Bonjour @utilisateur_supprimé, 
Sur votre problématique de réinitialisation du mot de passe, je me permets de taguer @TagadaTsoinTsoin et @SGDA qui pourront sans doute vous proposer une piste. Et merci @Ryry pour ton intervention ici.  
Bon après-midi.  

Bonjour @utilisateur_supprimé 

---

Le seul et l'unique test qui me paraisse probant là-dedans consisterait à me dispenser d'utiliser mon ordinateur demain matin et à éteindre mon smartphone de manière à écarter entièrement l'hypothèse d'une réinitialisation provoquée contre mon gré par l'une des applications de messagerie que j'utilise.

---

Oui, c'est le test que je t'ai proposé dans mon dernier message.

Mais contrairement à ce que tu dis, ce n'est pas le seul "probant" : si (comme je l'ai suggéré dans un autre message) au domicile de quelqu'un d'autre (même avec ton ordinateur) ça ne se produisait plus du tout, il y aurait aussi des questions à se poser sur ton scénario de causalité (même si je partage avec toi que c'est le plus probable).

En revanche, ce test est en effet le minimum minimorum à tester pour ne pas uniquement affirmer son nos propres intuitions, tellement c'est facile et peu coûteux à tester.

---

Je n'y crois cependant pas trop (je précise que je suis technicien support de métier depuis 2001, spécialité téléphonie, messagerie et réseaux : j'ai commencé avec la version militaire du télex en 1994...).

---

Oui je n'y crois pas des masses non plus (car je redis que je pense comme toi que l'explication déjà évoquée est la plus plausible).

Pour le reste de la phrase, moi j'évite car on verse ni plus ni moins dans l'argument d'autorité (voir sur Wikipédia), mais qui ne fonde pas du tout un raisonnement. Je m'en passe 😉

---

Si je reçois des mails de réunitialisation à 08h06 et @clautty à 08h04, ce n'est sûrement pas un hasard. On peut parier à bon droit que le zigouigoui à l'origine de tout ça utilise une liste de plusieurs centaines d'adresses SMTP en sfr.fr, et les teste les unes après les autres. Le meilleur moyen de le savoir serait d'exploiter les logs de connexion avec une application d'analyse telle que Splunk pour la tranche horaire débutant à 08h00 CEST.

---

Que ça ne soit "sûrement pas" un hasard ne relève pour l'instant que de l'affirmation gratuite, mais très plausible. Comme déjà dit, pourquoi se passer de tests minimalistes et faciles pour éviter de n'avoir aucun autre étai que des affirmations très plausibles.

Oui, cependant, une fois encore, on peut penser qu'il y a un robot qui teste à heure plus ou moins fixe et qui donnerait ce résultat.

---

Nous ne sommes apparemment pas les seuls impactés puisque la technicienne de niveau 1 qui a bien voulu discuter avec moi de ce problème via le chat SFR me l'a indiqué.

Je n'ai jamais dit que vous étiez les seuls (mais je continue à penser que vous êtes en faible nombre, par rapport à toute la clientèle, et que ça a peu de chance de motiver SFR pour analyser les logs comme tu le suggérais).

• moi j'ai écrit "quelques individus"
• cette personne t'a dit quoi ? Des centaines ? Des milliers ? À mon avis pas plus précise que moi...

Je me permets d'ailleurs de faire 2 remarques personnelles (donc qui n'engagent que moi)

1. Quel que soit le moyen de discussion avec le service client de SFR (téléphone, tchat, réseaux sociaux) les personnels SFR qui répondent comme "technicien" n'ont pas vraiment les mains dans la technique mais plutôt comme standardiste ou tchatteurs du matin au soir... Je n'irai pas les qualifier de techniciens, surtout au vu de mes contacts personnels depuis une quinzaine d'années.
2. Et de plus, et pour cette raison, il ne faut pas oublier non plus qu'ils sont parfaitement capables de dire gentiment à un client ce qu'il a envie d'entendre, sans que ce soit spécialement vrai... Ça s'est vu souvent sur le forum.

Donc bref, je ne conclurais pas si facilement sur ce point, mais de toutes manière personne ici n'a dit que vous étiez les seuls.

---

Pour le reste (double authentification par smartphone etc.), il faut bien se rendre compte que les pirates et hackers ont pris beaucoup d'avance depuis 10 ans et que la plupart des gros acteurs du secteur ont adopté ce genre de mesures depuis longtemps.

---

Quelle avance ont pris les hackers en la matière ?

• Je trouve qu'ils continuent (comme ça a toujours été le cas) à utiliser très très majoritairement le même principe depuis plus de 10 ans : la faiblesse et le manque de sérieux des utilisateurs => mots de passes très peu robustes et/ou tombent dans le panneau du phishing... Ça reste selon les DSI de très très très très très très loin la cause majeure des identifiants usurpés (et bien loin devant le post-it qui rappelle le mot de passe, ou le regard indiscret dans le train).
• À cette "faiblesse" humaine la double authentification est alors une réponse très efficace... mais elle oublie qu'il n'est pas normal que les gens ait si souvent un mot de passe faible ou se font gauler au phishing.

=> d'ailleurs pour reprendre les résultats des 2 DSI que je fréquente pour mon boulot, avec chacune plus de 1000 utilisateurs, l'une où la moitié sont des informaticiens, l'autre où c'est seulement 20%... Au bilan toujours autour de 10% (voire un peu plus) de collègues sont pigeonnés aux phishing factices qu'ils organisent régulièrement... Ça m'exaspère de me taper des double-authentifications de partout sur nos services du quotidien pour cette frange, je ne te le cache pas. Ça me fait le même effet que si on me disait que demain la route devant chez moi n'est plus limité à 30, mais à 15 km/h car il y a encore 10% des conducteurs qui n'arrivent pas à rester sous les 30...

Personnellement avant de déclencher le "plan vigipirate" de la double-authentification, je pense qu'il y a 2 étapes préalables très bénéfiques qui ne sont généralement pas mises en place sur la simple authentification :

1. bloquer tout compte dont le mot de passe n'est pas un mot de passe robuste au vu des règles d'aujourd'hui (ne pas attendre que l'utilisateur accepte de changer son vieux mot de passe tout pourri parce qu'il a la flemme ou n'en est même pas conscient).
2. ajouter le simple système de délai croissant exponentiellement entre 2 tentatives d'identification par mot de passe : un humain, en cas normal, se satisfera de 2-3 essais et ne sera pas vraiment pénalisé. Mais après 4,6, 8, 10 essais et plus, un robot en force brute qui se tape 2^10 secondes d'attente (pour un 10e essai, puis 2^11 puis 2^12 soit plus d'une heure) sera vite rendu inoffensif tellement ralenti dans son travail de forcené où il a besoin de tester des centaines, ou plutôt des centaines de milliers de combinaisons.

(même si effectivement ça n'empêche en rien le phishing comme ne l'empêche pas non plus la solution SFR bloquant le compte après quelques essais erronés... là-dessus il faut de la double authentification... mais comme déjà dit aucun acteur, y compris Google, ne l'a forcée sur les communications SMTP / IMAP pour les courrielleurs standard à ma connaissance, et donc ces protocoles d'accès standards laissent la brèche ouverte sans double authentification : pour ma part, mon Thunderbird se connecte à Gmail sans la moindre double authentification, ce qui laisse la possibilité à des robots pirates de faire des attaques... Pour que la double authentification soit vraiment d'intérêt, il faudrait que tous les chemins d'identification passe par elle... Or justement je répète SMTP et IMAP en sont souvent exemptés, même chez Google, ce qui donc laisse la place aux mêmes techniques des hackers. D'où l'intérêt de conserver des méthodes de défenses même sans double authentification, comme celle que j'énonce, ou celle basées sur les IP que tu as évoquées... et bien d'autres)

---

Je comprends bien la lenteur du traitement de ce genre de problèmes chez SFR, pour qui la messagerie client n'est qu'un petit plus sans valeur ajoutée pour l'entreprise, 

---

Pourtant ils l'ont complètement retravaillée et relookée assez récemment (enfin tout est relatif, ça doit bien avoir 3-4 ans ce projet de refonte).

Mais comme je te l'ai déjà, en effet, moi je trouve cet effort inutile :

1. le webmail, c'est le lit d'appoint pour 1 nuit, donc on peut se contenter de peu... Pour l'usage de tous les jours, je conseille autrement tous ceux qui me font le plaisir de me consulter : un courrielleur, c'est fait pour ça et ça me plait beaucoup plus.
2. de plus je déconseille très fort d'avoir une adresse propre à un FAI comme adresse qu'on souhaite conserver dans le temps...

C'est mon avis, donc subjectif, dans le cadre de notre discussion.

---

mais les défauts actuels (spams incessants à propos du CPF, ou envoyés prétendument par TotalEnergies, Engie, Lidl et autres, plus ce truc-là qui vient de sortir) tendent à montrer que la messagerie n'est pas du tout sécurisée, et que les carnets d'adresse des clients à moitié ouverts doivent bien souvent servir à relayer des cochonneries.

---

Pour être honnête ces faux mails sont à l'heure actuelle propres au système intrinsèque du mail (d'un point de vue service) et absolument pas spécifique à l'interface webmail de SFR MAIL.

Aujourd'hui, et tu le sais sûrement vu ton parcours, un mail c'est à peine plus fiable concernant l'expéditeur qu'un courrier postal.

Il y a des intentions de mieux fiabiliser cette authentification, et pourtant pour l'instant vu la force des habitudes et standards du passé, tout le monde fait du sur place sur ce protocole qui a déjà près de 60 ans d'après wikipédia... Mais il viendra un jour où (comme les appels téléphoniques d'ailleurs) un meilleur degré d'identification de l'émetteur sera garantit jusqu'au destinataire.

Bonjour @utilisateur_supprimé 

---

Là, je crois que nous nous éloignons un peu du sujet et que nous entrons dans de (trop longues) discussions d'opinions et d'ordre personnel 

---

C'est bien pourquoi je m'en étais abstenu dans ma première réponse en disant simplement 

C'est toi qui t'es lancé dans plusieurs arguments de plaidoyer, et donc je t'ai explicité en retour ma propre opinion que j'avais tue avant 😎

---

Là, je crois que nous nous éloignons un peu du sujet et que nous entrons dans de (trop longues) discussions d'opinions et d'ordre personnel qui n'ont pas grand-chose à voir avec la choucroute.

---

Là c'est un peu à contre-courant de ce que tu as écrit.

La majorité des "opinions d'ordres personnel" écrites dans notre échange sont parfaitement dans le sujet que tu as posé sur la table : le débat sur ta position (en gros "pourquoi donc SFR ne se met pas à la page avec de la double authentification") et donc ma réponse ("bof, pas très chaud pour ça moi") est en plein sur ce que tu as estimé être une part du problème dès ta deuxième contribution dans cette discussion.

A contrario, ma phrase, très courte d'ailleurs, sur la notion d'argument d'autorité n'en faisait pas partie (ou alors à titre très général) :

---

Je me contente juste de signaler que j'ai plus de 20 ans d'expérience dans le domaine ; des incidents, j'en ai ouvert des dizaines de milliers. J'ai l'habitude de décrire les problèmes techniques et j'ai une petite idée de ce qui se passe sous le capot aussi. Ce n'est pas un "argument d'autorité", juste mon expérience de tech.

---

L'augment d'autorité il n'est pas ce simple énoncé, mais il est bien présent dans ton propos.

Dire que tu as 20 ans d'expérience dans un domaine, et tout ce que tu viens d'ajouter là dire là, c'est un fait, c'est factuel.

Mais dire cela, comme tu l'as fait avant et le refait ici, pour "mieux appuyer ton argumentaire" c'est dire en gros "mon propos est plus digne de foi qu'un quidam car je m'y connais", c'est le sens pur et simple de l'argument d'autorité quand bien même c'est "juste ton expérience de tech", tout dépend comment tu exploites ton "expérience de tech" :

• si tu t'appuies sur cette expérience pour produire une ribambelle de vérifications, auxquelles un autre n'aurait pas pensé, etc. etc. Rien à redire, et aucun argument d'autorité, c'est juste 20 ans d'expérience de tech mise à profit pour bien chercher à cerner le problème.
• si tu t'appuies sur cette expérience pour dire "bon j'ai pas cherché à vérifié mais croyez-moi, c'est ça, forcément" (et même si tu ajoutes que par le passé sur d'autres cas c'était ça la solution), c'est la même expérience et pourtant c'est un argument d'autorité car rien n'est prouvé et c'est "juste parce qu'on a tel profil" que ça serait comme ça.

Donc oui c'est chercher à éviter tout argument d'autorité (et se contenter de considérer comme vrai seulement les faits prouvés, et considérer comme hypothétique tout ce qui relève de l'avis, la supposition, quelle que soit la personne dont il émane) qui pousse à éviter de mettre son CV sur la table pour être plus convaincant. Ce devrait être les faits avérés qui suffisent. Et admettre que le reste n'est que supposition à vérifier (au moins un minimum, surtout quand on peut).

Pour ma part je travaille dans l'informatique et sous le capot depuis plus longtemps que ces 20 ans et pourtant, comme je te l'ai dis, et j'essaye de m'abstenir des arguments d'autorité sur le forum (mon profil pro n'a pas d'importance). Du fond, du fond, du fond. C-à-d des éléments étayés. (Ça n'interdit pas les hypothèses aussi (ça les motive même) mais que je laisse au niveau des hypothèses tout à fait non étayées ou non prouvées tant qu'on ne les étaie pas ou qu'on ne les prouve pas).

Tout ce qui est supposition, même formulée par un expert du domaine, doit rester à son niveau de supposition gratuite (sinon justement on sombre dans l'argument d'autorité : je ne prouve pas, mais comme je m'y connais ma supposition elle vaut forcément plus qu'une supposition... enfin sauf quand je me trompe).

Je te l'accorde facilement, l'argument d'autorité c'est effectivement (à mon sens) une facilité dans laquelle on verserait naturellement, un peu comme faire confiance à l'évidence (dont on sait pourtant qu'il faut toujours se méfier) car effectivement quand un expert s'exprime, on pourrait croire que même sans étayer ses dires, il a forcément tout bon sur le problème...

Et pour finir, là oui, contrairement à ma phrase initiale de 2 ligne sur la questions, c'est une digression longue qui nous éloigne de la choucroute.

---

Pour le reste, Microsoft, Google, Facebook et les autres n'ont pas introduit des méthodes d'authentification forte pour ennuyer leurs utilisateurs

---

Qui a dit que c'était pour ennuyer les utilisateurs.

Moi-même j'ai d'ailleurs dit que c'était en large mesure dans le but de compenser le fait qu'ils ne faisaient pas assez d'efforts pour des mots de passes solides ou de tomber trop facilement dans les pièges du phishing.

Non, au contraire, la double authentification prétend ouvertement être un bien pour les usagers et c'est le discours généralement poussé par ces entités, aucun doute là-dessus.

(mais moi tu l'as compris, dans la plupart des cas elle m'embête plus qu'elle m'arrange : ce n'est ni ce qu'il y a dans la tête de ces organismes, ni même peut-être de la majorités des internautes, c'est mon avis à moi et donc totalement personnel et subjectif, mais que j'ai développé pour l'expliquer).

---

mais pour se prémunir d'attaques en provenance du monde entier opérées avec des ordinateurs de plus en plus puissants.

---

Tu es très léger dans une affirmation que je ne partage pas, mais pas du tout du tout du tout.

• Oui les ordinateurs sont plus puissants.
• Oui casser un mot de passe devient raisonnable... dans des cas favorables.
• Il est complètement illusoire dans la majorité des cas (il suffit de lire la littérature scientifique des avancées sur le sujet), sauf peut-être si un jour la bulle de l'informatique quantique se concrétise (là on pourra flipper).
• la double authentification ça ne sert en RIEN dans cette optique de puissance actuelle à casser ou non les mots de passer, ça sert à rendre inutile le fait même de "pirater" le mot de passe puisqu'il faudra aussi que le pirate se rende maître du deuxième facteur (ce qui devient franchement plus difficile et même normalement improbable).

---

L'authentification par mot de passe est obsolète car trop facile à casser ; c'est factuel.

---

Non ce n'est pas factuel et c'est faux.

• Je te mets au défi et avec tous les ordinateurs du monde que tu veux de casser un mot de passe de longueur raisonnable et avec tous les atours qui le rende difficile (les biens connus majuscules-minuscules, des chiffres, des symboles, etc. Y'a pas besoin d'être magicien pour en composer un, c'est la longueur (sans nécessiter trois pages hein, des longueurs de mots de passes contemporaines et actuelles) qui te rendra la tâche inaccessible avant ta propre mort, et je prends le pari)
• Pour certaines combinaisons (pas démentes hein, juste bien fichue, par exemple plusieurs de mes mots de passes du boulot parfaitement possible à retenir pour un humain) les chercheurs en cybersécurité (ça tombe bien j'ai une équipe juste dans les bureaux voisins) estiment la durée pour les casser par force brute pouvant monter à plusieurs dizaines de milliers d'années (ou même millions) sur leur serveur DELL servant d'étalon... Donc même avec une ferme de calculateurs en parallèle rien que pour un compte, tu vois un peu le côté illusoire même pour un hacker motivé et "ayant pris beaucoup d'avance".

Non, je redis que la double authentification ça ne compense que la faiblesse de certaines pratiques d'humains.

A contrario, tout comme certains disent (à juste titre d'ailleurs) que l'intérêt de la conduite automobile automatique c'est mieux car les machines auront moins d'accident que les humains, je t'ai accordé et je te reconfirme que la double authentication amène un énorme plus : car justement les humains ne se disciplinent pas bien et font de grossières erreurs avec leurs mots de passe (de phishing et de mots de passe faibles). S'ils étaient plus irréprochable, la simple authentification tiendrait bon (sauf sous la torture 🤣).

Donc je reste sur mon idée qu'on passe à la double pour la proportion d'utilisateurs qui tombent dans un de ces 2 pièges, ce n'est donc pas inutile (je ne leur dit pas "tant pis pour vous") mais je ne vais pas non plus faire croire que c'est une nécessité totale car on ne peut pas faire autrement et j'apprécie chaque endroit où je peux encore m'en passer sans qu'elle ne me soit forcée.

Le nombre de spams que je reçois sur ma messagerie SFR est hallucinant par rapport à celui que Outlook (Microsoft 365) ou Gmail est capable de filtrer ; là aussi, ce n'est pas pour le plaisir de râler que je l'écris. J'ai les trois, et ce depuis de nombreuses années.

---

Si c'est un peu pour le plaisir de râler car ce point n'a aucun rapport avec le problème d'authentification, simple ou double, de la messagerie.

Du spam, même s'il provenait d'une source clairement identifiée comme "Jean Dujardin" resterait du spam.

La, ce que tu me décris, c'est la force des systèmes de filtrage anti-spams qui épargnent (ou non) ta boite mail, comme quelqu'un de gentil qui viendrait trier ton courrier de La Poste pour t'éviter les pubs et le spams dans ta boite aux lettre de maison... En effet, je n'ai pas de mal à imaginer que le filtre anti-SPAM de SFR est faible par rapport à d'autres mastodontes du milieu. 

Une fois encore, je déconseille la messagerie d'un FAI (donc celle de SFR en particulier) comme adresse stable et durable dans le temps, donc là tu prêches un convaincu. Il y a des "fournisseurs" de boites mails pour cela, et il y a en particulier des fournisseurs de boites mails "gratuites" pour cela (mais qui se nourrissent de ce que tu étales devant leur yeux).

---

Le problème rencontré me paraît assez clair (si je n'ai pas fait de demande de réinitialisation tous les matins vers 08h00, c'est bien que quelqu'un d'autre le fait à ma place, manuellement ou via une appli)

---

C'est là où nos avis divergent, tu le sais, même si on est dans la répétition.

• On est d'accord sur le fait que c'est probable.
• Moi je ne suis pas d'accord pour conclure que c'est clair que c'est ça et pas autre chose

C'est toute la différence.

Et pour t'éviter de me demander ce que ça pourrait être d'autre, on pourrait imaginer une appli qui continue à tourner sur ton PC perso ou ton smartphone perso, avec les mauvais identifiants, et qui se réveille à 8h pour actualiser tes mails... Et qui bloque tout après 5 essais erronés forcément... C'est simpliste comme explication, c'est juste pour donner l'idée qu'imaginer que c'est forcément telle idée et que rien d'autre n'est imaginable ne me convient pas.

Quand tu auras fait le test du minimum minimorum, on en reparlera et je serais plus fermement de ton avis.

---

et je déplore qu'il ne soit pas possible d'ouvrir un ticket en bonne et due forme, avec suivi, auprès de SFR au lieu de laisser les clients sur le sable se débrouiller entre eux, quelle que soit leur bonne volonté

---

Oui.

Là pour ça il faudra changer de FAI car ça fait un longtemps que c'est comme ça et donc pas une surprise. Un vrai "système de ticket" chez notre opérateur était une suggestion évoquée, ICI par exemple, il y a déjà 8 ans... (Je ne sais d'ailleurs pas trop si c'est vraiment mieux chez les 3 autres réunis). Ça serait sans doute un net gain s'il était bien utilisé lui aussi.

À+ et bon courage face à ce problème pénible,

Bonsoir tout le monde.

les chercheurs en cybersécurité estiment la durée pour les casser par force brute pouvant monter à plusieurs dizaines de milliers d'années (ou même millions)

Dans le cas de Gmail qui fournit des mots de passe d'application quand on ne peut pas utiliser le protocole Oauth 2.0, il faut déjà pas mal de temps pour le cracker.

Gmail fournit des mots de passe d'application de 16 caractères minuscules. Il faut quand même 517 M d'années (sauf si on tombe dessus au premier essai)

Bonjour @clautty et @utilisateur_supprimé 

---

Ce qui semble se passer est tout bête : un robot ou une application tierce tente de se connecter à mon compte à une heure précise (sans doute le même que @clautty...) et/ou procède à une demande de réinitialisation de mon mot de pass

[...]

Si je reçois des mails de réunitialisation à 08h06 et @clautty à 08h04, ce n'est sûrement pas un hasard. On peut parier à bon droit que le zigouigoui à l'origine de tout ça utilise une liste de plusieurs centaines d'adresses SMTP en sfr.fr, et les teste les unes après les autres.

[...]

Le problème rencontré me paraît assez clair (si je n'ai pas fait de demande de réinitialisation tous les matins vers 08h00, c'est bien que quelqu'un d'autre le fait à ma place, manuellement ou via une appli)

---

Je repensais à ce scénario (robot qui tente de rentrer de force en cherchant à casser le mot de passe d'un tas d'identifiant "adresse e-mail" de SFR...)

Mais du coup je ne vois pas son intérêt à demander une réinitialisation du mot de passe du client ? IL ne recevra pas les informations, et pire ça va mettre la puce à l'oreille à la victime.

Cette affaire reste assez impénétrable et pas du tout "claire" pour moi.

à+

même situation pour moi

Bonjour, 

Cette personne n’est pas la seule concernée.

Depuis avant-hier, tous les matins à 08h03, mon père reçoit un mail de réinitialisation de mot de passe et perd l’accès à son compte jusqu’à ce qu’il en mette un nouveau. Cela ne fait que quelques jours et c’est déjà particulièrement usant !

Nous espérons qu’une solution sera trouvée dans les plus brefs délais, à défaut, nous résilierons les abonnements de toute la famille.

Bonjour à tous, si pour moi le problème s'est résolu tout seul (quoique j'en doute fort) cela continue hélas pour vous.

Je vous souhaite de la patience car c'est très désagréable et une perte de temps.

Bonne journée 

Claude