Bonjour,
A l'heure où la double authentification devient presque une norme, et avec les multiples possibilités (SMS, Authenticator, ...), j'avais une petite question concernant les SMS :
- A quel point une personne X connaissant simplement un numéro de téléphone peut-elle réussir à prendre le contrôle d'un compte (mail ...) ? Pour exemple, Google demande, pour retrouver l'adresse email, de rentrer le numéro de téléphone. Est-il si difficile de parvenir à intercepter un SMS de 2FA ?
Internet parait fourmiller d'exemple de personnes se faisant également avoir au niveau de leurs comptes bancaires. Les solutions type Yubikey sont-elles alors nécessaires dans les prochaines années pour nos mails / banque ?
Bonne journée
Double authentification et piratage
- Messages : 110342
- Inscription : 10 sept. 2005 13:57
Re: Double authentification
Salut,
A lire : La double authentification ou authentification à deux facteurs (2FA) : comment ça marche
~~
Pour l'interception de SMS, le risque c'est surtout un malware au niveau du téléphone.
Eventuellement aussi si l'opérateur a un service de lecture en ligne qui peut-être piraté.
Pour les comptes bancaires, ce sont surtout les Les trojan banker.
Enfin pour la double authentificaiton attention aux attaques "SIM port hack ou Sim Swap"
J'avais gardé le premier lien sous la main car je comptais faire un article.
Vu la question, j'essaye de le faire today =)
A lire : La double authentification ou authentification à deux facteurs (2FA) : comment ça marche
~~
Pour l'interception de SMS, le risque c'est surtout un malware au niveau du téléphone.
Eventuellement aussi si l'opérateur a un service de lecture en ligne qui peut-être piraté.
Pour les comptes bancaires, ce sont surtout les Les trojan banker.
Enfin pour la double authentificaiton attention aux attaques "SIM port hack ou Sim Swap"
J'avais gardé le premier lien sous la main car je comptais faire un article.
Vu la question, j'essaye de le faire today =)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 69
- Inscription : 05 sept. 2011 13:27
Re: Double authentification et piratage
Merci Malekal pour ce premier retour.
Donc tu ne conseilles clairement pas le SMS ? On a récemment vu qu'un simple appel sur WhatsApp permettait de pirater le téléphone (via une faille de l'application).
Question version parano : Un appel entrant / sortant simple peut-il également permettre de prendre le contrôle de la ligne et/ou du téléphone et donc d'exploiter les données, dont les SMS reçus ?
Donc tu ne conseilles clairement pas le SMS ? On a récemment vu qu'un simple appel sur WhatsApp permettait de pirater le téléphone (via une faille de l'application).
Question version parano : Un appel entrant / sortant simple peut-il également permettre de prendre le contrôle de la ligne et/ou du téléphone et donc d'exploiter les données, dont les SMS reçus ?
- Messages : 110342
- Inscription : 10 sept. 2005 13:57
Re: Double authentification et piratage
Je n'ai jamais dit cela d'ailleurs je les utilise.
Tu voulais savoir si la double authentification pouvait être piratée, je t'ai donné des liens qui expliquent que oui.
Moyennant une attaque au fournisseur d'accès pour récupérer l'accès à la carte SIM.
Je pense que les fournisseurs sont sensibilisés là dessus, pour ça en autre qu'ils demandant la date de naissance etc, même si ce sont des informations que l'on peut récupérer.
Juste qu'à chaque fois tu ajoutes un degré de complexité.
Les articles sont en ligne : SIM Swap : piratage de compte internet.
Il faut éviter l'authentification par SMS, donc plutôt une application sécurisée sur mobile comme Google Authenticator ou une clé de sécurité.
J'ai testé la Yubikey, c'est pas mal mais il faut la trimballer : Yubikey sécuriser compte en ligne.
Mais tu n'as pas 36 solutions non plus... car il faut aussi que les sites internet supportent la solution.
Par exemple Amazon et Paypal ne gère que l'authentification par SMS....
Tu voulais savoir si la double authentification pouvait être piratée, je t'ai donné des liens qui expliquent que oui.
Moyennant une attaque au fournisseur d'accès pour récupérer l'accès à la carte SIM.
Je pense que les fournisseurs sont sensibilisés là dessus, pour ça en autre qu'ils demandant la date de naissance etc, même si ce sont des informations que l'on peut récupérer.
Juste qu'à chaque fois tu ajoutes un degré de complexité.
Les articles sont en ligne : SIM Swap : piratage de compte internet.
Il faut éviter l'authentification par SMS, donc plutôt une application sécurisée sur mobile comme Google Authenticator ou une clé de sécurité.
J'ai testé la Yubikey, c'est pas mal mais il faut la trimballer : Yubikey sécuriser compte en ligne.
Mais tu n'as pas 36 solutions non plus... car il faut aussi que les sites internet supportent la solution.
- Soit un coffre fort sur ton PC. Théoriquement, si ton ordinateur se fait pirater ils n'y auront pas accès contrairement au mot de passe dans le navigateur internet. Après reste le cas du copier/coller durant la phase d'identification.
- Soit une clé de protection Yubikey.
- Soit la méthode par SMS, Google Authenticator , etc
Par exemple Amazon et Paypal ne gère que l'authentification par SMS....
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 110342
- Inscription : 10 sept. 2005 13:57
Re: Double authentification et piratage
J'ai édité la réponse précédente car les articles sont maintenant en ligne.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 10372
- Inscription : 02 juin 2012 20:48
- Localisation : Je suis dans la matrice :-)
Re: Double authentification et piratage
Concernant Ubikey
Source : https://www.yubico.com/2019/10/yubico-l ... available/
Copier coller :
"L’application Yubico Login for Windows permet d’ajouter un second facteur d’authentification pour la connexion à un compte Windows local.
Les utilisateurs d’ordinateurs Windows peuvent désormais utiliser les clés YubiKey pour protéger l’authentification à leur compte par un second facteur. Pour cela, il suffit d’installer et configurer l’application Yubico Login for Windows que le fabricant vient de publier.
Ce logiciel permet d’enrôler la clé comme second facteur d’authentification, en créant un secret cryptographique qui sera partagé entre l’accessoire et le système. À partir de là, toute connexion à Windows nécessitera non seulement de renseigner le mot de passe du compte, mais aussi d’insérer la clé dans l’interface USB.
Attention : cette application ne fonctionne que pour des comptes Windows locaux. Il ne prend pas en charge l’authentification par un compte Microsoft. Néanmoins, il est possible de faire cohabiter sur une même machine Windows un compte Microsoft et un compte local. Pour les comptes gérés de manière centralisée par Active Directory, il était déjà possible d’utiliser la fonction SmartCart de YubiKey.
Source : https://www.yubico.com/2019/10/yubico-l ... available/
Copier coller :
"L’application Yubico Login for Windows permet d’ajouter un second facteur d’authentification pour la connexion à un compte Windows local.
Les utilisateurs d’ordinateurs Windows peuvent désormais utiliser les clés YubiKey pour protéger l’authentification à leur compte par un second facteur. Pour cela, il suffit d’installer et configurer l’application Yubico Login for Windows que le fabricant vient de publier.
Ce logiciel permet d’enrôler la clé comme second facteur d’authentification, en créant un secret cryptographique qui sera partagé entre l’accessoire et le système. À partir de là, toute connexion à Windows nécessitera non seulement de renseigner le mot de passe du compte, mais aussi d’insérer la clé dans l’interface USB.
Attention : cette application ne fonctionne que pour des comptes Windows locaux. Il ne prend pas en charge l’authentification par un compte Microsoft. Néanmoins, il est possible de faire cohabiter sur une même machine Windows un compte Microsoft et un compte local. Pour les comptes gérés de manière centralisée par Active Directory, il était déjà possible d’utiliser la fonction SmartCart de YubiKey.
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
-
echec authentification office 365 sous windows 10
par marietribut » » dans Windows : Résoudre les problèmes - 1 Réponses
- 35 Vues
-
Dernier message par Malekal_morte
-
-
- 3 Réponses
- 61 Vues
-
Dernier message par Malekal_morte
-
- 7 Réponses
- 195 Vues
-
Dernier message par Malekal_morte
-
- 15 Réponses
- 371 Vues
-
Dernier message par Malekal_morte
-
- 6 Réponses
- 172 Vues
-
Dernier message par Parisien_entraide