sur le portail orange, je suis logiquement invité à entrer un code à 4 chiffres sur mon smartphone.
Par contre, quand j'ouvre Outlook, les mails continuent d'être automatiquement récupérés du serveur.
Cela veut-il dire que, dans l'absolu, quiconque possède l'email et le mot de passe d'un utilisateur qui a protégé son compte avec le 2FA peut quand même consulter les mails de cet utilisateur en ajoutant le compte de ce dernier dans un client de messagerie ?
Cordialement,
chl
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
Re: L'authentification à 2 facteurs est-elle efficace pour protéger les boîtes mail ?
salut @chlchl
qu'as tu activé exactement ?
mobile connect ?
le cas échéant c'est tout sauf une authentification à deux facteurs, juste une facilité
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
Re: L'authentification à 2 facteurs est-elle efficace pour protéger les boîtes mail ?
Oui, Mobile Connect.
Aucune véritable utilité, donc, pour une protection maximale de la boîte mail.
Pas sûr que tous les utilisateurs de Mobile Connect soient conscients de cette limite.
Or il semble techniquement possible de mettre en œuvre un authentification 2FA qui marche à la fois sur le portail et dans les clients de messagerie tiers. Le portail mail.com aux USA l'a fait.
"Two-factor authentication works in the mail.com mailbox on the web, in the mail.com Mail app as well as in third-party email programs."
En attendant qu'orange nous concocte quelque chose d'équivalent, un seul mot d'ordre: choisir un mot de passe en béton.
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
Re: L'authentification à 2 facteurs est-elle efficace pour protéger les boîtes mail ?
re @chlchl
effectivement, mobile connect ne sert à rien d'autre qu'à se faciliter la tâche en ne tapant qu'un code à quatre chiffre
et effectivement, je crains que ceux qui pensent sécuriser leur compte n'aient pas pas conscience du peu de sécurité que cette solution leur apporte réellement
nous sommes plusieurs ici à souhaiter une vraie double authentification, et mobile connect indique malgré tout que orange saurait faire
pourquoi ne l'a t'il pas fait ?
personnellement, j'ai ma petite idée, pour éviter les coups de fil au 3900 de Mme Michu ou de Mr Chombier qui aurait activé la double authentification au détour d'un clic et ne saurait pas s'en sortir
exemple vécu un jour chez mes parents (75 et 73 ans), en panique d'avoir activé mobile connect
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
Re: L'authentification à 2 facteurs est-elle efficace pour protéger les boîtes mail ?
Bonjour @chlchl
@chlchl a écrit :
...J'ai protégé l'accès à mon compte avec l'authentification à 2 facteurs (2FA). ....
Ca n'existe pas chez Orange
...Quand je me connecte au compte sur le portail orange, je suis logiquement invité à entrer un code à 4 chiffres sur mon smartphone. ...
Ca ne constitue pas du 2FA
Par contre, quand j'ouvre Outlook, les mails continuent d'être automatiquement récupérés du serveur.
Cela veut-il dire que, dans l'absolu, quiconque possède l'email et le mot de passe d'un utilisateur qui a protégé son compte avec le 2FA peut quand même consulter les mails de cet utilisateur en ajoutant le compte de ce dernier dans un client de messagerie ?
Mobile Connect d'Orange n'est pas une authentification à deux facteurs stricto sensu.
C'est une connexion rapide, presque bien protégée.
Ca ressemble à du 2FA
Ca utilise le mobile
Ca peut être contourné
On peut se connecter avec le mot de passe même si la protection est activée.
"
Par contre, quand j'ouvre Outlook, les mails continuent d'être automatiquement récupérés du serveur. "
N'est pas une anomalie.
Outlook ne se connecte pas de la même manière.
Outlook utilise le protocole POP ou IMAP.
Pour accéder au serveur POP ou au serveur IMAP il utilise la ligne sous SSL, chiffrement et authentification des partenaires (c'est un tunnel sécurisé), il y a authentification par mot de passe.
L'authentification 2FA d'Orange ne concerne pas la messagerie
L'authentification 2FA d'Orange ne concerne que le web
L'authentification 2FA d'Orange n'est utilisable qu'avec une SIM Orange
L'authentification 2FA d'Orange est contournable
L'authentification 2FA d'Orange n'est pas du 2FA
A ma connaissance seul Google propose un protocole de connexion à sécurisation renforcée pour les accès à POP, IMAP et SMTP.
Ce protocole OAuth2 est implémenté dans Thunderbird, probablement dans Outlook, mais je ne me suis jamais posé cette question pour Outlook (Devant la simplicité de Thunderbird, j'ai migré d'Outlook à Thunderbird depuis longtemps).
Mon souhait pour le futur
Il serait souhaitable que l'état impose aux FAI Français et aux fournisseurs de webmails accessibles en France d'utiliser une authentification à deux facteurs vraie.
Et pour les accès mail directs qu'un protocole renforcé comme OAuth soit obligatoire
En attendant je réitère ma demande à court terme :
M. et Mme Orange, s'il vous plait, exigez une réelle authentification forte dès que votre client dépose des fiches contact dans son dossier Contacts qui est accessible depuis le web ; actuellement il sert principalement à alimenter la cybercriminalité en adresses mail vérifiées prêtes à être piratées.
Cordialement
PhilDur
Votre machine vous en remerciera
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
Re: L'authentification à 2 facteurs est-elle efficace pour protéger les boîtes mail ?
Bonjour . @chlchl
Je plussoie les avis déjà exprimés.
Juste pour enfoncer un peu plus le clou :
Mobile connect est sensé prévenir les utilisateurs par SMS si un "intrus" se connecte au compte directement avec le mot de passe. Comme l'a dit @PhilDur MC ne fonctionne qu'avec le webmail.
Or les pirates utilisent un logiciel de messagerie pour siphonner la boîte du compte piraté. Pas de SMS dans ce cas.!!!
Comme déjà dit : MC c'est du confort. Pas de la sécurisation.
Cordialement
Daniel35
.