Smartphone France Application Smartphone France pour Windows
Bienvenue sur Smartphone France Windows Edition
Actuellement, 186 visiteurs en ligne
Vous utilisez un bloqueur de publicités ? Félicitations :)
Actualité Smartphone France

Retour au sommaire du site

  Piraté à cause de la double authentification !
 Publié le 25/10/2022 à 18:00 - 15 commentaires ...

Alors que cybermalveillance.gouv.fr, la référence française en matière de cybersécurité nous recommande d'activer la « double authentification » lorsque c’est possible, nous tenions à vous raconter la petite histoire qui est arrivé à une de nos connaissances. Détenteur d'un compte Microsoft, Daniel (Prénom bien sûr remplacé), a cru bon protéger son compte par une double authentification par numéro de mobile et par adresse de courrier électronique. Une bonne chose nous direz-vous ?

Le problème est que sans le savoir, Daniel s'est fait pirater son email de notification / récupération alors que son compte Microsoft n'avait aucun problème. Les pirates malins, ont juste utilisé la procédure officielle pour Réinitialiser un mot de passe de compte Microsoft. Grâce à cette procédure, ils ont pu en passant par cet email externe, accéder le plus simplement du monde à son compte Microsoft en réinitialisant tout simplement le mot de passe.

Certes sur ce coup Daniel n'a peut-être pas été le plus prudent en ne remarquant pas que son mot de passe a changé. Le problème est que cette procédure de récupération qui est totalement stupide. Comment à partir d'un simple email externe est-il possible de réinitialiser complètement un compte Microsoft ? Microsoft juge que ses procédures de sécurisation sont suffisantes mais pas nous.

Suite à cette mésaventure de Daniel, nous vous invitons donc à être très prudents avec des comptes sensibles comme les comptes Microsoft, Google ou Apple qui permettent d'accéder à beaucoup d'autres services. Pour ceux ci-une application de type "Authenticator" doublée d'une vérification par SMS sera préférable. Ces protections ne sont certes pas inviolables mais si vous vous faîtes voler votre téléphone vous le verrez et pourrez agir vite. Si vous vous faîtes pirater votre email, ce n'est pas certain que çà soit le cas ce qui laisse du temps aux pirates pour agir.


 25/10/2022 19:00:37 - Christophe - Le Webmaster ...
A noter que sur les comptes Microsoft il est possible de recevoir des notifications en cas de modifications importantes sur un compte. En mettant plusieurs adresses emails de récupération il reste donc possible de garder un autre email propre pour au moins recevoir des notifications en cas d'action suspecte. La sécurité informatique est avant tout basée sur la vigilance.
 25/10/2022 20:38:50 - dada051
L'email secondaire pour la récupération du mot de passe, ce n'est pas la même chose que la 2FA. D'ailleurs, la 2FA, ça s'active aussi sur l'ensemble de ces comptes quand c'est possible y compris ceux de secours donc.

"Pour ceux ci-une application de type "Authenticator" doublée d'une vérification par SMS sera préférable" : pas forcément, ça veut dire remettre l'ensemble de la sécu sur un seul appareil, mobile et donc perdable qui plus est. Un bon mot de passe + code TOTP (qu'on peut stocker sur son mobile ou ailleurs) c'est probablement le plus simple.
 25/10/2022 20:56:48 - Christophe - Le Webmaster ...
@dada051 : Chez Microsoft l'email de récupération peut servir pour recevoir un code pour l'authentification renforcée au même titre qu'un SMS ou un code OTP.

Après pour l'OTP via application de type Authenticator, c'est ce que j'utilise mais la faille rencontrée par ma connaissance n'a aucun lien. Il avait bien un OTP de configuré mais également un email. C'est via ce compte email, lui même piraté, qu'il s'est fait piraté son compte Microsoft. Bref méfiance avec la protection ou la récupération réalisée par un email pas vraiment sécurisé. Une réinitialisation de mot de passe réalisée à partir d'un email peut s'avérer être très dangereuse.

Sincèrement avant cette expérience je ne pensais pas qu'on pouvait réellement réinitialiser complètement un compte Microsoft, ou d'autres d'ailleurs, juste à partir de l'accès à une boite mail. Quand on voit le nombre de boites mails françaises piratées sur le darkweb, il y a vraiment de quoi s'interroger sur le sujet. Cet article est juste un conseil, rien de plus :)
 25/10/2022 22:35:08 - VortiFred
Il faut donc vérifier toute la chaîne et que chaque compte et numéro de secours dispose également de la double authentification et qu’elle soit bien active. Finalement vivement la fin des mots de passe et que l’authentification à deux facteurs devienne rapidement la norme partout.
(c’est la poste qui va être contente… :'D )
 25/10/2022 22:37:24 - Christophe - Le Webmaster ...
@VortiFred : C'est exactement ça :)
 25/10/2022 23:35:29 - Sportgogo
Je comprends pas : comment les pirates on eu connaissance du compte principal (pas piraté si j'ai bien lu) qui était lié au compte secondaire de récupération ?

Publié via l'application Smartphone France pour Windows/Windows Phone ou Android ...
 25/10/2022 23:41:12 - Christophe - Le Webmaster ...
@Sportgogo : En fouillant dans les emails existant on trouve pas mal de choses aujourd'hui. Si certains emails restent dans une BAL il est assez simple de savoir par exemple qu'elle sert de compte de récupération pour un autre compte. Le monde est tellement connecté aujourd'hui ...
 26/10/2022 00:06:19 - Skypichat
@Christophe - Le Webmaster ... : il faut aussi vérifier les appareils qui ne sont pas de confiance. Dans le cas d'une connexion étrangère, Microsoft ou même Google envoient une notification sur authenticator est mail. Donc bien éliminer les appareils étranges.
Des fois je déconnecte tous les appareils. Ça implique une reconnexion, mais c'est plus propre.
Beaucoup de gens gardent en mémoire sur les navigateurs qui ne sont pas les leurs aussi. C'est une bêtise.

Publié via l'application Smartphone France pour Windows/Windows Phone ou Android ...
 26/10/2022 06:47:55 - Vortifred
le 21/10/2022 quelqu'un a tenté de se connecter sur mon compte Microsoft depuis le Rwanda (197.243.14.45) :-(
le piratage est de + en + actif !

Publié via l'application Smartphone France pour Windows/Windows Phone ou Android ...
 26/10/2022 09:38:57 - Spike37
@Sportgogo, @Christophe : la première règle quand on lie un compte à un autre est de supprimer le mail de confirmation de l'opération. Perso je supprime systématiquement et dans la foulée tous ces mails et vidage de la corbeille.
 26/10/2022 09:57:51 - Christophe - Le Webmaster ...
@Spike37 : Bon conseil effectivement.
 26/10/2022 19:48:00 - Hacheman
@Spike37 : bien vu.

Publié via l'application Smartphone France pour Windows/Windows Phone ou Android ...
 27/10/2022 13:24:11 - Sportgogo
En effet j'efface les mails en général. Mais les mails que je reçois de Microsoft sur l'adresse de notification contiennent l'adresse principale tronquée (avec des ***)

Publié via l'application Smartphone France pour Windows/Windows Phone ou Android ...
 29/10/2022 08:14:03 - Lauca
une bonne identification repose sur 3 éléments : ce que l'on sait (mot de passe), ce que l'on a (clé, carte, smartphone...) et ce que l'on est (biométrie). Une identification forte impose les 3 en même temps (aux prix d'une contrainte plus forte...)

Publié via l'application Smartphone France pour Windows/Windows Phone ou Android ...
 01/11/2022 14:33:51 - Groslap
Idéalement, il faut que l'authentification 2FA soit activée sur les comptes mails principaux et secondaires. Sinon, il y a potentiellement une possibilité de simplifier la double authentification pour réinitialiser un compte mail, en utilisant un compte secondaire qui aura pu être piraté.

Publié via l'application Smartphone France pour Windows/Windows Phone ou Android ...

Dorénavant pour publier des commentaires il faut posséder un compte sur le Forum du site et s'authentifier

Créer un compte sur le forum du site

S'authentifier sur le site avec son compte personnel




Retour à la page principale du site