Sécurité - Activer connexion en deux étapes ne désactive pas automatiquement connexion en une étape

GSecurity

Bonjour,

J'ai constaté qu'il y a un soucis de sécurité (ou alors est-ce voulu et dans ce cas, merci d'avance d'expliquer les raisons si possible), lorsque l'on active la double authentification avec SMS.

En effet, si j'active (comme par défaut) l'authentification standard avec mot de passe et ensuite l'authentification avec SMS, le site, lors du login propose de choisir la méthode de login.

Si ensuite j'active la double authentifaction (mot de passe et SMS) mais que je ne désactive pas les méthodes de connexion en une étape, lors de la connexion, le site demande quel type de connexion l'on souhaite.

Exemple:

Comme vous pouvez le voir, le site demande si je souhaite uniquement une connexion par SMS ou Mot de passe et SMS.

Si j'active la connexin simple par mot de passe, le site me proposera les trois méthode.

Ce n'est pas mon sens pas sécure et l'activation mot de passe + SMS devrait authomatiquement désactiver les méthode d'authentification simple.

Je reste a votre disposition si besoin.

Cordialement.

NathalieSI

Bonjour @GSecurity,

La force de l'authentification est prescrite par la partie utilisatrice (relying party)/le fournisseur de services. Dans ce cas, s'il doit impérativement le faire, l'utilisateur doit se connecter exclusivement via l'activation en deux étapes. En règle générale, les utilisateurs souhaitent se connecter aussi simplement et rapidement que possible et non systématiquement via l'activation en deux étapes. Un utilisateur qui s'enregistre lui-même pour l'activation en deux étapes dispose, sur le portail, de la possibilité d'activer ou de désactiver ses méthodes d'authentification préférées. Il peut donc également programmer l'authentification systématique via l'activation en deux étapes.

Afin de garantir la sécurité du compte Passeport lorsque la double authentification est activée, il est possible de n'exécuter toutes les fonctions pertinentes en matière de sécurité sur le portail Swisscom Passeport (par ex: le changement de mot de passe du numéro de portable) que via une réauthentification préalable en deux étapes. De même, si la double authentification est activée, pendant la connexion (login), le mot de passe ne peut être réinitialisé que via un code SMS et un code par e-mail.

De cette manière, nous sommes en mesure de garantir une bonne expérience utilisateur et une sécurité élevée. Nous avons donc opté pour cette procédure.

Cordialement

GSecurity

NathalieSI a écrit:

Bonjour @GSecurity,

Je comprend, mais je pense que si une personne active justement le 2FA, ce n'est pas pour garder un simple login en même temps. Je comprend votre résonnement, mais vous restez la seul entreprise à faire ceci comme cela, et je vois tout de même un risque pour la sécurité d'accès (voir ci-dessous).

NathalieSI a écrit:

Afin de garantir la sécurité du compte Passeport lorsque la double authentification est activée, il est possible de n'exécuter toutes les fonctions pertinentes en matière de sécurité sur le portail Swisscom Passeport (par ex: le changement de mot de passe du numéro de portable) que via une réauthentification préalable en deux étapes. De même, si la double authentification est activée, pendant la connexion (login), le mot de passe ne peut être réinitialisé que via un code SMS et un code par e-mail.

De cette manière, nous sommes en mesure de garantir une bonne expérience utilisateur et une sécurité élevée. Nous avons donc opté pour cette procédure.

Cordialement

Très bien, cependant, ce que recherche la plupart des hackeur n'est pas seulemetn le control du compte mais déjà simplement l'accès aux information du compte. Et dans ce cas, si par défaut la simple authentification reste lorsque l'on active le 2FA, cela augmente le taux de réussite d'accès illégal à un compte. Dans ce cas le 2FA n'est plus utile pour l'authentification d'accès, mais uniquement pour protéger les changement important (pendant ce temps, si on à déjà l'accès bye bye les information personnel).

Bien sur c'est dans le cas d'une tentative réussite d'accès illégal au compte, mais cela peut arriver.

Je reste d'avis qu'une personne qui active le 2FA le fait pour augmenter la sécurité de son compte de manière général et que dans ce cas, la simple authentification devrait automatiquement être désactivé. On pourrait ajouter (comme 99% des sites/service avec 2FA) une coche pour reconnaitre le device pendant 15-30 jours par exemple avant de redemander une vérification par 2FA. Dans ce cas, on limite d'autant plus le risque tout en laissant un peu de simplification dans la connexion.

Ce n'est que mon avis et des suggestions 😉

Merci pour vos réponses dans tout les cas.

Cordialement.

NathalieSI

Bonjour @GSecurity,

Merci pour votre message. Nous transmettons volontiers ces remarques auprès des développeurs de Passeport et de myCloud. Peut-être que des changements à ce sujet se feront dans le futur🙂.

Passez une belle journée

GSecurity

Bonjour,

Merci pour votre réponse.
Ravis de savoir que cela sera au moins transmis au développeurs 😉

Cordialement.

mrdarktagnan

Bonsoir,

Suite à ma demande sur Twitter on m'a redirigé sur ce post qui n'a pas tout à fait réussi à résoudre mon problème. Je suis de l'avis de @GSecurity et je ne comprend absolument pas la logique derrière ce processus de connexion. Vos arguments sont compréhensibles mais pas recevables de mon point de vue.

Une personne qui active le 2FA veut s'assurer que son compte ne soit pas accessible par un pirate possédant son mot de passe. Avec la logique d'exécuter les fonctions pertinentes en matière de sécurité via une réauthentification préalable en deux étapes, vous assurer peut-être la "sécurité" du compte mais en aucun cas vous ne protégez nos données personnelles.

En effet, comme on le voit sur la capture d'écran ci-dessous suite à une connexion avec le mot de passe uniquement (même avec la 2FA activée) un pirate a accès à l'adresse complète de l'utilisateur ainsi qu'à son numéro de téléphone.

C'est d'autant plus problématique sur mycloud où le pirate aura accès à l'intégralités de nos photos et fichiers stockés sur le cloud!

On constate d'ailleurs que lors de l'identification en deux étapes, vous affichez un numéro de téléphone partiel (pour protéger les données personnelles). Alors que si le pirate choisit de se connecter uniquement avec le mot de passe, il a tout de façon accès à l'intégralité du numéro mobile. C'est plutôt incohérent..

Le fait de proposer une confirmation par SMS lors de modifications sur le compte est très pertinent. Néanmoins vous ne pouvez pas présenter cette fonctionnalité comme une 2FA. En effet, quel utilisateur choisirait de se connecter en deux étapes s'il peut sélectionner uniquement le mot de passe ou le code SMS? Il n'a rien à gagner à se compliquer la vie.

Ainsi le descriptif que vous présenter lors de l'activation de la 2FA est contradictoire et induit les utilisateurs en erreur, particulièrement ceux moins attentifs à ce genre de détails. On ne "tient pas les pirates à l'écart" s'ils réussissent à se connecter à notre compte, et ce même s'ils ne peuvent rien modifier.

2FA

La conclusion de @GSecurity résume parfiatement le problème. Une coche pour reconnaitre le device est la solution qui permet d'assurer la sécurité et de simplifier la connexion. C'est d'ailleurs sans surprise celle mise en place par tous les sites qui utilisent une telle procédure.

Je reste à votre disposition si vous avez d'autres remarques.

D'avance merci pour votre réponse.

Cordialement

PS: Je constate à l'instant que la désactivation de la 2FA se fait sans une réauthentification préalable en deux étapes. Et qu'une fois celle-ci désactivée, un modification des informations personnelles sur le portail Swisscom Passeport demande toujours une réauthentification en deux étapes par SMS. Ce qui va à l'encontre de l'explication fournie. Je ne comprends définitivement pas le but de l'option "Modes de connexion en deux étapes" sauf ajouté un menu contextuel dont personne ne se sert? Mes excuses si j'ai raté une étape ou si je passe complètement à côté de la fonctionnalité proposée?

GSecurity

En toute honneteté je ne comprend pas pourquoi le 2FA ne se fait pas avec un logiciel tel que Authy ou Google Auth (Authy comprenant ce dernier d'ailleurs).

Cela faciliterais toute les démarches, serait plus sécure.

D'ailleurs le fait de n'avoir qu'un N° de tel et sms n'est absolument pas une garantie de sécurité (cf les grosses chaines youtube qui se sont fait usurper leur identité via interception SMS à leur place - plus facile que de crack le mdp...)

Bref, si des sociétés comme Facebook, Twitch, Humble Bundle, Dropbox, Google, NCsoft, Slack, KickStarter, Teamviewer, Discord, Micorsoft, Paysafecard, OVH, Amazon, Infomaniak, Snapchat, Twitter, Protonmail, etc... propose du 2FA via application (tous compatible Authy par ailleurs qui est dispo sur toutes plateforme), je ne comprend décidemment pas pourquoi Swisscom s'obstine avec un service de sécurité minimum surtout pour un tel service.

A croire que ces deux dernières années (et rien que cette année) n'ont pas encore été assez violentes niveau virus et dégats pour que la prise de conscience soit réelle...

mrdarktagnan

Authy serait l'optimal. Je suis un peu largué aussi et je peine à comprendre la logique.

J'avais même pas pensé à l'interception de SMS qui, avec l'accès aux informations personnelles, rend définitivement la solution du 2FA de Swisscom Passeport inutile. Au final, c'est un jeu d'enfant pour un pirate possédant le mot de passe d'un utilisateur de faire ce qu'il veut du compte/des données persos et des médias/fichiers sur myCloud..

mrdarktagnan

Il aura fallu du temps à Swisscom mais leur nouvelle interface de connexion fait enfin le boulot avec une 2FA par SMS/Mobile ID. Dommage que ça soit pas compatible avec Authy/Authenticator mais c'est déjà ça. Au moins le tout est sécurisé