COMPTOIR
  
register

L'authentification à deux facteurs possède aussi ses faiblesses, pire qu'un mot de passe ?

Dans un monde où tout se connecte, utiliser ces moyens pour sécuriser son compte peut sembler une bonne idée. Sauf qu'il ne faut pas utiliser l'un des principes de base de la cryptographie : ne pas se baser sur la non-connaissance d'un procédé par l'adversaire. Autrement dit, faire une confiance aveugle au transport de message par réseau cellulaire pour transmettre les adresses de réinitialisation des mots de passe n'est pas suffisant.

 

Une vidéo postée par Positive Technologie montre jusqu'où un tel hack peut mener en utilisant l'un des comptes possédant le plus de valeur : un portefeuille Bitcoin. La racine du problème se trouve en fait dans le compte Google (hé oui, ça n'est pas parce que l'on est gros que l'on est parfait !), au travers duquel le hack prend contrôle de la boite mail. Certes, il est nécessaire d'accéder aux données des réseaux mobiles, mais ce type d'intrusion s'est déjà produit (le réseau SS7 étant critiqué pour sa vulnérabilité, les bruits courent que cela arrange même la NSA), si bien qu'il serait absurde de fermer les yeux totalement sur ses vulnérabilités.

 

Pour pallier ce problème, il faudrait diversifier les questions annexes, qui se résument ici au nom/prénom et adresse mail de la personne (en sus du numéro bien sûr) ; informations qui sont de nos jours aisément trouvables sur les réseaux sociaux. Inutile de tomber dans la paranoïa, mais il est néanmoins crucial que les géants du secteur se penchent sur ce phénomène.

 

Ça vous hérisse les poils de derrière ?

Un poil avant ?

Un premier test GPU pour Project Cars 2

Un peu plus tard ...

HTC et Google en marche pour une réalité virtuelle libérée ?

Les 12 ragots
Les ragots sont actuellement
ouverts à tous, c'est open bar !
par Un champion du monde de Bretagne, le Jeudi 21 Septembre 2017 à 11h34  
Après pour exploiter le réseau SS7 il faut du matériel très onéreux et en plus de ça s'authentifier auprès du réseau. Chose qui ne se fait pas en un claquement de doigt, pour réussir à se connecter au réseau SS7, ce n'est donc pas à la portée de n'importe quel clampin.
Il y a quelques temps une démonstration des vulnérabilités du SS7 sur Facebook avait été faites par un chercheur en sécurité informatique soulignant les faiblesses de ce réseau vieillissant.
par Nicolas D., le Jeudi 21 Septembre 2017 à 07h27  
par TheDarkgg, le Mercredi 20 Septembre 2017 à 17h18
Oui enfin c'est un peu exagérer il faut déjà pouvoir intercepter le SMS contenant le code de vérification...
C'est le principe qui est embarrassant, faire entièrement confiance à un seul procédé (=> un seul canal de communication) pour envoyer une master key qui peut tout changer, c'est très mauvais.

Le générateur de code est pas mal effectivement, faut-il encore sécuriser l'accès au générateur (par exemple pour éviter cette faille). Autant dire qu'on est loin du 100% secure !
par TheDarkgg, le Mercredi 20 Septembre 2017 à 17h18  
Oui enfin c'est un peu exagérer il faut déjà pouvoir intercepter le SMS contenant le code de vérification...

De plus il existe un autre moyen d'authentification bien plus solide et sécurisé, le générateur de code comme steam, origin, uplay, outlook, blizzard, ... utilise qui contient une clé unique dans ton smartphone et qui permet de générer des codes à 6 caractères (chiffres et lettres) ou plus qui sont réinitialisés/changés tous les minutes seule ton smartphone et les serveurs qui vérifient le code entrée contiennent la clé unique affilié à ton compte. Faut y aller pour caser ça sans un accès physique à ton smartphone.
par Un ragoteur parano d'Ile-de-France, le Mercredi 20 Septembre 2017 à 13h50  
par Un ragoteur blond embusqué, le Mercredi 20 Septembre 2017 à 13h05
Identification par sonde rectale, comme ça en plus de connaitre toute votre vie Google vous examine médicalement 24/7
Gogole a déjà toutes ces informations sur vous car pour peu que vous fréquentiez les forums médicaux genre Doctissimo, que vous utilisiez gogole-mail, leur moteur de recherche à propos de vos maux et petits bobos, ou n'importe lequel de leurs "services", les sniffeurs de gogole-analytics vous ont déjà catalogué: pas besoin de sonde rectale (ni, pour vous, d'anus en teflon: c'est indolore).
par Thomas N., le Mercredi 20 Septembre 2017 à 13h17  
par Un ragoteur qui aime les d'Ile-de-France, le Mercredi 20 Septembre 2017 à 12h49
"Pour pallier ce problème", SVP. Merci !
Bouton "Signaler un truc" svp, merci.
C'est corrigé.
par dfd, le Mercredi 20 Septembre 2017 à 13h11  
par Un ragoteur embusqué, le Mercredi 20 Septembre 2017 à 12h55
Proposition de titre alternatif : L'authentification avec 2 facteurs c'est pas terrible. Avec 2 jolies factrices c'est bien mieux !

par Un ragoteur blond embusqué, le Mercredi 20 Septembre 2017 à 13h05  
Identification par sonde rectale, comme ça en plus de connaitre toute votre vie Google vous examine médicalement 24/7
par Un ragoteur de passage de Bretagne, le Mercredi 20 Septembre 2017 à 13h01  
La version "63.quelque chose" de google chrome alertera lors d'une attaque "man in the middle " .
Ensuite il me semble qu'on peut se logger avec son mail grâce à la géolocalisation plutôt que par téléphone pour la double authentification .
.
par Un ragoteur embusqué, le Mercredi 20 Septembre 2017 à 12h55  
Proposition de titre alternatif : L'authentification avec 2 facteurs c'est pas terrible. Avec 2 jolies factrices c'est bien mieux !

par Un ragoteur qui aime les d'Ile-de-France, le Mercredi 20 Septembre 2017 à 12h49  
 
Pour palier à ce problème...

"Pour pallier ce problème", SVP. Merci !
par Grogg, le Mercredi 20 Septembre 2017 à 12h23  
C´est pour cela qu´il vaut mieux utiliser Google Authenticator pour durcir un peu les cas d´attaques de type Man in the Middle, même si ce n´est pas parfait.
par Xorg, le Mercredi 20 Septembre 2017 à 12h19  
Plus rien ne me surprend. C'est en partie pour ça que je ne vais jamais sur Internet avec mon smartphone, et que je refuse toute synchronisation avec mon compte Google.