SFR mail MFA/double authentification

Bonjour @Léon 

---

Toujours pas de MFA (multi factor), double authentification ou passkey.

Il faut être clair. En l'absence de ces éléments de sécurisation basiques, UTILISER UN MAIL SFR EST SUICIDAIRE.

---

Tu exagères un peu, ça rend nettement moins difficile de rentrer dans ton compte... mais il n'en demeure pas moins qu'il faut casser ton mot de passe.

---

C'est comme se promener nu dans la rue avec un énorme panneau "venez me frauder".

---

Pas exactement tu exagères à nouveau.

C'est comme se promener dans la rue avec un Daneau "venez ESSAYER de me frauder, car mon cas est plus facile que d'autres".

Mais c'est loin d'être gagné d'avance.

Si le "client" n'est pas benêt de ne fourni pas d'indices pour trouver son mot de passe (comme des noms de sa famille, etc.), un mot de passe avec suffisamment d'aléas dedans (càd un nombre de lettres importants, des caractères hors de l'alphabet, des chiffres, des majuscules, etc.) pourra résulter en une nécessiter de millions d'années d'essais par ordinateur pour le casser.

Les méthodes qui assurent de prendre moins de temps

La double authentification protège bien mieux pour d'autres raison :

• elle rend "solide" la situation même pour un inconscient qui a un mot de passe trop facile (un mot du dictionnaire, 123456 ou autre bêtise)
• elle nécessiterait de prendre le contrôle de 2 appareils séparés de la victime (s'il y a une chance sur 100 de le faire sur un appareil, ça fait donc 1/100 x 1/1000 soit 1 chance sur 10 000 d'y réussir)
• de ce fait, (le contrôle d'un deuxième vecteur), elle annule pratiquement les technique par phishing (sauf si une fois encore, l'utilisateur est bête à manger du foin et non seulement "donne" son mot de passe par phishing, mais généralise le même mot de passe sur ses autres comptes et appareils, ce qui fait alors que le MFA ne le protège plus totalement non plus.

Donc oui, si SFR mettait en œuvre la double authentification, ce sera un "plus" qui irait dans le bon sens.

Pour l'instant, entre choisir un bon mot de passe très difficile à casser, et donner mes discussions perso (et celles de ceux qui m'écrivent) à un GAFA comme Google, mon choix est fait cependant. (Mais c'est mon avis, purement personnel et subjectif forcément).

À+

La réalité est que la majorité des gens :

-utilisent des mots de passe simples

- ne les renouvellent jamais

- les réutilisent sur de multiples sites

Quand à l'argument de SFR vaut mieux un GAFAM...sérieux? Je prendrais ton argument au sérieux si tu proposais Protonmail...

Pour revenir à la base de mon argument, il est honteux que les fournisseurs français ne proposent pas de MFA (je crois que Orange c'est  pareil). C'est mettre délibérément en danger ses clients.

Bonjour @Léon 

---

 

Pour revenir à la base de mon argument, il est honteux que les fournisseurs français ne proposent pas de MFA (je crois que Orange c'est  pareil).

 

---

Orange a mis en place la double authentification depuis quelques mois.

Deux méthodes:

1- on est branché à sa Livebox et Orange considère ceci comme le second facteur d'authentification

ou

2- Demande de connexion sur l'appli mobile "Orange et moi", si on n'est pas connecté à sa Livebox.

Concernant la force du mot de passe, Google fournit des mots de passe d'application de "seulement" 16 caractères minuscules.

Il faut quand même 12 milliards d'années pour le cracker (à moins de tomber dessus du premier coup)

A noter SFR bloque le compte au bout de 10 tentatives de connexion échouées.

Les méthodes de MFA d'Orange m'interrogent un peu, mais ce n'est pas le sujet ici.

Vous êtes hyper optimiste sur les mots de passe. Ce vous dites est valable pour qui utilise des mots de passes uniques et complexes. 

A moins d'être un psychopathe cela revient à dire les utilisateurs de gestionnaires de mot de passe.

Mais l'humain lambda va encore souvent utiliser le même mot de passe basique sur tous ses sites, importants ou non, correctement sécurisés ou non.....et ensuite il suffit au pirate de remonter. 

Quel beauf de base va connaître haveibeenpwnd ou connaitra l'existence de la base Alien ?

Bonjour @Léon 

La réalité est que la majorité des gens :

-utilisent des mots de passe simples

- ne les renouvellent jamais

- les réutilisent sur de multiples sites

La majorité, j'en doute fortement et je pense que c'est exagéré. As-tu un quelconque chiffre ou un article corroborant qu'ils sont la "majorité" ?

Cependant, indiscutablement oui (comme je l'ai déjà écrit) :

• il y en a, hélas
• et pour eux j'écrivais : la double-authentification rend "solide" la situation même pour un inconscient qui a un mot de passe trop facile (un mot du dictionnaire, 123456 ou autre bêtise)

Ils sont cependant d'autant moins nombreux que désormais, la plupart des systèmes de mot de passe REFUSENT qu'on définisse un mot de passe trop simple, rendant cette situation de moins en moins possible dans la réalité.

Quand à l'argument de SFR vaut mieux un GAFAM...sérieux? Je prendrais ton argument au sérieux si tu proposais Protonmail...

---

Ce n'est pas un argument, c'est ma propre préférence, en conclusion du message (et j'ai bien pris la peine de ne pas vouloir "généraliser" mon avis à tout le monde en indiquant illico que c'est mon choix, subjectif... précaution que tu ne prends pas en affirmant ton propre avis, et non des faits, à plusieurs reprises).

Oui, je préfère me choisir un mot de passe difficile à casser qu'utiliser un fournisseur de mail GAFAM. Sérieusement.

Tu as parfaitement le droit de préférer autre chose.

(ai-je le droit de dire que moi je préfère la glace à la pistache à quelqu'un qui voudrait que le parfum chocolat soit forcément en vente car ce serait un incontournable ?)... Il faut proposer Protonmail pour avoir le droit à exprimer sa préférence ? Diantre.

---

Pour revenir à la base de mon argument, il est honteux que les fournisseurs français ne proposent pas de MFA (je crois que Orange c'est  pareil). C'est mettre délibérément en danger ses clients.

---

Dans la mesure où chacun de ces 2 fournisseurs (Orange et SFR) interdisaient déjà les mots de passes faciles que (pourtant) tu affirmais être la réalité de la majorité des utilisateurs, leurs clients ont alors des mots de passe qui n'entrent pas dans la catogorie des faciles à casser (et sont plutôt de l'ordre d'un gros paquets d'années pour être cassés).

Ton affirmation encore une fois exagérée est fortement biaisée par l'objectif que tu poursuis : vouloir absolument que la double-authentification soit proposée (ce qui n'est pas un mal en soi, bien au contraire, comme dit dans ma première réponse elle vient combler les trous très efficacement), mais en exagérant la réalité de la situation.

Ça me fait penser à un parent qui dirait "Attention tu peux mourrir si tu avales le noyau car un arbre pourrait pousser dans ton ventre !". Certes ça part d'une bonne intention, mais en exagérant ainsi à l'extrême ("suicidaire", etc.) on s'écarte aussi de la réalité, et de beaucoup beaucoup.

---

Vous êtes hyper optimiste sur les mots de passe.

---

N'hésite pas à en parler à la "Direction du numérique", qui existe au plan national dans notre pays, afin de faire modifier cette page du service public qui diffuse l'infographie de cette table "optimiste" de la résistance des mots de passe sur laquelle s'est appuyé @TagadaTsoinTsoin : https://www.francenum.gouv.fr/magazine-du-numerique/combien-de-temps-un-pirate-met-il-pour-trouver-v... 

Pour info annexe, cette direction a rappelé, encore une fois le 28 février dernier, que tous les établissement scolaires (notamment les universités et écoles supérieures donc) ne doivent PAS utiliser des suites logicielles dont le code source ne permet ni d'héberger les données en local, ni d'être sûr qu'elles ne sont pas aspirées, et citant explicitement un GAFAM comme Microsoft et son Office 365, Teams et compagnie comme des outils proscrire de tout choix informatique (rappel qui a été fait de manière "musclée" car bon nombre de ce genre d'établissements cédaient en effet aux sirènes de Microsoft, Teams, etc. et pédalaient dans le sens inverse...)

---

Ce vous dites est valable pour qui utilise des mots de passes uniques et complexes. 

A moins d'être un psychopathe cela revient à dire les utilisateurs de gestionnaires de mot de passe.

---

Bien sûr que non.

• Je n'utilise aucun gestionnaire de mot de passe (jamais eu besoin).
• J'utilise des mots de passe "pas faciles à casser" (selon tous les algorithmes qui évaluent le temps nécessaire pour les casser à un énorme paquet d'années, y compris ceux de labos de recherche en cybersécurité) mais qui ne sont pas des suites de caractères informatiques aléatoires sortie par tel ou tel générateur informatique... C'est sorti de mon cerveau humain.
• Il y a une "logique" personnelle dans les mots de passe que je me crée, avec de plus une variante à chaque fois liée au site concerné (donc pas deux mots de passe identiques).
• La plupart des gens à qui j'en parle autour de moi ont adopté le même principe de construction : mes enfants et ma famille (parce que je leur ai conseillé ainsi peut-être) mais aussi des collègues de travail ou d'autres amis (à qui je n'avais jamais donné ce conseil) : cette "hygiène informatique" semble maintenant quand même un classique je trouve.

En tous cas, non, construire un mot de passe "solide et résistant" n'implique pas forcément d'être psychopathe ni utilisateur de gestionnaire (mais le gestionnaire est très bien pour les stocker et ne pas être obligé de passer par "mot de passe oublié" chaque fois qu'on en oublie un... ce qui est hélas le réflexe de la plupart des ados que je croise, y compris les miens hélas)... Mais "oublier" son mot de passe n'implique pas qu'il soit faible et de mauvaise qualité, ce qui est plutôt facile à atteindre quand on s'applique un peu.

N.B. Par exemple, te concernant, le mot de passe "Leon=foruM+2025!" est qualifié de super costaud par tous ces évaluateurs de mots de passe, avec à la clé plusieurs siècles avant d'être cassé. Ni basique, ni psychopathe, non ?

Mais l'humain lambda va encore souvent utiliser le même mot de passe basique sur tous ses sites, importants ou non, correctement sécurisés ou non.....et ensuite il suffit au pirate de remonter. 

---

C'est fort possible que l'humain lambda ne prenne même pas les précautions de base qui le sauverait.

Mais, comme rappelé ci-dessus, un nombre très conséquent de sites (notamment les "sites importants" comme tu dis) n'acceptent même pas les mots de passe basiques (ce qui infirme déjà de beaucoup ton affirmation) => mais une fois encore, as-tu une quelconque source qui attesteraient que la réalité est celle que tu décris ? ou c'est plutôt ton avis ?

Mais oui, il y a beaucoup de gens qui (même si les sites les forcent à un mot de passe solide) réutilisent à tort le même mot de passe sur d'autres sites. Là, leur salut (et la non-remontée du pirate à tous leurs autres comptes) dépend donc de la "résistance" de leur mot de passe réutilisé hyper souvent => d'où le fait que de nombreux sites empêchent de définir un mot de passe basique justement. Ce qui combat ce risque.

Quel beauf de base va connaître haveibeenpwnd ou connaitra l'existence de la base Alien ?

---

Les beaufs, tu le dis avec amour en sachant que bon nombre de tes proches sont dedans j'imagine ? (même si toi tu n'en es pas un).

Même si (hélas) beaucoup d'utilisateurs ont pu utiliser et réutiliser le même mot de passe sur plusieurs sites (comme on vient d'en parler), mais dans la mesure où ces personnes "qui ont un seul mot de passe" ont dans le lots des sites qui interdisent que ce mot de passe unifiée soit simple, disons que leur ignorance de toutes ces fuites ne les lèse pas trop...

• Au mieux il n'y a rien concernant le mot de passe dans ces fuites (c'est même très fréquent)
• Au pire (mais ce n'est pas si fréquent) les fuites ont récupéré le hachage du mot de passe (et là les techniques de cassage de mot de passe brutales peuvent être grandement améliorées. Cependant ça reste un problème clé du chiffrement qui pour l'instant n'est pas du tout considéré comme "facile" pour remonter au mot de passe à partir de son haché... D'ailleurs cette grosse difficulté reste un élément clé par exemple dans les transactions par carte bancaire et code secret).

---

@TagadaTsoinTsoin  a écrit :

A noter SFR bloque le compte au bout de 10 tentatives de connexion échouées.

---

La méthode que je préfère n'est pas tant un nombre maximum (et incontournable) de tentatives échouées, mais l'augmentation du délai d'attente entre 2 tentatives (par exemple une multiplication par 2 du délai à chaque fois ce qui donne une exponentielle 2^n au énième essai, ce qui est rédhibitoire pour un algorithme ou un pirate qui cherchent à casser le mot de passe sans avoir d'indices dessus).

À+

oui les français (ou du moins beaucoup de français) utilisent des mots de passes trop simples :

https://www.bfmtv.com/tech/cybersecurite/123456-doudou-les-francais-utilisent-toujours-les-memes-mot...

Sinon, vous vous concentrez sur le fait que le mot de passe est difficile ou non à cracker.

Mais ça suppose qu'il y ait besoin de le cracker.

Ce que je constate régulièrement est assez différent et est souvent basé sur la réutilisation de mot de passe :

Une personne possède un compte chez une société victime de cyberattaques (le top 2024 : https://www.netexplorer.fr/blog/10-cyberattaques-qui-ont-marque-la-france-en-2024). 

Avec les infos récupérées, le fraudeur avance en latéral vers des sites plus importants (sites financiers et surtout email et boite mail : et là c'est le Graal, la mine d'information, et l'accès à la boîte mail : envoyer des mails frauduleux, réinitialiser des mots de passe).

Et là encore seul le MFA peut sauver la client... et SFR ne le propose pas même en option.

Bonjour @Léon 

Oh que oui, le débat sur l'introduction de double-authentification est légitime (je répèterai même qu'il est déjà plié depuis le début de notre conversation : c'est un plus tout à fait utile).

Ce qui est moins légitime c'est de l'alimenter avec des frayeurs exagérées.

Et ça recommence avec ce superbe argument :

oui les français (ou du moins beaucoup de français) utilisent des mots de passes trop simples :
https://www.bfmtv.com/tech/cybersecurite/123456-doudou-les-francais-utilisent-toujours-les-memes-mot... 

Hélas la source que tu donnes n'est pas très convaincante car elle ne se base aucunement sur une évaluation de l'ampleur de ce "beaucoup".

• Et l'argumentaire est très léger puisque se basant sur les "mots de passe les plus utilisés" (manifestement des mots de passe très faibles), on en conclurait (comme toi on dirait) que beaucoup de français utilisent donc un mauvais mot de passe.
• Alors qu'à l'évidence ce raisonnement est fallacieux, être le "plus utilisé" ne veut pas dire qu'il est plus nombreux (ni majoritaire) face à tous les "bons" mots de passe (qui eux sont souvent strictement personnels et donc utilisés 1 seule fois par 1 seul utilisateur, donc très bas dans ce classement évidemment).

=> en fait cet article démontre juste qu'il y encore "des français" qui utilisent des mauvais mots de passe, mais on ne sait absolument pas s'ils sont un nombre majoritaire, etc. etc.

• C'est comme conclure que comme MARTIN est le nom de famille le plus utilisé, alors forcément il y a "beaucoup" de gens autour de moi qui portent le nom MARTIN (ah ben pas de chance dans ton mon entourage, famille, amis, travail, je n'en connais qu'un dont le nom de famille est MARTIN).

Imaginons qu'il y ait 5 ou 10 millions de fois où un mot de passe comme "123456" est utilisé...

C'est beaucoup ? C'est grave ?

• BEAUCOUP ? et bien au fond déjà c'est pas beaucoup si on rapporte au fait qu'un français a en moyenne un gros paquet de mots de passe à droite à gauche par personne, je dirai aisément plus d'une vingtaine créés ça et là par personne (alors 10 millions, sur 600 millions, est-ce que ça reste beaucoup... ? En tous cas ça fait moins de 1,7 % dans cette hypothèse (qui ne me parait pas du tout aberrante)... Concluera qui veut que 10 millions ça fait beaucoup ou non alors vu ce pourcentage ???
• GRAVE ? Non seulement un tel pourcentage serait déjà beaucoup moins alarmant que de laisser entendre que les mots de passe foireux seraient presque majoritaires (alors qu'en fait ils ne couvrent qu'une minorité des mots de passe utilisés), mais surtout et tu feins de l'ignorer en donnant cette source => tous ces mots de passe foireux ne SONT PAS UTILISÉS pour les "sites importants" (comme tu les qualifiais) puisque qu'il faudrait qu'il soit accepté... Or on sait toi et moi que 123456 et autre vainqueurs de ce classement n'est PAS validé comme mot de passe chez SFR, chez Orange ou tout autre service "important". Donc ces mots de passes foireux servent mécaniquement uniquement pour des services foireux.

Et justement (en refaisant le travail de prise de recul que cet article n'a pas voulu faire) il semblerait même que je sois carrément dans le vrai et que je sur-estime même ce pourcentage qui est encore plus faible dans la vraie vie :

1. voici donc la liste des "mauvais" mots de passes constatés et surtout, leur nombre : https://nordpass.com/fr/most-common-passwords-list/ 
   • 3,9 millions de fois "123456", 1,6 millions de fois "123456789"... 885 000 fois "12345678", 693 000 fois "password", etc.
   • mon ordre de grandeur de 10 millions pour ceux-là n'est pas mauvais du tout non ?
2. voici une estimation du nombre de mots de passe par utilisateur : https://secureframe.com/fr-fr/blog/password-statistics 
   • entre autres éléments très instructifs, ils affirment "une personne moyenne jongle entre 70 et 80 mots de passe pour plusieurs comptes."
   • mon ordre de grandeur de 600 millions de mots de passes de français était donc largement sous-estimé : il y a (selon Google) 32 598 639 d'adultes français de 20 à 59 ans, et déjà rien que eux (sans les ados et les plus vieux), ça ferait 2,28 milliards de mots de passe.
   • donc les 10 millions (allez doublons jusqu'à 22,8 millions pour que ça tombe juste) de mots de passe foireux dénombrés par cette étude sur les français ne représentent alors que seulement 1 centième des mots de passes... En fait ils ne sont pas majoritaires, ils sont même ultra-minoritaires. 

Comme quoi on peut être "le mot de passe le plus utilisé" (ou le nom de famille le plus utilisé) et pour autant ne pas être très fréquent.

On a du mal à qualifier 1% = "beaucoup de français utilisent des mots de passe foireux" (et encore moins de craindre que ce soit sur des sites importants).

Sinon, vous vous concentrez sur le fait que le mot de passe est difficile ou non à cracker.

Mais ça suppose qu'il y ait besoin de le cracker.

C'est vrai, c'est une supposition.

Mais je n'ai pas évoqué que ce cas-là, j'ai aussi parlé des fuites de données (et la quasi impossibilité de s'en servir pour reconstituer le mot de passe). C'est la situation que tu évoques à nouveau ci-dessous.

---

Ce que je constate régulièrement est assez différent et est souvent basé sur la réutilisation de mot de passe :

Une personne possède un compte chez une société victime de cyberattaques (le top 2024 : https://www.netexplorer.fr/blog/10-cyberattaques-qui-ont-marque-la-france-en-2024). 

 

Avec les infos récupérées, le fraudeur avance en latéral vers des sites plus importants (sites financiers et surtout email et boite mail : et là c'est le Graal, la mine d'information, et l'accès à la boîte mail : envoyer des mails frauduleux, réinitialiser des mots de passe).

---

Et tu fais toi là une supposition erronée, qui infirme ton propos.

1. D'une part dans ces cyberattaques qui récoltent énormément de données personnelles il n'y a pas toujours (mais vraiment loin de la) des données relatives aux mots de passe
2. Mais par ailleurs et surtout, n'importe quel logiciel "de site importants" (comme tu disais) qui a mécanisme d'accès par mot de passe ne STOCKE NULLE PART ces mots de passes (donc ils ne peuvent pas être dérobés ni fuiter) :
   • ce qu'un logiciel stocke sérieusement ce sont des hâchés de ces mots de passe (c'est vraiment la base de la base, lire https://www.dashlane.com/fr/blog/quest-ce-que-le-hachage-des-mots-de-passe et je doute qu'à part un stagiaire qui fait un logiciel tout seul, aucun développeur ne l'évite aujourd'hui, et surtout se base sur des fonctions de hachage réputées fortes (car certaines ont été largement anéanties)).
   • Et l'irréversibilité d'un hachage comme l'explique cet article, complique tout de même énormément le travail d'un hacker qui aurait dérobé ces données (bref, une fois encore on se heurte à la limite qu'un mot de passe suffisamment long, même dont l'empreinte hachée à fuite, sera inutilisable en temps humain).

Bref, non, il reste un peu de craquage à faire même dans les données fuitées quand il s'agit d'une fuite d'un site important (comme tu le nommais)... Et ce travail de craquage est le plus souvent de l'ordre de l'infaisable.

On reste très bien protégé avec un mot de passe long, contenant des caractères spéciaux dedans, etc.

Néanmoins, je répète que la double-authentification a du bon, comme je l'écrivais dès ma première réponse :

• elle rend "solide" la situation même pour un inconscient qui a un mot de passe trop facile (un mot du dictionnaire, 123456 ou autre bêtise)
• elle nécessiterait de prendre le contrôle de 2 appareils séparés de la victime (s'il y a une chance sur 100 de le faire sur un appareil, ça fait donc 1/100 x 1/1000 soit 1 chance sur 10 000 d'y réussir)
• de ce fait, (le contrôle d'un deuxième vecteur), elle annule pratiquement les technique par phishing (sauf si une fois encore, l'utilisateur est bête à manger du foin et non seulement "donne" son mot de passe par phishing, mais généralise le même mot de passe sur ses autres comptes et appareils, ce qui fait alors que le MFA ne le protège plus totalement non plus.

Je ne donc que répéter « Donc oui, si SFR mettait en œuvre la double authentification, ce sera un "plus" qui irait dans le bon sens. ».

À+