Gestion catastrophique des mots de passe par des sites et services : faites-nous part de vos expériences !

Gestion catastrophique des mots de passe par des sites et services : faites-nous part de vos expériences !

Peur sur le Net

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

20/01/2023 2 minutes
134

Gestion catastrophique des mots de passe par des sites et services : faites-nous part de vos expériences !

Un mot de passe doit être unique et robuste, car il permet de débloquer l’accès à des comptes.  Problème, certains ne respectent pas les bases élémentaires de sécurité avec des mots de passe parfois stockés en clair, envoyés par email ou via le service client « par souci de simplicité ». Les conséquences peuvent être fâcheuses pour les utilisateurs.

Cette semaine, nous avons détaillé la gestion catastrophique des mots de passe chez le fournisseur Wekiwi, pratique qui va à l’encontre des règles de sécurité les plus basiques et ne respecte pas les recommandations de la CNIL. Des pratiques d’un autre temps, que nous avions déjà dénoncées il y a plus de dix ans.

Mais ce n’est – malheureusement – pas le seul service à agir de la sorte. Impossible pour nous de tester l’ensemble des sites, logiciels, services… Aussi, nous avons décidé de lancer un appel à la communauté : signalez-nous ceux qui vous semblent problématiques. Nous enquêterons sur leurs pratiques et préviendrons les services concernés.

Pour cela, rien de plus simple, il suffit de nous envoyer un email à cette adresse :

Vous pouvez nous exposer les problèmes rencontrés, ou bien nous questionner sur certaines pratiques qui vous paraissent étranges ou suspectes. Nous nous pencherons sur tous les signalements et, dans la mesure du possible, nous répondrons à vos questions.

N’hésitez pas non plus à passer le message autour de vous !

Si vous vous demandez quelles sont les règles à suivre et les recommandations officielles de la CNIL et de l’ANSSI, nous avons consacré des dossiers à ces sujets (désormais en accès libre). Vous pouvez également faire appel à un gestionnaire de mots de passe pour éviter d’avoir à tous les retenir.

134

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (134)


Tout site qui me renvoie mon mot de passe dans le mail de confirmation m’inquiète gravement. Orange en faisait encore partie il y a peu.


Oh oh, je sens que cette histoire va être croustillante…


Quelques comportements pénibles/ahurissants:




  • Les sites qui ont un javascript pour empêcher les copier/coller des mots de passe lors de la création des compte (surtout lors de la 2nde saisie du mdp pour vérifier qu’il est identique au 1er). Beaucoup de sites institutionnels français mais pas que. Ca rend l’usage d’un keepass pénible car il faut truander pour injecter le 2nd mdp.

  • Les caractères spéciaux qui sont obligatoirement dans une liste prédéfinie (et qui promeuvent l’hégémonie du $). Des £§µ¤€ par exemple sont considérés comme “non spéciaux” et donc bloqués quand il faut avoir 4 types de caractères. Ca rend là aussi l’usage d’un générateur de mdp complexe car certains type générés peuvent être invalides.

  • Les codes de connexion aux banques qui ne sont basés que sur des digits. Voire que sur 4 digits :eeek2: Quasi toutes les banques semblent concernées. No comment pour ça.


Pour le code PIN utilisé par les banques, Jean a donné des explications ici ;)


gathor

Pour le code PIN utilisé par les banques, Jean a donné des explications ici ;)



Ainsi, un code à 6 chiffres (1 million de possibilités seulement, contre 300 millions avec un alphabet de 26 lettres et 19,7 milliards avec des majuscules/minuscules), qui paraît de prime abord peu sûr, peut se révéler suffisamment efficace s’il est couplé à d’autres mesures : limitations du nombre de tentatives, anti-keyloggers, anti-captures d’écran, interdiction des connexions simultanées, etc.




Aucune de ses protections ne protège d’un piratage de la base des mots de passe et de tentatives non limitées parce que l’on peut alors faire autant d’essais que l’on veut. Si ce même code est utilisé sur plusieurs comptes bancaires ou d’assurance, ces autres comptes ne sont plus protégés.



De plus, j’ai du mal avec la citation des anti-keyloggers. Sont-ce les claviers virtuels ? Sont-ils protégés contre les analyses de l’image de l’écran qui permettent de lire le code ?



Enfin, cela pousse à utiliser des dates de naissances que l’on peut deviner par Ingénierie sociale.



Mais bon, Jean, qui écrit au demeurant de très bons articles, a travaillé 28 ans dans une banque et y travaillait encore à l’époque de l’article. Il a peut-être un biais sur ce point.



Édit : grillé le temps de rédiger et de vérifier son profil LinkedIn.


gathor

Pour le code PIN utilisé par les banques, Jean a donné des explications ici ;)


Pour moi non plus ce point-là n’est pas clair :(
Petite comparaison entre deux banques connues pour aller sur le site de la banque depuis un ordi :



Banque Bleue Océan : Login (sauvegardé dans le navigateur sans limite de durée) + PIN à 6 chiffres (clavier à l’écran) + 2FA par texto seulement si nouvel appareil.



Banque Bonhomme Vert : Login (sauvegardé dans le navigateur avec limite de durée) + MdP classique (enregistrable dans gestionnaire) + 2FA systématique par texto.



Dans les deux banques, la connexion avec l’appli android ne demande pas de 2FA et permet de remplacer le PIN ou le MdP par la biométrie (avec limite de durée pour la Banque Bonhomme Vert mais pas pour la Banque Bleue Océan). La 2FA par texto est un code à 6 chiffres qui peut être saisi au clavier normal. Je pars du principe qu’une 2FA est toujours plus sécurisée qu’un PIN car le code change à chaque fois et qu’il provient d’un autre appareil via un autre canal de communication.



Je n’arrive pas à saisir en quoi le PIN à 6 chiffres de la Banque Bleue Océan améliore la sécurité par rapport à la Banque Bonhomme Vert (même pas convaincu que ce soit équivalent) : pour moi tout indique que c’est une « astuce » pour économiser des frais d’envois de textos tout en donnant un sentiment de sécurité à cause des acrobaties à faire avec la souris sur le clavier à l’écran… Trompeur ou pas ?


Tsinpen

Pour moi non plus ce point-là n’est pas clair :(
Petite comparaison entre deux banques connues pour aller sur le site de la banque depuis un ordi :



Banque Bleue Océan : Login (sauvegardé dans le navigateur sans limite de durée) + PIN à 6 chiffres (clavier à l’écran) + 2FA par texto seulement si nouvel appareil.



Banque Bonhomme Vert : Login (sauvegardé dans le navigateur avec limite de durée) + MdP classique (enregistrable dans gestionnaire) + 2FA systématique par texto.



Dans les deux banques, la connexion avec l’appli android ne demande pas de 2FA et permet de remplacer le PIN ou le MdP par la biométrie (avec limite de durée pour la Banque Bonhomme Vert mais pas pour la Banque Bleue Océan). La 2FA par texto est un code à 6 chiffres qui peut être saisi au clavier normal. Je pars du principe qu’une 2FA est toujours plus sécurisée qu’un PIN car le code change à chaque fois et qu’il provient d’un autre appareil via un autre canal de communication.



Je n’arrive pas à saisir en quoi le PIN à 6 chiffres de la Banque Bleue Océan améliore la sécurité par rapport à la Banque Bonhomme Vert (même pas convaincu que ce soit équivalent) : pour moi tout indique que c’est une « astuce » pour économiser des frais d’envois de textos tout en donnant un sentiment de sécurité à cause des acrobaties à faire avec la souris sur le clavier à l’écran… Trompeur ou pas ?


En fait quand ils ont mis en place leurs clavier à la con avec les chiffres qui bougent, c’etait pour protéger des keyloogers qui enregistraient ce qu’on tape au clavier ou les mouvements de la souris…. Mais bon ça date d’il y a 15 ans au moins, et ils se sont pas renouvelés depuis… Et il est évident qu’un vrai mot de passe est bien plus sûr.


Daweb

En fait quand ils ont mis en place leurs clavier à la con avec les chiffres qui bougent, c’etait pour protéger des keyloogers qui enregistraient ce qu’on tape au clavier ou les mouvements de la souris…. Mais bon ça date d’il y a 15 ans au moins, et ils se sont pas renouvelés depuis… Et il est évident qu’un vrai mot de passe est bien plus sûr.


Hmmm… ça explique pas la 2FA en moins : en quoi le PIN permet de valider que l’appareil est sécurisé ? (pas un ordi public par exemple)
Et même sur un ordi d’il y a 25 ans, enregistrer une capture d’écran des chiffres en plus du combo keylogger + mouselogger n’est pas réellement compliqué (je me souviens de logiciels odomètres pour souris pour Win95… et peut-être même Win3, à vérifier)


Je confirme pour le 2nd mot de passe mais.



Il y a un autre problème : les sites qui demandent un mot de passe de moins de 20 caractères max avec uniquement des minuscules/majuscules/chiffres. Malheureusement en 2023 il y en a encore.


Il y a une compilation sur https://plaintextoffenders.com si vous voulez fouiller à la recherche de sites FR. Par ex https://plaintextoffenders.com/post/651079783942373376/professeurparticuliercom-education.




letter a dit:


Tout site qui me renvoie mon mot de passe dans le mail de confirmation m’inquiète gravement. Orange en faisait encore partie il y a peu.




C’est pas forcément synonyme qu’ils le stockent en clair en bdd. (mais il est possible qu’il traîne sur un serveur mail chez eux…)
Par contre la CNIL considère que c’est illégal si le mdp n’est pas temporaire (cf sa décision Carrefour de mémoire) : Son raisonnement est que ce n’est pas forcément l’utilisateur légitime qui va accéder à l’email, que ça permet donc éventuellement à un tiers d’en prendre connaissance, d’accéder au compte associé et aux données à caractère personnel qu’il contient (donc violation du RGPD).



Par extension j’en déduis que les liens envoyés par email style réinitialisation de mdp qui n’expirent jamais et peuvent être réutilisés sont illégaux pour la même raison.


Yep, mais les dernières mises à jour remontent à mai 2021 :chinois: (apres oui on peut fouiller dedans voir si de mauvaises habitudes sont encore présentes…) Merci


Certains (tous ?) les sites bancaires.



Genre la CE avec ses mots de passe à la noix basés sur 8 chiffres qu’il faut cliquer sur un clavier virtuel affiché bien en grand sur l’écran.



Dans le genre casse bonbons, pas pratique et visible en grand pour qui peut voir l’écran…



Et tous ces sites qui empêchent d’utiliser des gestionnaires de mots de passe car, ralala le mot de passe contient des caractères interdits, est trop long, voire pire il faut le taper au clavier car le remplissage automatique est interdit.


Les banques, je trouve cela aberrant, même si j’ai lu l’explication linké plus haut, genre à l’époque y avait que des claviers téléphoniques, etc… ça ne tiens plus la route maintenant…



En plus, on ne peut pas configurer une double auth standard, on a quelques trucs qui remplacent, genre les “clés digitales” (sic), mais cela ne pop pas forcément tout le temps, ni sur tous les paiements.



Je ne comprends pas que la CNIL ne se penchent pas sur ce sujet…


eglyn

Les banques, je trouve cela aberrant, même si j’ai lu l’explication linké plus haut, genre à l’époque y avait que des claviers téléphoniques, etc… ça ne tiens plus la route maintenant…



En plus, on ne peut pas configurer une double auth standard, on a quelques trucs qui remplacent, genre les “clés digitales” (sic), mais cela ne pop pas forcément tout le temps, ni sur tous les paiements.



Je ne comprends pas que la CNIL ne se penchent pas sur ce sujet…


Je ne comprends pas votre obsession sur les codes PIN des banques, ils fonctionnent bien, la double authentification est active en cas de connexion à une nouvelle machine.



Après tout, il faut démonter complètement un Iphone avec du matériel de pointe pour récupérer des données verrouillées par un simple code à 6 chiffres sans double authentification.



Idem pour le PIN de carte bancaire puisque celle ci est inutilisable après 4 tentatives infructueuses.


eglyn

Les banques, je trouve cela aberrant, même si j’ai lu l’explication linké plus haut, genre à l’époque y avait que des claviers téléphoniques, etc… ça ne tiens plus la route maintenant…



En plus, on ne peut pas configurer une double auth standard, on a quelques trucs qui remplacent, genre les “clés digitales” (sic), mais cela ne pop pas forcément tout le temps, ni sur tous les paiements.



Je ne comprends pas que la CNIL ne se penchent pas sur ce sujet…


Avec le bénéfice qu’elles font avec nous, les banques pourraient faire un effort sur la sécurité. Quand je vois le prix d’une Yubikey usb-c/usb-a, à l’unité 70 dollars… Je pense qu’il doit exister des solutions encore moins couteuses. Plus le fait que commandés en grand nombre, les prix doivent drastiquement chuter.


Ton exemple est très bon, j’ai jamais compris en quoi ca protégait mon mot de passe de le taper comme ca car en plus comme faut chercher ou se trouve les chiffres, on est plus lent et donc plus de chance que quelqu’un puisse le voir si l’écran est visible, franchement c’est reloux.


C’est extrêmement dangereux leur saloperie de clavier visuel.



Avoir à la vue de tous la saisie de ton pin est déjà idiot mais ça rend beaucoup plus facile l’extraction par les malwares car il suffit de faire un screenshot au clique et tu as le pin en 4 à 8 screenshot.



Et ça rend impossible l’utilisation de gestionnaire de mot de passe et de mot de passe complexe.



BlueSquirrel a dit:


Par contre la CNIL considère que c’est illégal si le mdp n’est pas temporaire (cf sa décision Carrefour de mémoire) : Son raisonnement est que ce n’est pas forcément l’utilisateur légitime qui va accéder à l’email, que ça permet donc éventuellement à un tiers d’en prendre connaissance, d’accéder au compte associé et aux données à caractère personnel qu’il contient (donc violation du RGPD).




Sans compter le risque pour les usagers, en particulier ceux ayant tendance à réutiliser le même mot de passe.



Si le mot de passe est accessible (qu’il soit en clair ou chiffré), alors un employé malveillant pourrait facilement exploiter cela, et accéder à d’autres services de nombreux de ses utilisateurs, lui faisant courir un risque accru d’usurpation et de vols d’informations.


Le site AMELI qui n’autorise que “certains” caractères spéciaux (très très peu à vrai dire)…



gathor a dit:


Pour le code PIN utilisé par les banques, Jean a donné des explications ici ;)




Je trouve l’argument “le code PIN c’est pour les utilisateurs sur téléphone” des banques hallucinant en 2023 : On fragilise lourdement la sécurité de tout le monde uniquement pour un infime nombre d’utilisateurs.
Il serait bien plus sûr que le code PIN soit un secret de connexion désactivé par défaut et activable par les utilisateurs qui en font la demande.



Et ne me lancez pas sur les claviers virtuels pour soi-disant contrer les keyloggers (ça existe des keyloggers incapables de prendre une capture d’écran à chaque clic avec sur la capture la position de la souris ?) mais faciliter le shoulder surfing (bien plus présent que les keyloggers) et rendre impossible l’utilisation d’un gestionnaire.


Sans compter que le code pin a du coup très souvent un lien avec la personne: dates de naissances, etc…
Donc niveau sécu, on repassera…



BlueSquirrel a dit:


Je trouve l’argument “le code PIN c’est pour les utilisateurs sur téléphone” des banques hallucinant en 2023 : On fragilise lourdement la sécurité de tout le monde uniquement pour un infime nombre d’utilisateurs. Il serait bien plus sûr que le code PIN soit un secret de connexion désactivé par défaut et activable par les utilisateurs qui en font la demande.



Et ne me lancez pas sur les claviers virtuels pour soi-disant contrer les keyloggers (ça existe des keyloggers incapables de prendre une capture d’écran à chaque clic avec sur la capture la position de la souris ?) mais faciliter le shoulder surfing (bien plus présent que les keyloggers) et rendre impossible l’utilisation d’un gestionnaire.




pour en avoir testé plusieurs dans les années 2000, jpeux te jurer que j’en ai trouvé aucun qui proposait la capture d’écran. Aucun intéret : pourquoi? à l’époque, le clavier virtuel nexistait pas pour les connexions, les virus déruisaient des données sans rien chiffrer, et personne ne parlait de piratagede BDD chez les prestas. L’école ancienne quoi. Quel interet d’une capture d’écran si aucun clavier virtuel n’existe pour taper un code secret?


j’aurais bien parlé de Free mais il semble qu’ils aient enfin décidé de ne plus envoyer le mot de passe des abonnés en clair. ^^


Quand j’avais souscrit chez Free en 2008, non seulement j’avais reçu le mot de passe par e-mail en clair, mais en plus c’était celui de mon frère qui était l’ancien titulaire de la ligne :eeek2:


Avec le même code à 4 chiffres durant des années pour les cartes bancaires on se demande quelle tête a la confiance pour l’économie numérique.



N’y aurait-il pas un problème de base ? :non:



eglyn a dit:


Je ne comprends pas que la CNIL ne se penchent pas sur ce sujet…




Ca va peut-être venir. Dans sa précédente reco en matière de mdp il y avait une ligne de tableau dédiée au code PIN précisant que c’était OK s’il y avait blocage du compte après un certain nombre de tentatives.



Elle n’est plus là : https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-recommandation-pour-maitriser-sa-securite



Mais bon, les banques ont toujours 10+ ans de retard côté sécurité par rapport aux bonnes pratiques. Depuis quelques années ça a découvert l’authentification “forte” et pour ma banque ça signifie m’envoyer un code par SMS une fois tous les 6 mois quand je tente de me connecter. Donc c’est de la 2FA qui ne s’active qu’une fois tous les 6 mois… Fascinant ce niveau de compétence.




hellmut a dit:


j’aurais bien parlé de Free mais il semble qu’ils aient enfin décidé de ne plus envoyer le mot de passe des abonnés en clair. ^^




Ils se sont fait allumer par la CNIL sur ce point, ça les a motivés !



Tandhruil a dit:


Je ne comprends pas votre obsession sur les codes PIN des banques, ils fonctionnent bien, la double authentification est active en cas de connexion à une nouvelle machine.




Pas chez ma banque, un code par SMS une fois tous les 6 mois c’est pas de la 2FA…




Après tout, il faut démonter complètement un Iphone avec du matériel de pointe pour récupérer des données verrouillées par un simple code à 6 chiffres sans double authentification.



Idem pour le PIN de carte bancaire puisque celle ci est inutilisable après 4 tentatives infructueuses.




En supposant que ce n’est pas la date de naissance de l’utilisateur ou autre donnée récupérable via OSINT, cf le message de fred42.



BlueSquirrel a dit:


Pas chez ma banque, un code par SMS une fois tous les 6 mois c’est pas de la 2FA…




La Banque Postale te harcèle jusqu’à ce que tu installes son application. Le seul problème pour moi est l’obligation de disposer d’un smartphone.




En supposant que ce n’est pas la date de naissance de l’utilisateur ou autre donnée récupérable via OSINT.




Ben c’est juste un pb d’utilisateur.
A titre perso c’est une suite de chiffre issue d’un ancien numéro de téléphone. Facile à retenir difficile à trouver.



Tandhruil a dit:


La Banque Postale te harcèle jusqu’à ce que tu installes son application. Le seul problème pour moi est l’obligation de disposer d’un smartphone.




mais ya encore des gens à la banque postale??



(reply:2115684:Idiogène)



(quote:2115684:Idiogène)
Avec le même code à 4 chiffres durant des années pour les cartes bancaires on se demande quelle tête a la confiance pour l’économie numérique.



N’y aurait-il pas un problème de base ? :non:




on parle ici de mdp et de code de services en ligne non?
ce qui pour moi exclu de facto le code pin de la cb, car sans avoir la cb physiquement dans la main, sur un TPE, ton code à quatre chiffres, explique moi comment tu le pirates..



Tandhruil a dit:


Ben c’est juste un pb d’utilisateur.




Ca commence à faire un moment qu’on a compris que compter sur l’utilisateur en terme de mdp c’était pas la bonne approche. C’est notamment pour ça qu’on a mis en place la 2FA et qu’imposer le renouvellement périodique est désormais déconseillé.



Le NIST va même plus loin en recommandant de laisser l’utilisateur tranquille le plus possible (pas de jeux de caractères imposés) et de faire principalement deux choses :




  • imposer une longueur minimum

  • vérifier que le mdp est pas sur HIBP ou autre base de données de ce genre




A titre perso c’est une suite de chiffre issue d’un ancien numéro de téléphone.




OSINT/20



(quote:2115700:::1)
pour en avoir testé plusieurs dans les années 2000, jpeux te jurer que j’en ai trouvé aucun qui proposait la capture d’écran. Aucun intéret : pourquoi? à l’époque, le clavier virtuel nexistait pas pour les connexions, les virus déruisaient des données sans rien chiffrer, et personne ne parlait de piratagede BDD chez les prestas. L’école ancienne quoi. Quel interet d’une capture d’écran si aucun clavier virtuel n’existe pour taper un code secret?




Ce qui confirme mes soupçons : les banques n’ont pas adapté leur sécurité depuis les années 2000.



BlueSquirrel a dit:


Le NIST va même plus loin en recommandant de laisser l’utilisateur tranquille le plus possible (pas de jeux de caractères imposés) et de faire principalement deux choses :




Merci de rappeler ce point qui est en désaccord avec les recommandations de l’ANSSI et de la CNIL.
Je le trouve pourtant assez pertinent.


pas complètement vrai, voire même plutôt faux.
s’agissant des comptes utilisateurs sans privilèges, l’ANSSI recommande au contraire de:




ne pas imposer par défaut de délai d’expiration sur les mots de passe




et pour les comptes à privilèges, l’ANSSI indique:




imposer un délai d’expiration sur les mots de passe de ces comptes à privilèges est une bonne mesure




mais uniquement dans le cas où il n’y a pas de 2FA.



cf les recommandations relatives à l’authentification multifacteur et aux mots de passe


hellmut

pas complètement vrai, voire même plutôt faux.
s’agissant des comptes utilisateurs sans privilèges, l’ANSSI recommande au contraire de:




ne pas imposer par défaut de délai d’expiration sur les mots de passe




et pour les comptes à privilèges, l’ANSSI indique:




imposer un délai d’expiration sur les mots de passe de ces comptes à privilèges est une bonne mesure




mais uniquement dans le cas où il n’y a pas de 2FA.



cf les recommandations relatives à l’authentification multifacteur et aux mots de passe


Je parle juste de “pas de jeux de caractères imposés”, c’est ce qu’il voulait dire par laisser l’utilisateur tranquille. Il ne sert à rien d’imposer des caractères dits spéciaux. Il vaut mieux augmenter un peu la taille du mot de passe.


fred42

Je parle juste de “pas de jeux de caractères imposés”, c’est ce qu’il voulait dire par laisser l’utilisateur tranquille. Il ne sert à rien d’imposer des caractères dits spéciaux. Il vaut mieux augmenter un peu la taille du mot de passe.


Entièrement d’accord. Je suis pour laisser l’utilisateur tranquille. Que l’on arrête de nous imposer au moins une majuscule, une minuscule, un chiffres et un caractère spécial alors qu’il y a bien d’autres caractères utilisés dans d’autres langues que le français ou l’anglais comme par exemple le “ñ” ou auparavant le “ll”, le “Õ” portugais, le “ß germanique et je ne parle pas de l’alphabet cyrillique. Tous ces caractères sont souvent interdits alors que cela permettrait d’augmenter les possibilités sans devoir respecter des mots de passes avec des contraintes



(reply:2115703:::1)




On parle aussi de l’évolution de la politique de sécurité « digitale » et on remarque que le problème traité par la CNIL se limite malheureusement à la peur sur la ville tandis que les revenus de base sont placés ailleurs.



Un peu comme d’habitude, il suffit qu’une HAI ou agence d’état interprète avec largesses et mansuétude un vaste domaine pour ne plus y (re)trouver dans la galerie les deux poids d’une mesure.



On dira donc qu’à défaut de consensus entre utilisateurs, la contradiction présente irite jusqu’au budget du trésor. :ouioui:



(reply:2115715:Idiogène)




Rien compris



Oxygen a dit:




  • Les caractères spéciaux qui sont obligatoirement dans une liste prédéfinie (et qui promeuvent l’hégémonie du $). Des £§µ¤€ par exemple sont considérés comme “non spéciaux” et donc bloqués quand il faut avoir 4 types de caractères. Ca rend là aussi l’usage d’un générateur de mdp complexe car certains type générés peuvent être invalides.




Le pire : une (petite) liste de caractères autorisés affichée, mais qui ne le sont pas tous en fait…


Problème «rigolo» avec la MAIF. Génération d’un mot de passe avec les caractères spéciaux dans keepassxc. Pas de problème en dehors de l’impossibilité de copier-coller.
Je peux me connecter normalement avec mon mot de passe tout nouveau tout beau.



Mais au moment de signer en ligne un contrat on me demande de valider avec le mot de passe => “Caractère non autorisé”



BlueSquirrel a dit:


OSINT/20




Lapin compris


Je dois avouer que l’on rencontre des problèmes avec certain sites. Mais bon avec un bon gestionnaire de mot de passe (et pas KeyPass!!!) on peut moduler simplement. Ces outils font des mots de passe en évitant certains caractères à souhait.



L’un ou l’autre des problèmes se retrouve ma foi sur plein de site non pas du fait de la faiblesse de certaines personnes mais des framework qu’on décide d’utiliser pour un site.



J’ai entendu des rigolos me dire que PHP n’était pas sécure. Et de répondre que PHP c’est le langage. Le framework est codé par des gens peu sensibles (ou pas au point) à ce genre de problématiques.



On ne peut pas dire que l’adoption de SSL fut instantanée partout.



D’un autre coté on ne peut pas nier que l’utilisateur fait bel et bien partie du problème. Il faut dire qu’on les aide pas non plus. Les processus de création de compte ou de recouvrement de celui-ci ne sont pas des plus “madame michu friendly”.



Et tout ca c’est de l’éducation d’abord. Il a fallu attendre les “accidents facebook” pour que l’on se mette à inculquer l’hygiène numérique aux gosses.



Les banques sont pas trop mauvaises dans le sens ou ils se prémunissent des attaques automatisées (clavier de chiffre mélangés), mais c’est plus inquiétant quand les interfaces d’une banque ou d’une autre est quasi la même à l’exception du logo et des couleurs…



On est pas prêt de résoudre cela sans faire de l’éducation. Et ça qui y a intérêt ?



(reply:2115744:War Machine)




Ca fait plusieurs commentaires que je vois mentionnant un souci avec Keepass. J’ai du rater une actualité. Il se passe quoi exactement ? Car une recherche rapide ne me montre rien…



J’en été resté aux problèmes avec LastPass pour ma part. Ou alors c’est une confusion KeePass / LastPass ?



Merci


fdorin


(reply:2115744:War Machine)




Ca fait plusieurs commentaires que je vois mentionnant un souci avec Keepass. J’ai du rater une actualité. Il se passe quoi exactement ? Car une recherche rapide ne me montre rien…



J’en été resté aux problèmes avec LastPass pour ma part. Ou alors c’est une confusion KeePass / LastPass ?



Merci


fdorin


(reply:2115744:War Machine)




Ca fait plusieurs commentaires que je vois mentionnant un souci avec Keepass. J’ai du rater une actualité. Il se passe quoi exactement ? Car une recherche rapide ne me montre rien…



J’en été resté aux problèmes avec LastPass pour ma part. Ou alors c’est une confusion KeePass / LastPass ?



Merci


J’ai utilisé Keypass un moment. Et sa seigneurie a décrété que c’était naze. Mais bien bien naze.



Je suis passé sur EnPass. Ça marche partout. windows / Linux / android.
Pour moi c’est point final.
Y’a une version free et option payante pour plus de confort. Je l’ai même acheté en lifetime (c’est dire pour un Tex).


J’ai au moins deux candidats absolument géniaux, vous allez adorer.



TexMex a dit:


Les banques sont pas trop mauvaises dans le sens ou ils se prémunissent des attaques automatisées (clavier de chiffre mélangés), mais c’est plus inquiétant quand les interfaces d’une banque ou d’une autre est quasi la même à l’exception du logo et des couleurs…




Ca ne prémunit pas des bots. Au mieux ça oblige l’attaquant à adapter son bot pour qu’il soit capable de reconnaître le clavier. Et si plusieurs banques utilisent la même techno pour le clavier virtuel alors le bot risque de marcher sur toutes ces banques.


Et cela chaque quoi un clavier “classique” avec ce type de bot ?



TexMex a dit:



D’un autre coté on ne peut pas nier que l’utilisateur fait bel et bien partie du problème. Il faut dire qu’on les aide pas non plus. Les processus de création de compte ou de recouvrement de celui-ci ne sont pas des plus “madame michu friendly”.




Tiens, y’a quelques jours j’ai eu totalement l’inverse dans mon entourage …
Je devais aider pour je sais plus quelle raison, et avais besoin de me connecter avec le compte de la personne sur un site genre assurance.
Je tente d’ouvrir son keepass (oui, j’avais fait de l’ “éducation” …) : la personne me dit “oh, je sais plus le MdP, y’avait trop de caractères”.
Euh … ok, et du coup, tu fais comment pour te connecter sur les sites ?
Ben … je demande un reset du mot de passe.
Oui, à chaque nouvelle connexion …



Bref … Pour certains, faire un reset de MdP à chaque connexion sur un site (au mieux, nouvelle création de compte avec un autre email !!), ça semble plus simple que d’utiliser un gestionnaire de MdP …
On n’est pas sorti des ronces …


J’avoue que je fais la même chose pour un site qui impose un changement de mot de passe tous les 6 mois, pour lequel il ne faut pas réutiliser un ancien mot de passe et qui impose certains caractères au lieu de laisser le choix. Comme je n’y vais pas régulièrement et que cela me gonfle que l’on me demande trop régulièrement de changer de mot de passe, je le réinitialise à chaque connexion.



Sans oublier les banques qui imposent un certain nombre de chiffres (de 5 à 8 pour celles que j’utilise) mais excluent tout ce qui peut ressembler à une date.



Sinon, je fais aussi parti des gens qui réutilisent des mots de passes, pas partout, pas sur des services identiques par exemple les boites mails ont des mots de passes différents mais je peux retrouver un mot de passe d’une boite mail sur un service de commerce en ligne qui ne passe pas par cette boite mail. Je sais que ce n’est pas bien d’opérer ainsi mais vu le nombre de mots de passes qu’il faut mémoriser, c’est pénible. Et j’ai du mal à confier la mémorisation des mots de passes à une application qui peut planter ou ne plus être mise à jour. J’ai plusieurs clés fido mais je n’arrive pas à m’y résoudre vu que parfois sous linux, elles sont mal gérées.



Perso, je préférerai que le site laisse le choix des caractères, que ce soit sur leur nature, l’accentuation ou sur le nombre de caractères autorisés (avec par exemple un minimum de 6 et un maximum de 20 ou 25 sans imposer un nombre précis) car je pense que c’est plus compliqué d’essayer d’usurper un compte lorsque l’on ne peut pas savoir le nombre de caractères du mot de passe ou encore les caractères qui ont pu être utilisés.


Bonne nouvelle cet article : cela veut dire que NXI se préoccupe ENFIN de ce genre de problématique…. Par le passé j’avais bien essayé de remonter le problème avec Free, mais visiblement à l’époque ca n’intéressait pas NXI :craint:



Bill2 a dit:


Bref … Pour certains, faire un reset de MdP à chaque connexion sur un site (au mieux, nouvelle création de compte avec un autre email !!), ça semble plus simple que d’utiliser un gestionnaire de MdP … On n’est pas sorti des ronces …




J’en fais partie. Ne pas avoir fait confiance à un gestionnaire de mot de passe, ca évite les soucis comme avec Keypass actuellement. Et certainement d’autres demain.



Soit je peux retenir mon mot de passe ou du moins sa “construction” + sa “modification” pour le rendre unique, soit je ne me prends pas la tête, et je me contente de le redemander au besoin. A l’heure où les mails sont quasi instantanés, ca demande moins d’effort que de devoir chercher son mot de passe et le déchiffrer (jamais écrit en clair,mais d’une façon dont je sais le déchiffrer, et … sur une partition chiffrée)



Oxygen a dit:




  • Les sites qui ont un javascript pour empêcher les copier/coller des mots de passe lors de la création des compte (surtout lors de la 2nde saisie du mdp pour vérifier qu’il est identique au 1er). Beaucoup de sites institutionnels français mais pas que. Ca rend l’usage d’un keepass pénible car il faut truander pour injecter le 2nd mdp.




Ah oui c’est lourd, surtout quand le site demande un mot de passe très complexe (ça autorise même les trucs de 50 caractères. Va faire un mot de passe complexe de 50 caractère sans copier-coller)



Et surtout la CNIL demande a ce qu’on n’interdisse pas les copier-coller.
Je viens de faire un courrier à un DPO pour ça….




Oxygen a dit:




  • Les caractères spéciaux qui sont obligatoirement dans une liste prédéfinie (et qui promeuvent l’hégémonie du $). Des £§µ¤€ par exemple sont considérés comme “non spéciaux” et donc bloqués quand il faut avoir 4 types de caractères. Ca rend là aussi l’usage d’un générateur de mdp complexe car certains type générés peuvent être invalides.




Et parfois il y a des caractères interdit qui ne sont pas listés… et donc on se ramasse un refus.



Dj a dit:


Ah oui c’est lourd, surtout quand le site demande un mot de passe très complexe (ça autorise même les trucs de 50 caractères. Va faire un mot de passe complexe de 50 caractère sans copier-coller)



Et surtout la CNIL demande a ce qu’on n’interdisse pas les copier-coller. Je viens de faire un courrier à un DPO pour ça….



Et parfois il y a des caractères interdit qui ne sont pas listés… et donc on se ramasse un refus.




L’astuce consistant à faite un glissé/déposéen maintenant la touche ctrl fonctionne souvent.


Au hazard aussi les sites / services qui imposent de changer de code régulièrement (voir très régulièrement). Du coup quand on utilise un moyen mnemothénique pour génrer un mot de passe sur mesure pour chaque service, ca ne marche plus (sauf à incrementer quelque part un chiffre, mais on ne se souvient plus où on est est)….



Et résultat dans les entreprises qui imposent cela, on voit les codes sur des post it sous le clavier (voir carrement en bas de l’écran)…



fdorin a dit:


Ca fait plusieurs commentaires que je vois mentionnant un souci avec Keepass. J’ai du rater une actualité. Il se passe quoi exactement ? Car une recherche rapide ne me montre rien…



J’en été resté aux problèmes avec LastPass pour ma part. Ou alors c’est une confusion KeePass / LastPass ?



Merci




Idem, je me pose la même question depuis quelques commentaires. Je n’ai strictement rien entendu de problématique lié à KeePass



jjmm a dit:


Rien compris




Il a dû faire rédiger son commentaire par ChatGPT…
:zarb:


Non. Et je suis désolé de voir le lectorat ranger dans la même case gauffrière les écrits qu’ils ne comprennent pas.



Je vais tout de même rappeller les mots-clés :




  • « mesure »

  • « trésor »



Et ainsi, une fois de plus, ça se termine en longueur de tel que je l’avais prédit. :francais:



(quote:2115744:War Machine)
J’en fais partie. Ne pas avoir fait confiance à un gestionnaire de mot de passe, ca évite les soucis comme avec Keypass actuellement. Et certainement d’autres demain.



Soit je peux retenir mon mot de passe ou du moins sa “construction” + sa “modification” pour le rendre unique, soit je ne me prends pas la tête, et je me contente de le redemander au besoin. A l’heure où les mails sont quasi instantanés, ca demande moins d’effort que de devoir chercher son mot de passe et le déchiffrer (jamais écrit en clair,mais d’une façon dont je sais le déchiffrer, et … sur une partition chiffrée)




LastPass et pas Keypass je suppose.



Si tu peux retenir la construction de ton mdp c’est qu’il a un pattern. Si plusieurs de tes mdp ont le même pattern et que disons deux d’entre eux fuitent (car les sites les gèrent n’importe comment), les outils des pirates sont tout à fait capables d’identifier lesdits patterns.



Se reposer sur le reset de mdp c’est pratique sauf pour le mdp de la boîte mail…



Le coup de stocker les mdp dans un fichier en clair dans une partition chiffrée c’est bien jusqu’à ce que tu ais un logiciel un peu trop curieux ou que ça finisse en clair dans un fichier de cache/temporaire non chiffré parce que l’OS aime bien laisser des traces partout.



Avoir un “chiffrement” des mdp stockés qu’on doit “déchiffrer” dans notre tête c’est pas simple, ça prend du temps, et si c’est mal fait c’est une comédie sécuritaire. Ca ressemble beaucoup à bricoler un algo de chiffrement perso, or en sécurité il y a l’adage “Don’t roll your own crypto” parce que en général les algos persos sont bourrés de failles.



Tout ça prend bien plus de temps qu’avoir un gestionnaire de mdp. Et si tu as peur d’un autre LastPass, ce qui est tout à fait légitime, tu peux utiliser un gestionnaire local comme Keepass et lui interdire toute communication avec l’extérieur via ton pare-feu. Comme ça même si demain le code de Keepass est compromis il ne pourra pas fuiter tes données vers l’extérieur.



Bonus du gestionnaire de mdp : S’il a une extension de navigateur (mais là c’est plus dur pour lui interdire de communiquer avec l’extérieur à moins que le navigateur le permette) tu es immunisé contre les sites d’hammeçonnage (il ne se fera jamais duper par un URL même si il est visuellement identique à celui du site légitime (oui c’est possible, surtout sur Firefox). Et l’extension sera sans doute capable de passer outre les blocages de copier/coller (en plus de ne pas laisser ton mdp dans le presse-papier, où il pourrait être récupéré par d’autres applications voire sites).




(quote:2115738:Z-os)
Et cela chaque quoi un clavier “classique” avec ce type de bot ?




“change” et pas “chaque” je suppose.
Ca ne change rien, tout comme un clavier virtuel. L’intérêt du clavier virtuel est nul, encore plus comparé à ce qu’il engendre : secret très court (sinon ça serait une horreur à “taper”) et comme d’autres l’ont dit trouver et cliquer sur les bonnes touches prend du temps, temps pendant lequel quelqu’un derrière toi à tout le loisir de regarder et noter ton secret.




Daweb a dit:


Au hazard aussi les sites / services qui imposent de changer de code régulièrement (voir très régulièrement). Du coup quand on utilise un moyen mnemothénique pour génrer un mot de passe sur mesure pour chaque service, ca ne marche plus (sauf à incrementer quelque part un chiffre, mais on ne se souvient plus où on est est)….



Et résultat dans les entreprises qui imposent cela, on voit les codes sur des post it sous le clavier (voir carrement en bas de l’écran)…




C’est exactement pour cette raison que les autorités recommandent désormais de ne pas imposer de changement régulier. Sur le papier le changement régulier des secrets c’est une bonne pratique de sécurité, mais la réalité a montré que pour le cas de l’utilisateur moyen et des mdp c’était contre productif pour les raisons que tu as listées (j’ajouterais “réutiliser le même mdp partout et incrémenter d’un chiffre à chaque changement imposé”).



Le changement régulier des secrets c’est bien quand c’est automatisé (cf par ex les certificats TLS). Côté mdp il faudrait qu’existe un standard que les sites suivent (pas gagné) pour qu’un gestionnaire puisse mettre à jour auto le mdp et ce toujours de la même manière.
Sinon ça oblige les devs du gestionnaire à créer du code dédié pour chaque site web, ce qui est une charge de travail infinie. Donc en pratique soit le gestionnaire gère pas du tout le changement auto soit c’est géré que pour certains gros sites très utilisés.


merci, j’ai ensuite cherché “punycode” dans les extensions firefox et installé :
https://addons.mozilla.org/fr/firefox/addon/punycode-domain-detection qui ajoute une notification après avoir accédé au site
https://addons.mozilla.org/fr/firefox/addon/punycodechecker/ qui bloque le chargement du site et affiche un grand avertissement sur fond orange, fonctionnement que je préfère


Pour le moment rien à signalé même si ça va probablement arriver !


Il y a truc agaçant que je croise de plus en plus souvent, et qui je trouve freine l’utilisation de gestionnaires de mots de passes : les logins en 2 étapes genre tape d’abord ton mail, valide le formulaire, et ensuite la page change et affiche un champ pour le mot de passe.
Une fois sur 2 le gestionnaire reconnaît pas le champ mail seul comme pattern de login et ne permet pas l’auto complétion, c’est d’autant plus fastidieux sur téléphone car l’ergonomie du clavier n’est pas la même que sur pc.
J’ai du mal à piger ce mode de fonctionnement, je ne comprends pas quelle est la plus-value à procéder ainsi.


C’est d’autant plus problématique pour ma part car accéder à l’étape de saisie du mdp signifie que l’adresse mail est connue.



Le mieux est bien d’avoir un combo login/mdp sur la même page et de retourner une erreur “générique” en cas d’échec à l’authentification.


Les NAS Synology ont ce fonctionnement depuis la dernière maj majeure aussi.
Mais l’extension Bitwarden arrive à gérer.



Je pense qu’il doit y avoir une raison de sécurité derrière cette façon de faire, pour lutter contre les bots peut-être.


eglyn

Les NAS Synology ont ce fonctionnement depuis la dernière maj majeure aussi.
Mais l’extension Bitwarden arrive à gérer.



Je pense qu’il doit y avoir une raison de sécurité derrière cette façon de faire, pour lutter contre les bots peut-être.



Iroise29 a dit:


Visiblement ce problème a été corrigé car Firefox affiche un avertissement de sécurité




Intéressant… Quel est le message d’erreur ?



Je viens de tenter, avec network.IDN_show_punycode à true comme à false je n’ai aucun message en cliquant sur le lien “proof-of-concept” du premier paragraphe.




_stems a dit:


C’est d’autant plus problématique pour ma part car accéder à l’étape de saisie du mdp signifie que l’adresse mail est connue.




Pas nécessairement, ça peut être un effet uniquement visuel. Sauf si à la fin de la première étape le site dit textuellement que l’adresse entrée est inconnue.



Et oui le mieux est une erreur générique. Tellement mieux que ne pas le faire est une violation du RGPD.



Si c’est uniquement visuel l’extension peut remplir si les champs sont déjà dans le code HTML de la page. D’expérience c’est le cas sur la page de login de Google (ou ça l’a été, je ne sais plus).



Côté raison de sécurité, bof… Un bot va directement envoyer des requêtes au serveur, il se fiche de l’aspect visuel de la page. Ca peut être un moyen d’alourdir un peu le processus par exemple si en échange de l’email le site renvoie une clé unique qui doit être envoyée avec le mdp, mais ça fait juste deux requêtes au lieu d’une. Il y a d’autres moyens bien plus efficaces d’embêter un bot et ce sans bousiller la compatibilité du site aux gestionnaires de mdp (ce qui a pour effet de réduire la sécurité).
Je suis tombé là-dessus en faisant une rapide recherche, pas vu de bonne raison avancée : https://old.reddit.com/r/webdev/comments/bv8ti3/twostep_login_forms_why/



BlueSquirrel a dit:



Bonus du gestionnaire de mdp : S’il a une extension de navigateur (mais là c’est plus dur pour lui interdire de communiquer avec l’extérieur à moins que le navigateur le permette) tu es immunisé contre les sites d’hammeçonnage (il ne se fera jamais duper par un URL même si il est visuellement identique à celui du site légitime (oui c’est possible, surtout sur Firefox). Et l’extension sera sans doute capable de passer outre les blocages de copier/coller (en plus de ne pas laisser ton mdp dans le presse-papier, où il pourrait être récupéré par d’autres applications voire sites).




Visiblement ce problème a été corrigé car Firefox affiche un avertissement de sécurité


puisqu’on discute des banques, je suis dans une banque qui est passée d’une authentification par password “libre” au clavier virtuel “qui change” avec que du chiffre.
stupeur de votre serviteur.



effectivement au repos (en base) c’est moins sécu, mais pour ça y’a le 2FA, l’enrôlement du terminal, bref tout un tas de mesures annexes.



la vraie raison, c’est que les gens qui accèdent aux services bancaires en numérique (appli, web) sont globalement moins techniques qu’il y a 10 ou 15 ans. aujourd’hui tout le monde le fait. de la mamie de 75 ans au jeune de 18 ans (vous savez celui qui n’a toujours connu que des écrans capacitifs, et qui n’a jamais ouvert un PC de sa vie).
c’est plus le geek des années 2000 que ça intéressait, c’est le grand public. donc on veut du user friendly facile à comprendre, facile à utiliser, qui génère pas 1000 appels par jour au support.
un truc qui soit un peu sécu quand même, mais pas rébarbatif.
donc:




  • code pin

  • clavier qui change de dispo aléatoirement

  • saisie manuelle obligatoire

  • login bloqué au bout de 3 essais



avec ça c’est facile à retenir, facile à saisir, ça nique les keyloggers, ça empêche la saisie auto de X identifiants par des bots malveillants, ça bloque les multiples tentatives.



alors c’est sûr je vous vois venir, l’acteur malveillant qui fait du ciblé sur Mme Michu et qui utilise un keylogger qui fait des screenshots, hahaha il va lui poutrer son compte.
et là je sors la carte probabilité. la probabilité qu’une telle menace s’applique à Mme Michu qui doit avoir un compte chèque et un livret avec 5000 balles dessus, elle est ridicule.
et si Mme Michu a activé le 2FA pour les virements, là on tend vers 0.



le mec qui veut tirer des sous à la mère michu, il a plus vite fait de lui demander directement des sous en lui faisant croire qu’il l’a chopée en train de mater du porn et qu’il va tout balancer à ses copines du club de bridge. en plus il peut aussi envoyer le même mail à tout le club, avec un peu de bol il aura plusieurs virements sans s’adonner à des activités de haxxor.



hellmut a dit:


alors c’est sûr je vous vois venir, l’acteur malveillant qui fait du ciblé sur Mme Michu et qui utilise un keylogger qui fait des screenshots, hahaha il va lui poutrer son compte. et là je sors la carte probabilité. la probabilité qu’une telle menace s’applique à Mme Michu qui doit avoir un compte chèque et un livret avec 5000 balles dessus, elle est ridicule. et si Mme Michu a activé le 2FA pour les virements, là on tend vers 0.



le mec qui veut tirer des sous à la mère michu, il a plus vite fait de lui demander directement des sous en lui faisant croire qu’il l’a chopée en train de mater du porn et qu’il va tout balancer à ses copines du club de bridge. en plus il peut aussi envoyer le même mail à tout le club, avec un peu de bol il aura plusieurs virements sans s’adonner à des activités de haxxor.




Tout à fait, donc le clavier virtuel n’apporte rien, est une perte de temps et diminue même la sécurité (shoulder surfing, pas possible d’utiliser un gestionnaire de mdp…).
Si le keylogger est une probabilité quasi nulle ça ne sert à rien de mettre en place un dispositif supposé le contrer. Si les banques le mettent en place c’est qu’elles considèrent que la menace est réelle. En résumé elles sont à côté de la plaque soit sur la menace soit sur la contre-mesure :D



BlueSquirrel a dit:


Intéressant… Quel est le message d’erreur ?




Firefox (102.7.0esr) m’affiche : “Attention : risque probable de sécurité
Firefox a détecté une menace de sécurité potentielle et n’a pas poursuivi vers www.xn–80ak6aa92e.com. Si vous accédez à ce site, des attaquants pourraient dérober des informations comme vos mots de passe, courriels, ou données de carte bancaire.”



Il détecte bien l’adresse cachée.



hellmut a dit:


effectivement au repos (en base) c’est moins sécu, mais pour ça y’a le 2FA, l’enrôlement du terminal, bref tout un tas de mesures annexes.




Ben du coup ça m’intéresse ça. Tu aurais des détails qui ne soient pas cachés derrière le secret des affaires à propos des mesures annexes qui permettent de ne pas utiliser le 2FA dans certains cas ? J’ai souvent entendu dire que le “zero knowledge” est la meilleure méthode pour sécuriser, donc j’ai un préjugé négatif envers les méthodes basées sur la ré-identification d’un visiteur unique au moyen d’autres éléments que le login/password/code 2FA.



Oxygen a dit:


Quelques comportements pénibles/ahurissants:




  • Les sites qui ont un javascript pour empêcher les copier/coller des mots de passe lors de la création des compte (surtout lors de la 2nde saisie du mdp pour vérifier qu’il est identique au 1er). Beaucoup de sites institutionnels français mais pas que. Ca rend l’usage d’un keepass pénible car il faut truander pour injecter le 2nd mdp.

  • Les caractères spéciaux qui sont obligatoirement dans une liste prédéfinie (et qui promeuvent l’hégémonie du $). Des £§µ¤€ par exemple sont considérés comme “non spéciaux” et donc bloqués quand il faut avoir 4 types de caractères. Ca rend là aussi l’usage d’un générateur de mdp complexe car certains type générés peuvent être invalides.

  • Les codes de connexion aux banques qui ne sont basés que sur des digits. Voire que sur 4 digits :eeek2: Quasi toutes les banques semblent concernées. No comment pour ça.




Sans oublier un autre: mettre une longueur max à l’input. Un truc ridicule, genre 20 caractères… Mais qui fait encore ça en 2023 ? -_-


Y a ce sexshop en ligne (français) qui te renvoie ton mot de passe en clair dans un email quand tu fais “mot de passe oublié” 🙄


Je réfléchi, mais actuellement parmi mes comptes en ligne, le pire que j’ai en tête serait le fournisseur qui m’envoie un mot de passe par mail, cela dit dans mon expérience, le mail indique la plupart du temps que le mot de passe est provisoire et qu’il doit être changé (de mon expérience je rappel), impossible par contre de savoir s’il est stocké en claire ou non, j’utilise un mot de passe fort et unique pour tous mes comptes de toute manière, même si il y a des problèmes et que ce n’est pas une solution magique.



Ma banque (Boursorama) utilise un digicode à 8 chiffres, pas top, mais je dirais que la majorité des banques font de même, ce n’est pas un gros problème puisque j’utilise mon empreinte digitale basé sur Titan M ainsi que mon code PIN Windows Hello qui est 100 % local.



D’une manière général, je ne m’inquiète pas pour mes mots de passe et pour mes comptes que j’utilise, mais je reste méfiant et je surveille.



hellmut a dit:


(…)
la vraie raison, c’est que les gens qui accèdent aux services bancaires en numérique (appli, web) sont globalement moins techniques qu’il y a 10 ou 15 ans. aujourd’hui tout le monde le fait. de la mamie de 75 ans au jeune de 18 ans (vous savez celui qui n’a toujours connu que des écrans capacitifs, et qui n’a jamais ouvert un PC de sa vie). c’est plus le geek des années 2000 que ça intéressait, c’est le grand public. donc on veut du user friendly facile à comprendre, facile à utiliser, qui génère pas 1000 appels par jour au support. un truc qui soit un peu sécu quand même, mais pas rébarbatif. (…)




D’autant plus que dans ce cas, la plupart des accès aura lieu par smartphone, qui proposera alors d’utiliser l’authentification biométrique pour déverrouiller l’accès aux comptes.


Ironiquement… :transpi:



Ma plus mauvaise expérience récente c’est le formulaire lostpassword de forum.nextinpact.



Une fois mon adresse saisie, le site me dit qu’un email est envoyé… et… j’attends. Des minutes, des jours. Mais rien. Pas d’email. nulle-part (dans les spam, etc.). J’ai contacté NXI (le site web) qui m’a dit que ce n’est pas eux qui gèrent le forum. Et je ne peux pas contacter le forum directement puisqu’il faut d’abord s’y connecter. :/



Comme quoi, même quand on est de la partie, c’est pas si simple la gestion des mots de passe. :mdr:


Pareil pour moi quand j’y pense.



Je vais rarement sur le forum et je ne peux plus y aller. l’identifiant de connexion a l’air d’avoir changé, c’était notre pseudo (fred42 pour moi) et c’est devenu une adresse e-mail.



Même si je mets mon adresse mail connue de NXI et correspondant à ce login, je ne peux pas me connecter avec le mot de passe. mon pseudo ne marche pas non plus, évidement.



Qu’à cela ne tienne, je vais cliquer sur “Mot de passe oublié ?”



Et là, j’ai un message d’erreur :




Vérification de sécurité



Vous n’avez pas passé le contrôle de sécurité. Veuillez réessayer.




Un message comme celui-là va m’aider à comprendre ce qui se passe !
Et chaque fois que j’essaie, c’est la même chose ! J’ai même désactivé uBlock Origin qui n’était pas désactivé au cas où, mais ça ne change rien.



Si j’essaie de recréer un compte, on me dit : Le nom d’utilisateur existe déjà
Et impossible de contacter l’équipe (ou de trouver comment le faire) qui gère le forum sans être connecté !



Et je ne trouve pas non plus de mention légale (où je pourrais avoir une adresse de contact) ou une page concernant les données personnelles alors même que le simple fait d’avoir un compte avec une adresse mail comme identifiant de connexion oblige à respecter le RGPD et donc au minimum informer sur les traitements faits.


fred42

Pareil pour moi quand j’y pense.



Je vais rarement sur le forum et je ne peux plus y aller. l’identifiant de connexion a l’air d’avoir changé, c’était notre pseudo (fred42 pour moi) et c’est devenu une adresse e-mail.



Même si je mets mon adresse mail connue de NXI et correspondant à ce login, je ne peux pas me connecter avec le mot de passe. mon pseudo ne marche pas non plus, évidement.



Qu’à cela ne tienne, je vais cliquer sur “Mot de passe oublié ?”



Et là, j’ai un message d’erreur :




Vérification de sécurité



Vous n’avez pas passé le contrôle de sécurité. Veuillez réessayer.




Un message comme celui-là va m’aider à comprendre ce qui se passe !
Et chaque fois que j’essaie, c’est la même chose ! J’ai même désactivé uBlock Origin qui n’était pas désactivé au cas où, mais ça ne change rien.



Si j’essaie de recréer un compte, on me dit : Le nom d’utilisateur existe déjà
Et impossible de contacter l’équipe (ou de trouver comment le faire) qui gère le forum sans être connecté !



Et je ne trouve pas non plus de mention légale (où je pourrais avoir une adresse de contact) ou une page concernant les données personnelles alors même que le simple fait d’avoir un compte avec une adresse mail comme identifiant de connexion oblige à respecter le RGPD et donc au minimum informer sur les traitements faits.


Je confirme,
je ne peux plus me connecter sur le forum NXI.
Je voulais fermer un sujet posté car j’ai trouvé la solution, mais impossible de poster ma réponse.



(quote:2115825:127.0.0.1)
Ironiquement… :transpi:



Ma plus mauvaise expérience récente c’est le formulaire lostpassword de forum.nextinpact.



Une fois mon adresse saisie, le site me dit qu’un email est envoyé… et… j’attends. Des minutes, des jours. Mais rien. Pas d’email. nulle-part (dans les spam, etc.). J’ai contacté NXI (le site web) qui m’a dit que ce n’est pas eux qui gèrent le forum. Et je ne peux pas contacter le forum directement puisqu’il faut d’abord s’y connecter. :/



Comme quoi, même quand on est de la partie, c’est pas si simple la gestion des mots de passe. :mdr:




t’as tes mails chez free toi :P



(et leur histoire des prestas qui t’envoie un mail sur ton @free.fr, que tu recois jamais, meme pas dans les spams :D)



TexMex a dit:


J’ai utilisé Keypass un moment. Et sa seigneurie a décrété que c’était naze. Mais bien bien naze.




Qui a décrété que KeePass est mauvais ? Y’a t-il de sérieux problèmes ? Je n’ai pas utilisé KeePass depuis un bon moment et je ne suis pas renseigné sur le sujet.




Je l’ai même acheté en lifetime (c’est dire pour un Tex).




Je ne comprends pas le principe de l’abonnement lifetime, pour moi, au mieux c’est du pipo, au pire c’est s’enfermer dans un abo avec difficulté de partir.



Iroise29 a dit:


Firefox (102.7.0esr) m’affiche : “Attention : risque probable de sécurité Firefox a détecté une menace de sécurité potentielle et n’a pas poursuivi vers www.xn–80ak6aa92e.com. Si vous accédez à ce site, des attaquants pourraient dérober des informations comme vos mots de passe, courriels, ou données de carte bancaire.”



Il détecte bien l’adresse cachée.




Pas moi… Testé sur un nouveau profil vanilla (via about:profiles) sur Windows et Linux, version 109.0 :/
Ca te le fait sur un profil vanilla ? Peut-être que tu as activé un paramètre de sécu qui ne l’est pas par défaut.


Erreur, je reposte avec le reply



QTrEIX a dit:


Qui a décrété que KeePass est mauvais ? Y’a t-il de sérieux problèmes ? Je n’ai pas utilisé KeePass depuis un bon moment et je ne suis pas renseigné sur le sujet.




Le décret vient de son altesse Texiene, grand chambellan de la fajitas endiablée.



Bin compare. Par rapport à bien d’autres produits (même complétement gratuit) il tient pas la comparaison 2 sec.




QTrEIX a dit:


Je ne comprends pas le principe de l’abonnement lifetime, pour moi, au mieux c’est du pipo, au pire c’est s’enfermer dans un abo avec difficulté de partir.




Nope le lifetime de Enpass; tu payes une seule fois par la vie.



Moi qui ait un porte monnaie dressé comme un pitbull Lacoste de combat (un croco en somme) que tu laisses pas trainer les crayons à coté. J’ai quand même finit par faire l’achat. Surtout parce que j’avais besoin de tout. Autrement en free ça passe tranquille pour le pékin moyen.



D’autre produit sont équivalent mais je n’en ai jamais vu qui font tout les dispositif (pc / os / mobile etc).


Tu parles du Keepass d’origine ou de variantes comme KeepassXC ?



Le second est clairement bien plus avancé et poussé que le premier. Il supporte très bien la synchro via un storage en ligne, avec extension navigateur et j’y retrouve la plupart des features que je vois sur Enpass. KeepassXC n’a pas de version Android, par contre il a un cousin KeepassDX qui fait très bien le taff avec une bonne intégration aussi.


Catastrophique, je n’ai pas… mais j’ai bien un cas léger à partager : Ubisoft Store/Connect.



J’ai crée un compte en 2011 avec un mot de passe de 20 caractères généré par Keepass.



Un soir de 2013 il ne fonctionnait plus (j’ai laissé une note) et j’ai essayé plusieurs fois sans succès. Avant de réinitialiser et m’étant déjà dit que l’incompétence crasse progressait en informatique, j’ai eu l’idée stupide de tester en retirant les 4 derniers caractères de mon mot de passe…



…et ça a marché.



J’ai donc profité pour le changer et je constate la chose : Ubisoft avait réduit les critères de création. Il faut 8 caractères minimum, mais 16 maximum. Pendant longtemps c’était SANS caractères spéciaux mais il semble qu’ils ont ajouté cet impératif entre 2017 (mon MDP actuel) et aujourd’hui.



Pour autant à ce jour c’est toujours 16 caractères maximum. A priori c’est encore bon mais je ne vois pas ce que ça leur coûterait de mettre 32 max.


Nordnet. Le mot de passe saisi enregistré est envoyé par courrier après souscription. Donc enregistré en clair dans leur bdd.



TexMex a dit:


J’ai utilisé Keypass un moment. Et sa seigneurie a décrété que c’était naze. Mais bien bien naze.



Je suis passé sur EnPass. Ça marche partout. windows / Linux / android. Pour moi c’est point final. Y’a une version free et option payante pour plus de confort. Je l’ai même acheté en lifetime (c’est dire pour un Tex).




D’accord donc rien à voir avec des failles ou des problèmes de sécurités. C’est juste une préférence personnelle…



TheKillerOfComputer a dit:


Catastrophique, je n’ai pas… mais j’ai bien un cas léger à partager : Ubisoft Store/Connect.



J’ai crée un compte en 2011 avec un mot de passe de 20 caractères généré par Keepass.



Un soir de 2013 il ne fonctionnait plus (j’ai laissé une note) et j’ai essayé plusieurs fois sans succès. Avant de réinitialiser et m’étant déjà dit que l’incompétence crasse progressait en informatique, j’ai eu l’idée stupide de tester en retirant les 4 derniers caractères de mon mot de passe…



…et ça a marché.



J’ai donc profité pour le changer et je constate la chose : Ubisoft avait réduit les critères de création. Il faut 8 caractères minimum, mais 16 maximum. Pendant longtemps c’était SANS caractères spéciaux mais il semble qu’ils ont ajouté cet impératif entre 2017 (mon MDP actuel) et aujourd’hui.



Pour autant à ce jour c’est toujours 16 caractères maximum. A priori c’est encore bon mais je ne vois pas ce que ça leur coûterait de mettre 32 max.




Ton cas est en fait catastrophique.
Ca prouve qu’à l’époque ton mot de passe à 20 caractères n’était pas chiffré chez eux, si il était chiffré ils n’auraient jamais pu en déduire le mot de passe à 16 caractères.


Ça peut aussi être qu’ils tronquaient à 16 caractères sans le dire et qu’ils ont juste ajouté un test de longueur au moment de la saisie qui n’existait pas à l’époque.



Starlingz a dit:


Il y a truc agaçant que je croise de plus en plus souvent, et qui je trouve freine l’utilisation de gestionnaires de mots de passes : les logins en 2 étapes genre tape d’abord ton mail, valide le formulaire, et ensuite la page change et affiche un champ pour le mot de passe. Une fois sur 2 le gestionnaire reconnaît pas le champ mail seul comme pattern de login et ne permet pas l’auto complétion, c’est d’autant plus fastidieux sur téléphone car l’ergonomie du clavier n’est pas la même que sur pc. J’ai du mal à piger ce mode de fonctionnement, je ne comprends pas quelle est la plus-value à procéder ainsi.




J’ai l’impression que c’est fait exprès pour être agaçant (et rien à voir avec la sécurité).
Avec ce mécanisme l’utilisateur aura tendance à ne pas se déconnecter pour éviter cette étape fastidieuse de connexion.
Exemple de service qui l’utilise Google, comme ça tu reste connecté et on te trace plus facilement


J’ajouterais les cas suivants sur certains sites :




  • Les règles de gestion du mot de passe ne sont pas clairement expliqués, comme la longueur, il faut procéder par itération.

  • Le fait d’accepter un mot de page plus long que gérable (tronqué).

  • Le fait que la longueur du mot de passe, voire le jeu de caractères peut différé entre un navigateur web et une application pour smartphone.



Et sur une majorité de site :




  • Limitation sur le type de deuxième facteur (comme la possibilité d’utiliser une clé physique comme une Yubiko 5 par exemple).



C’est pourtant pas sorcier d’utiliser l’équivalent de sanitize : on évite le problème d’injection.



En ce qui concerne le nombre de caractères, ce n’est pas un problème, si on fait un hash solide de la valeur, car seul le hash sera transmis.



Je crains qu’il va nous falloir encore un certain temps avant d’avoir un nombre de sites qui respectent des règles élémentaires de sécurités, bien que ça s’améliore… lentement.



coco74 a dit:


Nordnet. Le mot de passe saisi enregistré est envoyé par courrier après souscription. Donc enregistré en clair dans leur bdd.




Pas obligatoire en clair, ça peut être une donnée qu’ils déchiffrent pour la renvoyer.



Même si en soit ça n’est pas une bonne pratique non plus.



SebGF a dit:


Pas obligatoire en clair, ça peut être une donnée qu’ils déchiffrent pour la renvoyer.



Même si en soit ça n’est pas une bonne pratique non plus.




L’autre problème est qu’actuellement, il n’existe aucune solution simple et universelle pour envoyer un mot de passe provisoire autre que par mail que l’utilisateur ne changera pas forcément et c’est pire par SMS. Les fournisseurs de services concernés devraient cesser cette pratique et demander dès le départ à ce que l’utilisateur créer lui-même son mot de passe pour recevoir un mail de confirmation, ce n’est toujours pas le top et ça ne signifie pas que le mot de passe haché est stocké de façon sécurisé (en partant du principe qu’il est bien haché), mais c’est mieux.


Une pratique que je vois de plus en plus n’est pas le mot de passe temporaire par mail (vu qu’il sera considéré comme divulgué dès son envoi de mon point de vue, le mail étant une carte postale), c’est l’envoi d’un lien pour le réinitialiser sur le portail du site avec une durée limitée pour faire l’action.



Par ce moyen, le password n’est en principe pas divulgué.



Pour l’exercice de tes droits, la CNIL propose des exemples de démarche pour les adresser aux responsables des traitements / DPO : https://www.cnil.fr/fr/les-droits-pour-maitriser-vos-donnees-personnelles



Si le DPO n’a pas répondu dans le délai légal, ou si la réponse n’est pas satisfaisante, tu peux porter plainte auprès de la CNIL. A noter que tous les cas ne concernent pas forcément la CNIL. Par exemple, pour une fraude ils renverront la personne vers la DGCCRF car ce n’est pas leur compétence.



Pour déposer plainte en ligne auprès de la CNIL c’est ici : https://services.cnil.fr



Pour simplement les contacter pour avoir un avis sans formellement déposer plainte : https://www.cnil.fr/webform/nous-contacter (c’est ce que je fais quand j’ai un doute)



TheKillerOfComputer a dit:


Catastrophique, je n’ai pas… mais j’ai bien un cas léger à partager : Ubisoft Store/Connect.



J’ai crée un compte en 2011 avec un mot de passe de 20 caractères généré par Keepass.



Un soir de 2013 il ne fonctionnait plus (j’ai laissé une note) et j’ai essayé plusieurs fois sans succès. Avant de réinitialiser et m’étant déjà dit que l’incompétence crasse progressait en informatique, j’ai eu l’idée stupide de tester en retirant les 4 derniers caractères de mon mot de passe…



…et ça a marché.



J’ai donc profité pour le changer et je constate la chose : Ubisoft avait réduit les critères de création. Il faut 8 caractères minimum, mais 16 maximum. Pendant longtemps c’était SANS caractères spéciaux mais il semble qu’ils ont ajouté cet impératif entre 2017 (mon MDP actuel) et aujourd’hui.



Pour autant à ce jour c’est toujours 16 caractères maximum. A priori c’est encore bon mais je ne vois pas ce que ça leur coûterait de mettre 32 max.




Tu es pas le premier sur ce fil à faire part de cette expérience. En tant que développeur web je trouve ça hallucinant de stupidité d’avoir des critères de validation du mdp sur le formulaire de connexion.
Ca ne sert à rien mis à part embrouiller l’utilisateur. Ca devrait être uniquement sur le formulaire d’inscription, celui de modification du mdp et celui de réinitialisation de ce dernier.
Dans la plupart des cas en plus c’est sur des sites codés avec les pieds où lesdits critères ne sont pas centralisés donc chaque formulaire a les siens et un classique c’est le formulaire d’inscription qui n’accepte pas tels critères mais celui de modification/réinitialisation oui, parce que les devs ont oublié de modifier les critères partout… D’où l’intérêt de les centraliser : il n’y a qu’un endroit où il est nécessaire de les modifier et ça assure leur homogénéité sur tout le site.



La limitation du nombre de caractères n’a aucune pertinence au niveau technique à moins que le mdp soit stocké en clair, ou hashé via un algo daubé qui ne gère que très peu de caractères. Dans les deux cas c’est une grave faute de la part du site côté protection des données.
Ah, si, seul autre cas à ma connaissance : 72 caractères max si le mdp est hashé via bcrypt (qui était l’état de l’art jusqu’à il y a peu mais reste efficace), car ce dernier tronque au delà de 72 bytes. D’ailleurs en réalité c’est donc pas forcément 72 caractères mais peut-être moins car certains caractères comme les accentués font plusieurs bytes et pas un. Mais bon va expliquer ça à l’utilisateur, autant lui dire que c’est max 72 caractères et croiser les doigts pour qu’il aille pas au bout ou s’il y va ne se rende pas compte que la fin est peut-être tronquée quand même.




alphacentauris a dit:


C’est pourtant pas sorcier d’utiliser l’équivalent de sanitize : on évite le problème d’injection.




Je n’ai pas saisi, tu fais référence à quoi ? Au mdp ? Il n’y a pas besoin de le sanitize étant donné qu’il est hashé avant de finir en bdd, donc pas d’injection possible.
D’ailleurs sanitize c’est pas super car si tu oublies de le faire une seule fois dans ton code tu es foutu. La bonne pratique depuis de nombreuses années c’est les requêtes préparées. Sanitize est recommandé par OWASP uniquement si toutes les autres méthodes plus sûres ne sont pas possibles.




En ce qui concerne le nombre de caractères, ce n’est pas un problème, si on fait un hash solide de la valeur, car seul le hash sera transmis.




Transmis où ? Au serveur ? 99% des sites hash le mdp uniquement côté serveur donc après “transmission”.
Le hasher côté client puis côté serveur peut-être risqué (exemple), mixer les algos de hash étant mal vu. Sans parler de la problématique de la config de l’algo et de l’éventuel sel qui peuvent être l’une comme l’autre différents selon l’utilisateur et donc permettre à un attaquant de faire une énumération d’utilisateurs si on lui sert des données différentes en fonction de l’email qu’il entre.
Le hasher uniquement côté client permet l’attaque “pass the hash”.




Je crains qu’il va nous falloir encore un certain temps avant d’avoir un nombre de sites qui respectent des règles élémentaires de sécurités, bien que ça s’améliore… lentement.




C’est certain. D’autant que chez beaucoup de sites même à jour côté algo on a tendance à trouver en bdd plein de hashes qui ne sont eux pas à jour : On ne peut pas rehash le mdp de l’utilisateur avec le nouvel algo à l’état de l’art s’il ne se reconnecte pas, et le service marketing risque de s’opposer à un reset global du mdp des utilisateurs (supprimer tous les hashes pas à jour et leur envoyer un email pour les inviter à reset leur mdp) car ça pourrait ternir à tort la réputation du site, les utilisateurs pouvant penser qu’il y a eu un piratage massif et que le site essaie d’étouffer la chose, par exemple.
On a vu le cas récemment avec EDF qui s’est faite allumer par la CNIL car beaucoup de hashes en bdd étaient en MD5 ou SHA1 pas salé et ce alors que EDF avait “modernisé” le stockage du mdp depuis. Bon, modernisé mais toujours pas assez : C’est sacrément la honte en 2022 de se targuer de faire du SHA-256 ou 512 (on ne sait même pas, ils se contredisent) salé depuis 2017-2018 (là aussi ils se contredisent) comme si c’était une innovation alors que ça fait plus de 10 ans que MD5 comme SHA c’est considéré inadapté pour hasher des mdp…



QTrEIX a dit:


L’autre problème est qu’actuellement, il n’existe aucune solution simple et universelle pour envoyer un mot de passe provisoire autre que par mail que l’utilisateur ne changera pas forcément et c’est pire par SMS.




Tu peux toujours à la première connexion obliger l’utilisateur à changer.
Tu peux même l’empêcher de choisir le provisoire, car tu as son hash en base de données donc tu peux vérifier s’il entre le même.
Tu peux même l’empêcher d’en choisir un qui se rapproche trop du provisoire : Tu lui demandes d’entrer l’actuel (donc le provisoire, comme ça tu l’as en clair) et celui qu’il a choisi, ensuite tu passes les deux dans un algo tel que la distance de Levenshtein et si c’est trop similaire tu rejettes.



La seule limitation c’est si ton utilisateur veut vraiment abuser et choisit un mdp original bien docilement mais passe ensuite par la fonctionnalité de changement ou réinitialisation pour remettre le provisoire. Là faudrait stocker éternellement le hash du provisoire pour contrer (faisable). Mais tu peux pas contrer s’il choisit un similaire au provisoire : Sinon ça signifierait lui demander le provisoire en clair à chaque fois qu’il veut changer de mdp, or s’il est “honnête” il ne l’a plus (il n’a pas tenté de le réutiliser et a supprimé l’email).


9 pages de commentaires passionnés et passionnants, je n’ai malheureusement pas pris le temps de tout lire pour trouver la réponse à ma question



Je vais déborder un peu sur un sujet same same but different, il m’arrive, comme tout le monde, de recevoir des newsletters que je n’ai pas autorisé*, des mails alors que j’ai expressément demandé à être supprimé de la DB via une demande DPO, ou carrément des DPO injoignables ,etc. etc., qui sont des joyeusetés pas trop conforme RGPD.



Dans le même ordre d’idée que cet article (et celui de wekiwi), serait il possible d’envisager une série de posts sur les autres non conformité RGPD (comme celle que je viens de citer plus haut) ? Pas juste “regardez, c’est pas bien ce qu’ils font”, mais d’aller plus loin en donnant les clés pour remonter ces infos à la CNIL par l’intermédiaire de NXI (ou pas forcément d’ailleurs, en passant en direct, mais ça donnerait peut être moins de poids en direct).



Au passage, sans même attendre cette série d’articles (qui ne sera peut être jamais faite, je ne sais pas si l’équipe NXI lira mon message et se dira “OMG, mais ce ElCroco, c’est un génie, faisons ce qu’il dit et embauchons le par la même occasion”), pour les problématiques que j’ai cité plus haut, quelqu’un sait comment remonter ces infos à la CNIL ? Des fois on me dit “faut passer par signal-spam.fr”, des fois pas, des fois c’est par un form sur le site de la CNIL mais qui n’est pas totalement pour ma demande, etc. Je ne m’y retrouve jamais totalement, donc si quelqu’un sait comment signaler plus précisément, je suis preneur



* assez classiquement quand on me demande mon mail à un guichet pour recevoir les factures, alors que “promis, on ne vous enverra aucun mail”


Plainte CNIL je dirais. Cette dernière usant de dark patterns pour planquer ses formulaires histoire de dissuader les gens sans doute pour être moins débordée, plusieurs personnes ont créé des proxies (oui on en est là…). Ils finissent par mener ici : https://services.cnil.fr/ (il faut s’inscrire, pas cliquer sur “saisir la CNIL” sinon tu vas te faire balader)



A noter deux choses :




  • la CNIL a l’air de ne pas bouger contre une entreprise tant qu’il n’y a pas de nombreuses plaintes à son encontre

  • la CNIL a, des témoignages que j’ai vus, tendance à considérer “insuffisantes” les plaintes où tu n’as pas toi-même commencé le boulot, ce qui est honteux, l’individu moyen n’étant pas juriste ni enquêteur… Pour “commencer le boulot” un classique peut être de faire une demande d’accès à l’entreprise (cf par ex ce modèle) puis une plainte quand l’entreprise n’aura pas manqué de ne pas répondre dans les délais ou de répondre à côté de la plaque/en niant les violations que tu lui reproches.



J’ai souvenir d’un formulaire de contact plus général si tu ne veux pas déposer de plainte mais seulement leur signaler une violation qui ne te concerne pas personnellement (me semble que la plainte c’est seulement si ça te touche), mais impossible de le retrouver, évidemment… J’ai eu l’occasion de l’utiliser une fois il y a plusieurs années pour signaler un service qui laissait en libre accès les données de plein de gens et ils m’ont même répondu et dit faire le nécessaire !


BlueSquirrel

Plainte CNIL je dirais. Cette dernière usant de dark patterns pour planquer ses formulaires histoire de dissuader les gens sans doute pour être moins débordée, plusieurs personnes ont créé des proxies (oui on en est là…). Ils finissent par mener ici : https://services.cnil.fr/ (il faut s’inscrire, pas cliquer sur “saisir la CNIL” sinon tu vas te faire balader)



A noter deux choses :




  • la CNIL a l’air de ne pas bouger contre une entreprise tant qu’il n’y a pas de nombreuses plaintes à son encontre

  • la CNIL a, des témoignages que j’ai vus, tendance à considérer “insuffisantes” les plaintes où tu n’as pas toi-même commencé le boulot, ce qui est honteux, l’individu moyen n’étant pas juriste ni enquêteur… Pour “commencer le boulot” un classique peut être de faire une demande d’accès à l’entreprise (cf par ex ce modèle) puis une plainte quand l’entreprise n’aura pas manqué de ne pas répondre dans les délais ou de répondre à côté de la plaque/en niant les violations que tu lui reproches.



J’ai souvenir d’un formulaire de contact plus général si tu ne veux pas déposer de plainte mais seulement leur signaler une violation qui ne te concerne pas personnellement (me semble que la plainte c’est seulement si ça te touche), mais impossible de le retrouver, évidemment… J’ai eu l’occasion de l’utiliser une fois il y a plusieurs années pour signaler un service qui laissait en libre accès les données de plein de gens et ils m’ont même répondu et dit faire le nécessaire !



la CNIL a, des témoignages que j’ai vus, tendance à considérer “insuffisantes” les plaintes où tu n’as pas toi-même commencé le boulot, (…)




Parce que c’est le fonctionnement même du RGPD : responsabiliser les responsables de traitement et donner des droits aux personnes qu’elles peuvent exercer par elles-même. Et en cas de manquement, l’autorité de protection des données est là pour arbitrer.



Et d’ordre général, pour avoir échangé avec une dizaine de DPO en 2022 pour demander l’accès aux données dont ils disposaient et m’opposer aux démarchages, ils répondent dans les temps. La seule fois où j’ai du relancer, c’est parce que l’organisme m’avait envoyé la réponse par courrier… Que la poste n’a jamais livré pour changer.


SebGF


la CNIL a, des témoignages que j’ai vus, tendance à considérer “insuffisantes” les plaintes où tu n’as pas toi-même commencé le boulot, (…)




Parce que c’est le fonctionnement même du RGPD : responsabiliser les responsables de traitement et donner des droits aux personnes qu’elles peuvent exercer par elles-même. Et en cas de manquement, l’autorité de protection des données est là pour arbitrer.



Et d’ordre général, pour avoir échangé avec une dizaine de DPO en 2022 pour demander l’accès aux données dont ils disposaient et m’opposer aux démarchages, ils répondent dans les temps. La seule fois où j’ai du relancer, c’est parce que l’organisme m’avait envoyé la réponse par courrier… Que la poste n’a jamais livré pour changer.


Intéressant, sacré contraste côté retour d’expérience…



https://twitter.com/aeris22/status/1397194147619016712



https://twitter.com/aeris22/status/1597683396909666306



https://twitter.com/aeris22/status/1560317794478080000



Et quand la CNIL te conseille ce genre de chose, bon…
https://www.youtube.com/watch?v=Pr2iWzbyfMI&t=1674s



Si le RGPD prévoit ce parcours ubuesque alors il est à côté de la plaque côté protection des usagers.


BlueSquirrel

Intéressant, sacré contraste côté retour d’expérience…



https://twitter.com/aeris22/status/1397194147619016712



https://twitter.com/aeris22/status/1597683396909666306



https://twitter.com/aeris22/status/1560317794478080000



Et quand la CNIL te conseille ce genre de chose, bon…
https://www.youtube.com/watch?v=Pr2iWzbyfMI&t=1674s



Si le RGPD prévoit ce parcours ubuesque alors il est à côté de la plaque côté protection des usagers.


Il a l’air énervé le aeris, mais s’y prend-il bien ?
Il a l’air d’attendre une vitesse de traitement trop rapide sur ses plaintes alors qu’il n’est pas le seul à se plaindre.



Son bilan n’est pas si mal pour la CNIL :
27 demandes d’accès




  • 3 correctement répondues… 😑

  • 8 plaintes CNIL

  • 1 condamnation 2.25 millions d’euro



Déjà, il a choisi lui-même de ne pas transmettre à la CNIL 16 plaintes (27-3-8).
Ensuite, sur les 8 plaintes, une a généré une condamnation (peut-être regroupée avec d’autres plaintes).
Et on n’a pas d’infos sur les 7 autres.



En plus, au début, la CNIL a été plus en mode pédagogie que sanction, donc résultat pas illogique.



Quant à la réponse de la CNIL, elle est conforme au RGPD (même pour les pirates :D).
La première partie de sa réponse correspond au fonctionnement nécessaire pour porter plainte auprès d’elle. Mais attention, “porter plainte” auprès de la CNIL, c’est juste signaler dans ce cas la mauvaise protection des données par Facebook (qui a normalement déjà signalé ce problème à la CNIL).
Cela n’empêche pas d’aller porter plainte contre le vol de tes données personnelles, mais cela n’entre pas dans la compétence de la CNIL



On va arrêter là le hors sujet, ici, c’est les problèmes de mots de passe.


BlueSquirrel

Intéressant, sacré contraste côté retour d’expérience…



https://twitter.com/aeris22/status/1397194147619016712



https://twitter.com/aeris22/status/1597683396909666306



https://twitter.com/aeris22/status/1560317794478080000



Et quand la CNIL te conseille ce genre de chose, bon…
https://www.youtube.com/watch?v=Pr2iWzbyfMI&t=1674s



Si le RGPD prévoit ce parcours ubuesque alors il est à côté de la plaque côté protection des usagers.



BlueSquirrel a dit:


Intéressant, sacré contraste côté retour d’expérience…



https://twitter.com/aeris22/status/1397194147619016712



https://twitter.com/aeris22/status/1597683396909666306



https://twitter.com/aeris22/status/1560317794478080000



Et quand la CNIL te conseille ce genre de chose, bon… https://www.youtube.com/watch?v=Pr2iWzbyfMI&t=1674s



Si le RGPD prévoit ce parcours ubuesque alors il est à côté de la plaque côté protection des usagers.




mais je comprends pas trop l’idée de ton post…
dévulgariser les plaintes auprès de la CNIL?
mais vous savez à quel jeu vous jouez là?
outre les amendes pour fuites de données, en millions d’euros, imposées par la cnil via le législateur, la cnil n’a absolument aucun pouvoir sur les PME/ETI et autres petites chaines commercantes : pourquoi?



la cnil, à l’instar du PNF sous hollande, dont le président avait affirmé de ses mots “c’est symbolique”, en gros pour répondre à une émotion de mécontentement : la CNIL a été mise en place pour donner une impression du “oui, on bouge, on est actifs, on va pointer du doigts, et ca se passera plus comme avant : la récré est terminée !”



=> discours 100% politique.
vers 2015, j’ai appris que la CNIL, c’est une dizaine de personne. Quatorze à l’époque je crois. Moins que la PME dans laquelle je bossais.
Et vous croyez qu’ils vont s’amuser à botter le train de toutes les enseignes commerciales, grands groupes ou pas, pour une question de mdp?



c’est juste un non-sens absolu.
avec les fuites récentes de données, les gouvernements n’ont pas eu le choix d’accorder à la CNIL l’amende faramineuse en millions pour les données dérobées des grands groupes. Ils l’ont fait au meme titre que pour le CPF et à l’identtié numérique obligatoire (exigée par macron, qui s’est lui meme fait harceler par ces vautours). Mais s’attendre à ce que ca change pour les petites enseignes c’est complètement un non sens.



Regardez quand Thierry Breton, commissaire à l’UE, a voulu taper sur les doigts de maitre zucky en visio : ce dernier était totallement impassible, et il avait raison : meme pour les gros groupes étrangers les commissions EU ou FR sont totallement naines pour aboutir.



et vous pensez qu’une armée d’une centaine de nerds, sur NXI, va changer les choses en tirant la sonnette d’alarme?
j’aurais aimé entendre “oui”. Certains le hurleront sans doute. Flashback dix ans en arrière, retournons le sablier :
snowden a fait des révélations extraordinaires ; est ce que ca a changé quelque chose?
absolument rien, chaque génération se drogue aux gafamnt, à sa manière.



aucun doute qu’une centaine de geeks sur NXI ne changera rien à l’avenir de 70M de francais.
c’est triste, c’est l’idée de la vie :roll:


BlueSquirrel

Plainte CNIL je dirais. Cette dernière usant de dark patterns pour planquer ses formulaires histoire de dissuader les gens sans doute pour être moins débordée, plusieurs personnes ont créé des proxies (oui on en est là…). Ils finissent par mener ici : https://services.cnil.fr/ (il faut s’inscrire, pas cliquer sur “saisir la CNIL” sinon tu vas te faire balader)



A noter deux choses :




  • la CNIL a l’air de ne pas bouger contre une entreprise tant qu’il n’y a pas de nombreuses plaintes à son encontre

  • la CNIL a, des témoignages que j’ai vus, tendance à considérer “insuffisantes” les plaintes où tu n’as pas toi-même commencé le boulot, ce qui est honteux, l’individu moyen n’étant pas juriste ni enquêteur… Pour “commencer le boulot” un classique peut être de faire une demande d’accès à l’entreprise (cf par ex ce modèle) puis une plainte quand l’entreprise n’aura pas manqué de ne pas répondre dans les délais ou de répondre à côté de la plaque/en niant les violations que tu lui reproches.



J’ai souvenir d’un formulaire de contact plus général si tu ne veux pas déposer de plainte mais seulement leur signaler une violation qui ne te concerne pas personnellement (me semble que la plainte c’est seulement si ça te touche), mais impossible de le retrouver, évidemment… J’ai eu l’occasion de l’utiliser une fois il y a plusieurs années pour signaler un service qui laissait en libre accès les données de plein de gens et ils m’ont même répondu et dit faire le nécessaire !


Merci pour ta réponse :)
Je suis déjà tombé sur services.cnil.fr, mais ça reste toujours un peu cryptique, ça semble souvent renvoyer vers des sites externes mais je trouve ça dommage.
Par exemple, pour mon histoire de newsletters que je reçois après avoir reçu validation par le DPO que mes données étaient supprimées ( https://www.lacitedesnuages.be/ pour ne pas les citer), je ne sais pas où aller. Depuis https://services.cnil.fr




  • je me fais rediriger vers https://www.cnil.fr/fr/plaintes

  • je peux ensuite me faire rediriger vers signal-spam.fr sauf que c’est un manquement RGPD et pas un spam pour moi

  • ou alors signaler les pratiques frauduleuses d’un site, dans ce cas, c’est redirection vers la DGCCRF (qui ne semble pas être l’organisme le plus logique) ou pharos (pareil, c’est pas le même endroit)



Donc au final, pas de signalement à la CNIL, je trouve ça dommage pour un service qui doit être là pour nous.



Pour tes autres points, je suis partiellement d’accord avec toi : dans la théorie, un signalement devrait suffire. Dans la pratique, imagine un peu la quantité faramineuse de boulot que cela engendrerait : il me semble, sur le coté pragmatique, que ça soit plus simple de viser une entreprise pour laquelle de nombreuses plaintes sont remontées.
Dans la même veine, si la CNIL recoit juste des plaintes “XXX ils sont méchants avec moi” sans réelle preuve à l’appui, pareil niveau taf, ca doit représenter des montagnes de boulot. Sans compter les plaintes sur laquelle qu’on doit leur remonter et sur laquelle elle n’est aucunement compétente.



Même réponse qu’au dessus pour services.cnil.fr
Pour le point DPO, j’ai déjà fait de multiples demandes à des DPO, j’ai un peu tout et rien : des absences de réponses, des fois ça se passe très bien, des demandes (à mon avis déraisonnées) de vérification d’identité *



Je n’étais jamais tombé sur le formulaire de contact, je pense que je vais m’en service un peu plus souvent :)



* Demandes de CNI principalement, ce qui ne leur apporterait rien parce que je peux très bien falsifier n’importe quel scan de CNI d’une part, et ils n’ont jamais eu ma CNI à l’inscription d’autre part (coucou la fnac)


ElCroco

Merci pour ta réponse :)
Je suis déjà tombé sur services.cnil.fr, mais ça reste toujours un peu cryptique, ça semble souvent renvoyer vers des sites externes mais je trouve ça dommage.
Par exemple, pour mon histoire de newsletters que je reçois après avoir reçu validation par le DPO que mes données étaient supprimées ( https://www.lacitedesnuages.be/ pour ne pas les citer), je ne sais pas où aller. Depuis https://services.cnil.fr




  • je me fais rediriger vers https://www.cnil.fr/fr/plaintes

  • je peux ensuite me faire rediriger vers signal-spam.fr sauf que c’est un manquement RGPD et pas un spam pour moi

  • ou alors signaler les pratiques frauduleuses d’un site, dans ce cas, c’est redirection vers la DGCCRF (qui ne semble pas être l’organisme le plus logique) ou pharos (pareil, c’est pas le même endroit)



Donc au final, pas de signalement à la CNIL, je trouve ça dommage pour un service qui doit être là pour nous.



Pour tes autres points, je suis partiellement d’accord avec toi : dans la théorie, un signalement devrait suffire. Dans la pratique, imagine un peu la quantité faramineuse de boulot que cela engendrerait : il me semble, sur le coté pragmatique, que ça soit plus simple de viser une entreprise pour laquelle de nombreuses plaintes sont remontées.
Dans la même veine, si la CNIL recoit juste des plaintes “XXX ils sont méchants avec moi” sans réelle preuve à l’appui, pareil niveau taf, ca doit représenter des montagnes de boulot. Sans compter les plaintes sur laquelle qu’on doit leur remonter et sur laquelle elle n’est aucunement compétente.



Même réponse qu’au dessus pour services.cnil.fr
Pour le point DPO, j’ai déjà fait de multiples demandes à des DPO, j’ai un peu tout et rien : des absences de réponses, des fois ça se passe très bien, des demandes (à mon avis déraisonnées) de vérification d’identité *



Je n’étais jamais tombé sur le formulaire de contact, je pense que je vais m’en service un peu plus souvent :)



* Demandes de CNI principalement, ce qui ne leur apporterait rien parce que je peux très bien falsifier n’importe quel scan de CNI d’une part, et ils n’ont jamais eu ma CNI à l’inscription d’autre part (coucou la fnac)


Au temps pour moi j’aurais mieux fait de tester ! J’étais moi-même passé par un des proxies dont j’ai parlé, et ça semble rester nécessaire sinon tu finis sur https://www.cnil.fr/fr/plaintes qui est clairement inspiré des 12 travaux d’Astérix… :mad2:



Voici deux proxies : https://dav.li/cnil et https://imirhil.fr/cnil
Tu risques de devoir à nouveau te connecter même si tu l’es déjà, mais ensuite tu devrais bien être redirigé vers le foutu formulaire de plainte.
C’est hallucinant cette volonté d’empêcher l’utilisateur d’accéder au formulaire ! Même en copiant l’URL de ce dernier qui est https://demarche.services.cnil.fr/plaintes/plainte-en-ligne/?parcours= (j’ai viré la valeur de parcours) si tu ne fournis pas le paramètre parcours avec une valeur valide ça te renvoie sur une page d’erreur avec un lien qui te renvoie sur https://www.cnil.fr/fr/plaintes...




dans la théorie, un signalement devrait suffire. Dans la pratique, imagine un peu la quantité faramineuse de boulot que cela engendrerait : il me semble, sur le coté pragmatique, que ça soit plus simple de viser une entreprise pour laquelle de nombreuses plaintes sont remontées.




Ca dépend des signalements. Cf par ex https://twitter.com/aeris22/status/1597683396909666306.
Pour le cas CDiscount il dit que c’est une violation flagrante et énorme (revente de la totalité de la base client à des “partenaires”) et pourtant rien ne bouge depuis des années… Donc il semblerait que la gravité en elle-même ne signifie pas pour autant action de la CNIL.




des demandes (à mon avis déraisonnées) de vérification d’identité *




Oui c’est en général déraisonné et même illégal, cf https://www.cnil.fr/cnil-direct/question/exercice-de-mes-droits-informatique-et-libertes-dois-je-fournir-obligatoirement.
C’est l’occasion d’ajouter ça aux violations dans ta plainte à la CNIL (on ne te permet pas d’exercer tes droits et on te demande des données sans base légale et sans respecter le principe de minimisation)



(reply:2115876:BlueSquirrel) Merci pour ta correction et pour tes commentaires instructifs



SebGF a dit:


c’est l’envoi d’un lien pour le réinitialiser sur le portail du site avec une durée limitée pour faire l’action.



Par ce moyen, le password n’est en principe pas divulgué.




D’accord ! Je n’ai pas d’exemples en tête que j’ai moi-même vécu mais je comprends le boulon.



ElCroco a dit:


Merci pour ta réponse :) Je suis déjà tombé sur services.cnil.fr, mais ça reste toujours un peu cryptique, ça semble souvent renvoyer vers des sites externes mais je trouve ça dommage. Par exemple, pour mon histoire de newsletters que je reçois après avoir reçu validation par le DPO que mes données étaient supprimées ( https://www.lacitedesnuages.be/ pour ne pas les citer), je ne sais pas où aller. Depuis https://services.cnil.fr




  • je me fais rediriger vers https://www.cnil.fr/fr/plaintes

  • je peux ensuite me faire rediriger vers signal-spam.fr sauf que c’est un manquement RGPD et pas un spam pour moi

  • ou alors signaler les pratiques frauduleuses d’un site, dans ce cas, c’est redirection vers la DGCCRF (qui ne semble pas être l’organisme le plus logique) ou pharos (pareil, c’est pas le même endroit)




C’est parce que tu ne réponds pas bien aux questions qu’on te renvoie ailleurs.
Je vais expliquer. Tu veux porter plainte parce que tu as demandé la suppression de données personnelles (e-mail) et que tu constates que ce n’est pas fait (tu reçois encore des mails).



Il faut donc répondre “Autre type de site internet”’ puis “Supprimer des informations vous concernant détenues par un site” et enfin : “La réponse n’est pas satisfaisante”. On te propose alors “Adresser une plainte”.



Mais, il faut vraiment qu’on arrête de polluer ce sujet.


Je ne vois pas bien quel est le problème avec le code PIN que tout le monde ici semble conspuer.



Un code PIN à 6 chiffres ce n’est pas un mot de passe à 6 chiffres. Un mot de passe à 6 chiffres se “brise” en quelques microsecondes mais pas un PIN.



Le mot de passe sert de base pour dériver une clé de chiffrement (fonction de hash lente) ou s’authentifier (hashage rapide).



Un PIN lui ne sert qu’à ouvrir la porte vers un secret qui servira au chiffrement ou à l’authentification. Donc si on récupère une donnée chiffrée et qu’on souhaite la bruteforcer, connaître le PIN ne sera d’aucune aide car le secret nécessaire à l’accès n’a aucun lien avec lui.



Dans le cadre d’un PIN le secret est stockée dans une micro forteresse (un secure element, un HSM, etc.) et le PIN est la seule clé pour entrer dans cette forteresse pour obtenir le secret qui à son tour pourra être utilisé pour s’authentifier.



La forteresse est un mini PC avec un OS hardcodé impossible à modifier. Dans cet OS sont codées des règles pour le code PIN dont la fameuse politique du nombre d’essais, des challenges et délais entre chaque essai, de la destruction du secret en cas de nombre d’essais trop élevés, etc.



Donc la sécurité du PIN dépend surtout de la politique mise en oeuvre dans le secure element.



Sur un iPhone par exemple, c’est 10 essais avec des délais d’attente entre chaque essais qui augmentent. Au 10ème essai raté on supprime la clé et ainsi toutes les données de l’iPhone sont cryptées à jamais (oui oui “cryptées” et pas chiffrées), on n’a plus qu’à relancer une nouvelle session vide avec une nouvelle clé.



Pour les banques je n’ai jamais essayé de m’amuser mais il me semble qu’on a 3 essais avant que des mécanismes bien relous se mettent en branle (courrier papier qui met 10 ans à arriver chez la banque postale). 3 essais sur 1 millions de possibilités (voire 100 millions chez les banques qui demandent 8 chiffres) c’est proche de l’impossible. L’OSINT est certainement plus efficace sur un mot de passe que sur un PIN donc ce n’est pas un argument recevable à moins de pouvoir tenter des dizaines de PIN avant d’être freiné ou bloqué.


Pour les “vrais” codes PIN (déverrouillage du secret,…) tu as raison.
Sauf à la fin : les données ont été chiffrées et donc le sont toujours, mais on ne peut plus les déchiffrer puisque la clé a été détruite. On pourra peut-être les décrypter un jour avec les calculateurs quantiques.



Par contre, pour les mots de passe des banques et compagnies d’assurance, tu n’as pas dû me lire plus haut.



Un code à 6 chiffres (5 chez la mutuelle qui m’assure !) se casse facilement si on a piraté la base des mots de passe. Et cet évènement arrive régulièrement. Je ne vois pas pourquoi les banques seraient à l’abri. C’est donc bien une faiblesse.


S’authentifier est aussi un hashage lent plutôt que rapide. Sinon tu n’utilises pas la bonne techno.



Côté PIN chez la banque j’ai un argument contre : En cas de fuite de la bdd de la banque, même si le PIN est hashé ça sera vite brute force compte tenu du nombre très faible de possibilités. Donc si un attaquant peut récupérer la bdd d’auth d’une banque il peut ensuite se faire passer pour tous ses utilisateurs.
En pratique c’est surtout ce genre de brute force (hors ligne) qui est à craindre plus qu’un brute force en ligne (notamment car en général il y a des contre mesures comme verrouillage au bout de n essais).



Mais bon pour ma part c’est plutôt la bêtise du clavier virtuel qui me dérange surtout qu’il n’a aucun intérêt. Le code PIN n’est qu’un résultat du clavier virtuel : taper un vrai mdp en cliquant sur un clavier virtuel serait une purge.



De toute façon j’ai l’impression que les banques ont pour logique que la sécurité des comptes clients importe qu’à moitié car même en cas de fraude elles ont des assurances et des dispositifs en place pour annuler les transactions et compagnie.



Y a bien des pays où ta CB a même pas de PIN pour payer et ce quel que soit le montant… Parce qu’ils comptent sur les assurances en cas de problème.




oui oui “cryptées” et pas chiffrées




Non.




(reply:2115928:ʟ·ɪɴᴀᴅᴀᴩᴛé)
Ce n’est pas choquant si tu es obligé de changer le mdp à ton prochain login. Ca le serait s’ils t’envoyaient le mdp que tu as choisi. Surtout s’ils te l’envoient quand tu demandes un reset, car ça signifie qu’ils y ont accès en clair, ce qui ne doit pas être le cas.



Pour ta dernière partie, sur 100 millions de possibilités, avec un peu de social engineering, on peut réduire à 3 (date de naissances, etc…) :)



Ozwel a dit:


Je ne vois pas bien quel est le problème avec le code PIN que tout le monde ici semble conspuer.




On peut citer Windows Hello comme code PIN, je m’en sers pour valider ma connexion au compte MS et même au démarrage du Windows.




Sur un iPhone par exemple, c’est 10 essais avec des délais d’attente entre chaque essais qui augmentent. Au 10ème essai raté on supprime la clé et ainsi toutes les données de l’iPhone sont cryptées à jamais (oui oui “cryptées” et pas chiffrées), on n’a plus qu’à relancer une nouvelle session vide avec une nouvelle clé.




Merci pour cette info ! Je ne sais plus comment c’est sur Android, avec le Titan M pour mon cas mais je crois que c’est similaire, en tout cas la puce est censé rendre une attaque par brute force extrêmement difficile et empêcher pleins d’autres trucs, par ex, la puce détruit les données si un changement anormal est détecté comme un changement brutal de la température, réduisant de beaucoup la plupart des attaques par canal latéral, avoir accès aux clés de signature de Google pour le micrologiciel du Titan M n’est pas suffisant pour éxecuter son propre micrologiciel malveillant etc, je suis quasi sûr que l’alternative d’Apple fait pareille.



PS : Quelle est la différence dans ce contexte entre chiffré et crypté ?




Pour les banques je n’ai jamais essayé de m’amuser mais il me semble qu’on a 3 essais avant que des mécanismes bien relous se mettent en branle (courrier papier qui met 10 ans à arriver chez la banque postale). 3 essais sur 1 millions de possibilités (voire 100 millions chez les banques qui demandent 8 chiffres) c’est proche de l’impossible. L’OSINT est certainement plus efficace sur un mot de passe que sur un PIN donc ce n’est pas un argument recevable à moins de pouvoir tenter des dizaines de PIN avant d’être freiné ou bloqué.




Oui le digicode des banques est un code PIN, c’est bien ca ?


Tiens…
Mot de passe en clair dans un email de Tuxedo − l’assembleur de PC allemand :



email de Tuxedo



QTrEIX a dit:

>
PS : Quelle est la différence dans ce contexte entre chiffré et crypté ?



Oui le digicode des banques est un code PIN, c’est bien ca ?




Yes c’est un PIN. Après je n’ai jamais regardé l’implémentation exacte. En tout cas les mécanismes anti-bruteforce sont là et ce code n’est pas utilisé pour l’authentification dans le backend, il sert juste à débloquer le secret stocké “quelque part”.



Pour la différence chiffré/crypté : je suis moins sûr de mon coup après lecture de ce site que je tenais pour référence : https://chiffrer.info/
Pour moi des données cryptées signifie qu’elles ont été chiffrées mais que la clé n’existe plus. C’est “crypté” = on peut s’amuser à décrypter si on veut (déchiffrer quand on n’a pas la clé) mais si c’était chiffré avec une clé en béton armé, il est probable que ce soit game over.



BlueSquirrel a dit:


Ce n’est pas choquant si tu es obligé de changer le mdp à ton prochain login. Ca le serait s’ils t’envoyaient le mdp que tu as choisi. Surtout s’ils te l’envoient quand tu demandes un reset, car ça signifie qu’ils y ont accès en clair, ce qui ne doit pas être le cas.




Dans l’email, ils imposent leur mdp et invitent seulement à « changer mon mot de passe comme je le souhaite », mais une fois sur leur site il n’y a aucune obligation de le faire.



Ozwel a dit:


Yes c’est un PIN. Après je n’ai jamais regardé l’implémentation exacte. En tout cas les mécanismes anti-bruteforce sont là et ce code n’est pas utilisé pour l’authentification dans le backend, il sert juste à débloquer le secret stocké “quelque part”.




Ok !




Pour la différence chiffré/crypté : je suis moins sûr de mon coup après lecture de ce site que je tenais pour référence : https://chiffrer.info/ Pour moi des données cryptées signifie qu’elles ont été chiffrées mais que la clé n’existe plus. C’est “crypté” = on peut s’amuser à décrypter si on veut (déchiffrer quand on n’a pas la clé) mais si c’était chiffré avec une clé en béton armé, il est probable que ce soit game over.




C’est la première fois que je lis cette théorie mais ce n’est pas inintéressant, cela dit, je me dis qu’employer “crypter” pour ce cas de figure n’amène qu’essentiellement du doute, ton lien est intéressant au passage, fourni des explications et révèle plus ou moins d’où vient ce mot “crypter”, de mon côté, j’ai rapidement comparé “crypter” à une traduction déformé de “Encrypt”, un genre de franglais si tu veux, qui a ensuite été popularisé par les médias.



On dit qu’une chaîne de TV est “crypté” dans le cas où elle est payante et où tu ne paies pas, ce qui a probablement dû conforter dans l’idée que “crypter” est un terme valide en sécurité informatique puisque dans la tête des gens, “crypter” revient à “brouiller” donc “cacher” donc ce qui semble “sécuriser puisque inaccessible”, c’est ainsi que je le vois.



(quote:2115923:::1)



\=> discours 100% politique. vers 2015, j’ai appris que la CNIL, c’est une dizaine de personne. Quatorze à l’époque je crois. Moins que la PME dans laquelle je bossais.




Il faut arrêter de raconter n’importe quoi. La CNIL en 2015, c’est 189 ETP (équivalent temps plein). 262 en 2022 et les effectifs sont en hausse depuis 34 ans.




Et vous croyez qu’ils vont s’amuser à botter le train de toutes les enseignes commerciales, grands groupes ou pas, pour une question de mdp?




C’est aussi pour ça que la CNIL a condamné 2 médecins libéraux en 2020. La CNIL se fout de la taille des entités. Elle va s’en doute prioriser les contrôles lorsque plusieurs plaintes concernent la même entité, mais croire qu’être petit suffit pour passer à côté c’est se tromper lourdement.



Il ne faut pas oublier que toutes les décisions de la CNIL (je parle des amendes) ne sont pas publique.



(reply:2115923:::1)




Je serais plus mesuré, les révélations de Snowden sont arrivé à un moment clé du processus législatif du RGPD.
Plus que Snowden, c’est Schrems qui a foutu un sacré coup dans la fourmilière en cassant par deux fois l’accord entre l’UE et les USA, accord qui à permis aux GAFAM de goinfrer en données personnelles.
Là où je te rejoins en partie, c’est que la CNIL ne peut pas enquêter de sa propre initiative: il faut déposer plainte ou attendre une fuite massive de données (un peu trop tard donc).


puisque personne ne sembl e en parler: chronopost



mots de passe bien long pas de pb -> par contre il coupe le mdp aprés les 10 caractère sans t’avertir, et je m’en suis rendu compte lorsque j’ai demandé mon mdp -> retour en clair coupé au delà des 10 caractères.



très très malin si je puis dire, un gars de sncfconnect debauché ?


Est-ce que Orange accepte les caractères spéciaux maintenant ? A une époque c’était impossible…



ElCroco a dit:


Même réponse qu’au dessus pour services.cnil.fr Pour le point DPO, j’ai déjà fait de multiples demandes à des DPO, j’ai un peu tout et rien : des absences de réponses, des fois ça se passe très bien, des demandes (à mon avis déraisonnées) de vérification d’identité *



Je n’étais jamais tombé sur le formulaire de contact, je pense que je vais m’en service un peu plus souvent :)



* Demandes de CNI principalement, ce qui ne leur apporterait rien parce que je peux très bien falsifier n’importe quel scan de CNI d’une part, et ils n’ont jamais eu ma CNI à l’inscription d’autre part (coucou la fnac)




Dans le cas d’une demande d’exercice de ses droits, le DPO a besoin d’une information permettant de justifier l’identité de son interlocuteur (pour éviter l’usurpation et une demande frauduleuse, bien évidemment, rappelons que l’organisme est responsable en cas de violation de données donc il doit s’en protéger).



En principe, si la personne donne suffisamment d’informations connues de la part de l’organisme (numéro de facture, numéro de compte client, etc), la demande devrait aboutir.



En principe, le DPO n’a pas à demander de pièce d’identité sauf s’il a des “doutes raisonnables” (article 12.6 du RGPD) concernant l’identité de la personne physique ayant soumis la demande. Sachant que la CNIL indique que si la demande est émise depuis un espace authentifié, alors l’identité est censée être considérée comme valide.



Cela reste des cas à évaluer individuellement.



Plus d’infos sur le guide professionnel de la CNIL : Comment répondre à un droit d’accès.


Petite parenthèse parce que je vois s’en plaindre, les caractères spéciaux ne sont pas nécessaires pour créer des mots de passes robustes, vous pouvez opter pour une phrase de passe avec la méthode Diceware, c’est bien aussi dans les situations où vous devez le mémoriser et le taper au clavier.


Bien sûr, mais le soucis c’est qu’en général les sites daubés font la totale : limite de caractères autour de 12 ET pas de caractères spéciaux. Donc bye bye la phrase de passe.



Mieux vaut se contenter de modifier le paramètre about:config mentionné par le site que j’ai cité : network.IDN_show_punycode. Ca évite de donner tous les droits à deux extensions crées par des inconnus + au code pas vérifié par Mozilla et de se retrouver avec un remède pire que le mal ;)



Techniquement si un site tiers charge du JS sur une page il peut accéder à ce qu’il veut sur ladite page et l’envoyer à qui il veut. Par ex il peut récupérer ce que tu entres dans un formulaire (donc ton login et ton mdp) ou encore les informations affichées sur la page (par ex ton adresse postale si tu es sur la page de livraison).
Il peut aussi récupérer le contenu du local storage ou encore les cookies (s’ils n’ont pas le flag HttpOnly).



En l’espèce https://www.decathlon.fr/ a une content security policy (CSP) qui “limite” à qui les données peuvent être envoyées mais elle a des trous (par ex pas de form-action) et autorise énormément de domaines (j’avais jamais vu ça à ce point, ça donne une idée du nombre de tiers potentiellement chargés/appellés sur ce site…).
Et même sans trous dans sa config une CSP ne couvre pas tout. Par ex on peut leak des données en faisant une redirection JS vers un autre URL (contenant en param les données à leak) qui va lui-même renvoyer l’utilisateur où il était : peu de chance qu’il se doute de quelque chose.



Attention j’ai dis “techniquement”, ça ne veut pas dire qu’ils le font. Mais ils pourraient. En outre évidemment tous les tiers chargés/appellés récupèrent au minimum ton IP et ton user agent, ce qui peut aider à te tracer.



Il est d’ailleurs bon de rappeller que la CNIL a explicitement prononcé reCAPTCHA comme étant contraire au RGPD. Et que de toute façon de base tout tiers de nationalité US (google fonts, recaptcha, stripe, akamai ou autre CDN US, etc) chargé sur une page est contraire au RGPD, cf l’arrêt Schrems 2 de la CJUE.



Pour finir le domaine peut jouer sur les permissions. Par exemple Google a bougé maps de maps.google.com à google.com/maps, ce qui fait que depuis si tu autorises maps à accéder à ta géolocalisation eh bien en réalité tu viens d’autoriser tout service provenant de google.com à le faire, pas que maps :mad2:
(source)


j’aurais une question sur l’authentification et les captchas : j’ai un compte Décathlon (en passant appris qu’ils sont à fond dans la surveillance*). J’ai NoScript et UMatrix.




  1. quand je veux me connecter à mon compte, j’entre mon email, et ne peux pas cliquer sur le bouton suivant tant que je n’ai pas autorisé les requêtes/scripts/frame vers recaptcha.net et gstatic.com.

  2. ensuite je peux saisir le mot de passe. Si je réfute l’accès recaptcha/gstatic je reviens au 1).



Sur certains sites c’est recaptcha/gstatic sur d’autres google.com/gstatic.com



À quoi ont accès ces sites auxquels je ne veux donner notamment ni mon identifiant ni mon mot de passe ?





TexMex a dit:


Je dois avouer que l’on rencontre des problèmes avec certain sites. Mais bon avec un bon gestionnaire de mot de passe (et pas KeyPass!!!) on peut moduler simplement. Ces outils font des mots de passe en évitant certains caractères à souhait.




En quoi Keepass n’est pas un bon gestionnaire de mots de passe ?


Parce que mes parents ne sont pas aussi à l’aise avec l’informatique que moi, les trucs (qui me paraissent évidentes mais pas à eux) :




  • les formulaires d’inscription avec “votre email” “votre mot de passe”, pendant longtemps (jusqu’à ce que je le découvre) mon père croyait que c’était obligatoire de saisir le mot de passe qu’il utilise pour lire ses mails, c’est pas grand chose mais mine de rien un “le mot de passe pour ce site” serait moins générateur d’erreur

  • les sites qui proposent “récupération de mot de passe”, qui précisent que le code va arriver par mail/sms et qu’il ne sera valide que 10 min et qui arrive 2h après, donc tu recommences et tu sais le code d’un mail précédent et ça bloque le compte sans la moindre explication (ça pourrait être un “ce code est expiré, merci de nous envoyer le dernier reçu”

  • les sites qui disent “votre mot de passe est trop long”

  • les sites qui selon les pages changent de dénomination “compte”/“email”/“login” et “mot de passe”/“code secret”/“code pin”/“password”

  • les sites qui imposent LEUR 2fa (la mode chez les banques) en te forçant au nom de la sécurité à installer leur appli et lui donner tous les droits qu’elle demande pour avoir le droit de consulter tes comptes ou faire un paiement… pourquoi ne pas gérer les yubikey ou des tokens à l’ancienne (que ces mêmes banques distribuent sans pb aux clients pro) ?

  • une agence de voyage (j’ai plus le nom, faut que je lui demande s’il s’en souvient) qui avait affiché à mon père le message suivant à l’inscription “ce mot de passe est déjà utilisé par un autre compte, voulez vous retrouver votre identifiant ?”



vince120 a dit:




  • les sites qui imposent LEUR 2fa (la mode chez les banques) en te forçant au nom de la sécurité à installer leur appli et lui donner tous les droits qu’elle demande pour avoir le droit de consulter tes comptes ou faire un paiement… pourquoi ne pas gérer les yubikey ou des tokens à l’ancienne (que ces mêmes banques distribuent sans pb aux clients pro) ?




Pour les banques il y a une législation (européenne je crois) qui les oblige à avoir une 2FA contextuelle au moins pour les paiements en ligne (et encore il y a des sites où j’ai ma CB enregistrée et aucune 2FA pour les achats ultérieurs, c’est le foutoir ce milieu…).
Donc il faut que le code (ou l’appareil te demandant une action en guise de 2FA) soit accompagné du montant de la transaction que la 2FA est sur le point d’autoriser. C’est pour éviter notamment un éventuel piratage ou ingénierie sociale où tu crois entrer un code pour autoriser un paiement de 100€ mais en même temps un autre paiement lui de 1000€ a été initié et c’est en réalité celui-ci que tu autorises à ton insu.
Donc pas de yubikey, pas d’appli 2FA TOTP “générique”, mais un SMS avec le code + “pour la transaction de x€ avec l’entreprise Bidule” ou appli dédiée de la banque. Ou éventuellement un appareil dédié fourni par la banque qui afficherait la transaction à autoriser, mais ça coûte sans doute plus cher qu’une appli mobile, d’où le fait que les banques se concentrent sur cette dernière.





  • une agence de voyage (j’ai plus le nom, faut que je lui demande s’il s’en souvient) qui avait affiché à mon père le message suivant à l’inscription “ce mot de passe est déjà utilisé par un autre compte, voulez vous retrouver votre identifiant ?”




Ca existe vraiment ça ?! xD
C’est un running gag dans le milieu de la tech et de la sécurité informatique mais on se dit que c’est une caricature qui ne pourrait jamais arriver…


Pour ma part, j’ai ignoré les “attention, vous ne pourrez plus payer sans l’application” de la CE et finalement je continue de recevoir les 2FA par SMS mais mon père qui l’a installé sur son téléphone “smart” est désormais coincé (la marche arrière n’est pas possible) : à cause des problèmes d’arthrose (et assimilé) il aimerait repasser sur un tél “pas smart” mais ne peut pas à cause de l’appli de la banque pour laquelle il a cédé à l’installation…



Ces banques se cachent derrière le règlement mais bizarrement aucune ne te propose une version “2FA only” de leur appli qui ne nécessiterait aucun droit (et l’appli ne démarre pas si tu ne lui donnes pas tous les droits qu’elle demande)



Pour l’agence de voyage, c’était une agence locale, avec un site probablement développé par le neveu entre deux cours au lycée…


vince120

Pour ma part, j’ai ignoré les “attention, vous ne pourrez plus payer sans l’application” de la CE et finalement je continue de recevoir les 2FA par SMS mais mon père qui l’a installé sur son téléphone “smart” est désormais coincé (la marche arrière n’est pas possible) : à cause des problèmes d’arthrose (et assimilé) il aimerait repasser sur un tél “pas smart” mais ne peut pas à cause de l’appli de la banque pour laquelle il a cédé à l’installation…



Ces banques se cachent derrière le règlement mais bizarrement aucune ne te propose une version “2FA only” de leur appli qui ne nécessiterait aucun droit (et l’appli ne démarre pas si tu ne lui donnes pas tous les droits qu’elle demande)



Pour l’agence de voyage, c’était une agence locale, avec un site probablement développé par le neveu entre deux cours au lycée…


Pareil, de toute façon ils ne peuvent pas t’imposer d’avoir un smartphone…



Ton père devrait menacer de quitter sa banque, s’il ne peux plus payer par CB sur internet car plus de smartphone, ça devrait les motiver à trouver une solution…


Réponse de mon père, “c’était l’agence au coin de la rue machin et bidule, ils ont fait un site à l’époque mais il n’a duré que 6mois-1 an vu qu’il a été remplacé par celui de la franchise quand l’agence a changé d’enseigne”



Et manifestement, sur cet ancien site, avoir un compte ne servait qu’à faire des demandes de devis…



Et d’après mon père (qui connaissait la gérante de l’époque), c’était pas son neveu mais une “boite de sites internet” qui avait réalisé le bignou…


vince120

Réponse de mon père, “c’était l’agence au coin de la rue machin et bidule, ils ont fait un site à l’époque mais il n’a duré que 6mois-1 an vu qu’il a été remplacé par celui de la franchise quand l’agence a changé d’enseigne”



Et manifestement, sur cet ancien site, avoir un compte ne servait qu’à faire des demandes de devis…



Et d’après mon père (qui connaissait la gérante de l’époque), c’était pas son neveu mais une “boite de sites internet” qui avait réalisé le bignou…


Merci pour le retour ! Pas étonnant malheureusement, même des devs “pros” font des absurdités, et beaucoup ne maintiennent pas leurs connaissances à jour alors que l’état de l’art évolue vite (encore plus dans le web et la sécurité).


Les sites internet comme celui de Bouygues Télécom’ ou la limite d’un mot de passe est de 20 caractères cela me rend chèvre !



(reply:2115769:Starlingz) Le logiciel Keypass (je ne connais que celui-là donc je ne m’exprime pas sur les autres) permet de paramétrer pour chaque entrée la saisie automatique. Par défaut, c’est {USERNAME}{TAB}{PASSWORD}{ENTER} mais il est possible d’en rajouter d’autres dont un délai pour laisser le temps à la page suivante de se charger.



Le pire c’est la caisse d’Epargne.



Au début pour utiliser une e-carte il fallait un identifiant et un mot de passe.
Ensuite ils ont rajouté un code reçu par SMS en plus.
Maintenant il ont rajouté le code de la banque en ligne ou pire installer une appli.



Ca fait 3 codes à taper pour générer son e-carte !


Ce sont les règles européennes pour toutes les banques.
Il faut soit passer par l’application ou par le code SMS, et dans les deux cas rentrer son code de connexion à son espace en ligne.
Et ça n’est pas demandé à chaque fois, seulement de temps en temps.



Par contre le login pour se connecter au site de l’e-carte c’est juste des majuscules aléatoire, ça fait bizarre…



Mihashi a dit:


Par contre le login pour se connecter au site de l’e-carte c’est juste des majuscules aléatoire, ça fait bizarre…




Ca évite un login trop évident pour réduire l’efficacité du brute force je pense (qui est déjà réduit vu que les banques bloquent les comptes quand il y a trop d’essais ratés). Perso c’est une pratique que j’ai sur les comptes de service comme des bases de données, le login est une chaîne random. Je n’ai aucune idée de sa valeur, et je m’en fous puisque c’est le gestionnaire de secrets qui la gère.