Amazon propose la double authentification, comment l'activer en France

Amazon propose la double authentification, comment l’activer en France

.com vs .fr

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

19/11/2015 3 minutes
54

Amazon propose la double authentification, comment l'activer en France

Amazon propose depuis peu la double authentification via SMS ou une application. Cette fonctionnalité n'est pour le moment proposée que sur la version américaine du site, mais il est tout de même possible d'en profiter en France.

Alors que Twitch propose depuis une dizaine de jours l'authentification à deux facteurs, c'est désormais au tour de sa maison mère de faire de même : Amazon. Nos confrères d'Engadget ont en effet repéré ce changement, confirmé sur Twitter par David Cleckley, ingénieur chez le géant de la distribution en ligne, qui ajoute que cela avait été mis en place il y a près de deux semaines maintenant.

Pour le moment, seule la version US du site propose cette fonctionnalité. Néanmoins, d'après nos constatations sur plusieurs comptes, il est possible d'en profiter en France. Pour cela, il suffit de suivre les étapes ci-dessous en se connectant avec son compte sur le site Amazon.com au lieu d'Amazon.fr.

Il faut ensuite se rendre dans le menu Your Account puis dans la section Account Settings Change Account Settings E-mail, password, name and mobile phone qui se trouve dans la partie Settings. En bas de la page, il suffit alors de cliquer sur Advanced Security Settings pour accéder à la page permettant d'activer la double authentification.

Dans certains cas, vous pouvez également suivre le lien ci-dessous en vous connectant avec votre compte Amazon.fr :

Amazon double authentificationAmazon double authentification

Deux choix s'offrent alors à vous : recevoir un code par SMS ou bien utiliser une application dédiée. Dans le premier cas, il suffit de rentrer son numéro de portable (les numéros français sont d'ores et déjà supportés), tandis que dans le second il faut installer sur votre mobile une application comme Amazon's Authenticator App, Google Authenticator ou Microsoft Authenticator. Notez qu'il faut préciser au moins deux manières différentes de recevoir un code avant de finaliser la demande, la seconde servant évidemment de solution de secours en cas de problème avec la première.

Juste avant de finaliser l'activation de la double authentification, Amazon vous propose de définir la machine sur laquelle vous vous trouvez comme fiable (ce qui aura pour effet de ne plus demander de seconde authentification), libre à vous d'accepter ou de refuser. Dans tous les cas, lorsque vous vous connectez à votre compte, une case permet d'indiquer que cette machine ne devra plus utiliser l'authentification en deux étapes par la suite. Tout cela peut bien évidemment être modifié dans les paramètres d'Amazon.

Quoi qu'il en soit, il s'agit évidemment d'une évolution qui va dans le bon sens, mais on se demande bien pourquoi Amazon a mis autant de temps à sauter le pas. Le compte client contient en effet bon nombre d'informations sensibles et le sécuriser davantage n'est pas un mal, surtout en ces temps où les fuites de données sont monnaie courante.

Amazon double authentification

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Commentaires (54)


Autant pour me connecter à ma banque je suis prêt à faire l’effort, autant sur Amazon un peu moins… Ca reste quand même super relou la double authentification au quotidien!








Baradhur a écrit :



Autant pour me connecter à ma banque je suis prêt à faire l’effort, autant sur Amazon un peu moins… Ca reste quand même super relou la double authentification au quotidien!





Au quotidien tu peux souvent “enregistrer cette machine pour 30 jours”

12 fois dans l’année tu dois taper un code en plus, mais ça évite que n’importe qui avec ton mot de passe puisse se connecter









Baradhur a écrit :



Autant pour me connecter à ma banque je suis prêt à faire l’effort, autant sur Amazon un peu moins… Ca reste quand même super relou la double authentification au quotidien!





t’as une carte bleue/visa/american express enregistré ?



Je n’arrive pas a trouver l’appli d’authentification d’amazon sur l’App store <img data-src=" />


Excellente idée. Baradhur : l’idée c’est que tu ne le fais qu’une seule fois par ordi… et il ne faut pas oublier qu’en général Amazon a tes infos de carte bancaire, donc en cas de hack c’est assez simple de commander des trucs avec ta CB…








darkbeast a écrit :



t’as une carte bleue/visa/american express enregistré ?











moby59 a écrit :



Excellente idée. Baradhur

: l’idée c’est que tu ne le fais qu’une seule fois par ordi… et il ne

faut pas oublier qu’en général Amazon a tes infos de carte bancaire,

donc en cas de hack c’est assez simple de commander des trucs avec ta

CB…





Et alors la carte bancaire est lié à une adresse, si tu veux (ou quelqu’un d’autre) faire une livraison à une nouvelle adresse, il faut remettre le numéro de carte bleue.









moby59 a écrit :



il ne faut pas oublier qu’en général Amazon a tes infos de carte bancaire, donc en cas de hack c’est assez simple de commander des trucs avec ta CB…



Il reste toujours l’opposition dans ce cas extrême.

Je préfère un mot de passe fort.



Google Authenticator, Authenticator plus etc….


Une application de copier coller synchronisé avec ton PC (Pushbullet par exemple) est pratique aussi.

Tu vas sur ton mobile, tu fais copie, sur ton PC tu colles.








wanou2 a écrit :



Et alors la carte bancaire est lié à une adresse, si tu veux (ou quelqu’un d’autre) faire une livraison à une nouvelle adresse, il faut remettre le numéro de carte bleue.





la dernière fois que je l’ai fait ça ne me l’a pas redemandé









moby59 a écrit :



Excellente idée. Baradhur : l’idée c’est que tu ne le fais qu’une seule fois par ordi… et il ne faut pas oublier qu’en général Amazon a tes infos de carte bancaire, donc en cas de hack c’est assez simple de commander des trucs avec ta CB…





Mouais. Avec le plafonnement des achats + les assurances, y a zéro risque de perdre de l’argent. Au pire t’es à découvert quelques jours et donc bloqué, mais pour peu que tu aies un autre compte ça résout le problème.









moby59 a écrit :



Excellente idée. Baradhur : l’idée c’est que tu ne le fais qu’une seule fois par ordi… et il ne faut pas oublier qu’en général Amazon a tes infos de carte bancaire, donc en cas de hack c’est assez simple de commander des trucs avec ta CB…





Avec amazon j’ai jamais la vérification 3D secure alors que chez d’autres commerçant je l’ai, donc c’est encore plus facile si la CB est enregistrée et si quelqu’un trouve le mot de passe du compte



D’ailleurs y’a déjà eu des fuites de données depuis Amazon ?


Super !


Il y a deux choses sensibles avec Amazon : l’enregistrement de la CB et les bons cadeaux mémorisés. Pour ces deux raisons la double authentification est une bonne chose :)








xillibit a écrit :



Avec amazon j’ai jamais la vérification 3D secure alors que chez d’autres commerçant je l’ai, donc c’est encore plus facile si la CB est enregistrée et si quelqu’un trouve le mot de passe du compte





Le 3D Secure n’est pas une sécurité pour le client mais pour le commerçant : L’utilisation de 3D Secure empêche le client de faire opposition. C’est sa seule utilité.



Enfin, sur Amazon, on doit valider la carte bancaire à chaque envoi vers une nouvelle adresse. Tout ce que pourra faire le “pirate”, c’est te commander un truc que tu recevras chez toi. Et tu peux renvoyer gratuitement en cas d’achat non autorisé.



Pour ma part, comme je paye déjà la CB jetable par ma banque, c’est un peu superfétatoire d’activer ce service avec Amazon. Néanmoins, je compte le faire la prochaine fois que je ferais un achat sur Amazon, c’est toujours une sécurité intéressante.


Il y a des biens “virtuels” sur Amazon… est-ce que par exemple ajouter un nouveau kindle redemande le numéro de CB ? Si non, alors un pirate peut charger massivement un kindle avec plein de nouveaux bouquins… à tes frais.



Il y a peut-être d’autres services Amazon qui utilisent le même compte ? EC2/S3 par exemple ? (aucune idée hein, je demande j’ai pas testé.)



&nbsp;


Y’a Audible pour les livres audio, mais à l’activation du service ça envoie aussi un mail.

Puis Amazon Music et le store Android, et ptet l’autorip sur les cd audio : tu achètes un cd, et tu as une version MP3 immédiatement, en plus du CD qui arrive par la poste…


Merci beaucoup pour l’information


Ca fonctionne nickel avec l’application de Microsoft, cool <img data-src=" />


Testé et approuvé avec google authenticator, on active l’option, et on scane un QR code pour enregistrer le compte amazon dans l’authenticator, et ça fonctionne plutôt bien.

Par contre même sur le site France, on peut voir et modifier ces paramètres (je n’ai pas regarder avant de ma lancer, est-ce que quelqu’un peut jeter un oeil ?)


J’ai déjà une double authentification à chaque e-carte faite par ma banque, pas besoin d’avoir du coup 4 authentification pour un n° qui est jetable <img data-src=" />



Par contre, refaire une e-carte parce qu’il faut à nouveau le n° quand un colis est finalement divisé en 2 envois séparés, ça j’avoue que c’est relou…


Ca marche aussi avec un téléphone qui fait juste téléphone (et sms) ?

Je suis un vieux schnock resté un peu sur mes principes, (genre : un téléphone ça sert à téléphoner, un appareil photo à faire des photos, et rien d’autres); donc mon portable est un modèle à 40 roupies sans tout les appli machin-bidule. Je peux recevoir les sms (quand même !), mais si j’ai bien lu l’autre, je l’ai dans l’os n’étant pas en mesure d’installer une appli à la con.

C’est ça ? Eclairez-moi, jeunes gens, svp.








wanou2 a écrit :



Et alors la carte bancaire est lié à une adresse, si tu veux (ou quelqu’un d’autre) faire une livraison à une nouvelle adresse, il faut remettre le numéro de carte bleue.





Ça se contourne facilement. Amazon expédie par défaut en Chronopost. Or avec Chronopost, tu peux désormais rerouter le colis après expédition, pour l’envoyer par exemple dans un relais colis plutôt qu’à domicile. Dans ce cas, Amazon n’est même pas au courant que tu as fait livrer ailleurs.

&nbsp;



N’importe quoi. <img data-src=" />

Si un usurpateur utilise les données de ta carte bancaire, il ne pourra pas poursuivre l’achat avec 3D Secure (réception d’un code par SMS), donc ça protège bien le client.


Dans l’article il est écrit qu’on peut soit choisir le SMS soit le QR code.


sa serait bien que paypal rende la double auth possible en France aussi…&nbsp;<img data-src=" /> perso pour amazon je ne leur laisserait pas ma carte bancaire, a chaque achat je la supprime de leur base.


Et toujours pas de paypal sur Amazon ! Ce qui s’implifierait les choses. Pas besoin de CB.








DerpWolf a écrit :



sa serait bien que paypal rende la double auth possible en France aussi…&nbsp;<img data-src=" /> perso pour amazon je ne leur laisserait pas ma carte bancaire, a chaque achat je la supprime de leur base.





Ils doivent avoir une trace de ta carte bancaire dans leur basse même si tu ne la vois plus. Remarque comme à chaque fois que tu l’utilises cher un commerçant. Ils ont un ticker avec ton numero de carte.&nbsp;









digital-jedi a écrit :



N’importe quoi.&nbsp;<img data-src=" />&nbsp;

Si un usurpateur utilise les données de ta carte bancaire, il ne pourra pas poursuivre l’achat avec 3D Secure (réception d’un code par SMS), donc ça protège bien le client.





En réalité ça va un peu plus loin vu que les utilisateurs peuvent toujours être la cible de social engineering. Et mêmes les opérateurs.



J’ai fait un petit séjour (pour témoigner hein ! <img data-src=" />) dans les locaux de la brigade de lutte contre la fraude aux moyens de paiement, et en discutant ils m’ont raconté qu’ils en prenaient en gros plein la gueule. Les auteurs de tels crimes se la jouent social engineering (malheureusement ils ne m’ont pas dit comment, j’aurais aimé en apprendre plus) pour obtenir les 2FA SMS auprès des opérateurs et passent ensuite commande en ligne. On parle de crime organisé d’accord, mais ça peut arriver à n’importe qui.

Le souci que rencontrent ensuite les victimes, c’est qu’un paiement 3DS est presque irrévocable…



Il y a aussi (elles sont plus rares) les banques qui te proposent de saisir ta date de naissance comme second facteur, ce qui est complètement con vu que c’est une donnée quasi-publique…



Ca a au moins le merite d’exister !!! Meme si ca peut paraître contraignant, c’est à mon sens une avancée “positive” et qui va dans le bon sens


Donc, en réalité, ton postulat de départ est faux <img data-src=" />

“Le 3D Secure n’est pas une sécurité pour le client mais pour le commerçant”

=&gt; C’est bien une sécurité pour le client.

Mais comme pour toute sécurité quelle qu’elle soit, elle peut être contournée avec des moyens + ou - poussées.









digital-jedi a écrit :



Donc, en réalité, ton postulat de départ est faux <img data-src=" />

“Le 3D Secure n’est pas une sécurité pour le client mais pour le commerçant”

=&gt; C’est bien une sécurité pour le client.

Mais comme pour toute sécurité quelle qu’elle soit, elle peut être contournée avec des moyens + ou - poussées.





Pour être un peu plus transparent, notre société vendait du Bitcoin par carte bancaire (et la plainte que je déposais, c’était pour un chèque donc tout va bien&nbsp;<img data-src=" />) et très concrètement dans notre cas, le 3DS est une sécurité avant tout pour nous. 0% de chargebacks, ça parle tout de suite à une entreprise.



Je ne dis pas que ça ne protège pas le client car oui, ça protège le client. Mais quand fraude il y a, c’est le client qui en paie les frais (et pas la banque, ni le commerçant, en tout cas pas dans notre cas).



ça n’arrivera jamais, il n’y aucun avantage pour Amazon&nbsp;<img data-src=" />


C’est activé ! Merci de l’info <img data-src=" />


Activé aussi de mon coté: Thanks NextImpact !!


Et toujours pas de Bitcoins sur Amazon ! Ce qui s’implifierait les choses. Pas besoin de CB.


Ça viendra peut-être, mais le client moyen n’a pas de bitcoins et n’y comprend rien… Ce qui n’aide pas :)








darkbeast a écrit :



la dernière fois que je l’ai fait ça ne me l’a pas redemandé





Je viens de retester et… ça me demande de resaisir un moyen de paiement !!!!









alex.d. a écrit :



Ça se contourne facilement. Amazon expédie par défaut en Chronopost. Or avec Chronopost, tu peux désormais rerouter le colis après expédition, pour l’envoyer par exemple dans un relais colis plutôt qu’à domicile. Dans ce cas, Amazon n’est même pas au courant que tu as fait livrer ailleurs.

&nbsp;&nbsp;





Dans ce cas c’est pareil pour toute livraison… si chronopost fait pas son &nbsp;boulot c’est quand même pas le problème d’amazon…

En tout cas j’ai jamais eu (à titre perso) à faire à chronopost, juste laposte, colissimo, UPS et une fois un machin étranger car c’était livré depuis l’italie.









wanou2 a écrit :



Je viens de retester et… ça me demande de resaisir un moyen de paiement !!!!





bon ben au pire le mec qui pirate ton compte peut te faire acheter 50 exemplaires de just dance









auclairdelalune a écrit :



Ca marche aussi avec un téléphone qui fait juste téléphone (et sms) ?



La réponse est oui!



D’ailleurs, si vous êtes sous sans smartphone, sous Linux, fan d’interface en ligne de commande ou pour toute autre raison, l’OTP via ‘Authenticator App’ semble marcher comme sur des roulettes à coup de :



$ oathtool --totp -b LECODEFOURNIPARAMAZON # enlever les espaces dans le code (secret)      






&nbsp;(dispo entre autres dans les dépôts de Debian, Ubuntu, Fedora)


echo “127.0.0.1 amazon.com www.amazon.com amazon.fr www.amazon.fr” &gt;&gt; /etc/hosts


A 5euros/mois ca vaut plus trop le couphttps://www.pushbullet.com/pro








wanou2 a écrit :



Dans ce cas c’est pareil pour toute livraison… si chronopost fait pas son &nbsp;boulot c’est quand même pas le problème d’amazon…

En tout cas j’ai jamais eu (à titre perso) à faire à chronopost, juste laposte, colissimo, UPS et une fois un machin étranger car c’était livré depuis l’italie.





Si, un peu. Le problème de départ, c’est qu’Amazon mémorise ton numéro de carte bleue, ce qui suppose une sécurité très forte de leur part. C’est à eux d’assurer l’authentification du client lors de la commande, ils ne sont pas censés se reposer sur le livreur pour une authentification a posteriori.

Je citais ce service de Chronopost parce que je l’ai utilisé récemment, mais plein d’autres le font, y compris UPS (service My Choice) et La Poste (Colissimo Mon Choix).



Pour tous les services AWS, ça fait un moment que la 2-way auth est en place


Je suis carrément d’accord, 5€ par mois pour ça c’est trop cher …. :(

&nbsp;Mais vu la levée de bouclier sur le tarif, et les fonctionnalités de la version gratuite enlevées, espérons qu’ils révisent leur jugement



Sinon en attendant il existe d’autres apps pour ce besoin.

https://play.google.com/store/apps/details?id=com.mohammedpascal.snapcopy

https://play.google.com/store/apps/details?id=be.bdwm.clipsync&hl=en

https://play.google.com/store/apps/details?id=za.co.canobakedbeans.instacopy&amp…


J’ai eu droit a un an de Airdroid3 premium avec mon OnePlus, il est pas parfait mais ca fait sont boulot :)


Déjà, il faut trouver mon mot de passe, qui est différent pour chaque site et écrit nullpart. A moins qu’amazon se fassent hacker sa base client, bonne chance.

Ensuite, j’ai des assurances sur ma CB pour gérer se genre de cas si jamais il arrive.&nbsp;



Après, je suis d’accord qu’amazon pourrait sécuriser un peu plus son truc. Je pense à la façon dont Steam gère ça notamment. Quand tu te connectes à partir d’un nouveau PC, tu dois rentrer un code envoyé sur ton téléphone pour le valider. Simple, efficace, pas relou et sécurisé!


Et hop, 2FA Amazon ajouté à ma Yubikey NFC.

9 services dessus pour l’instant, ça commence à bien se répandre.


Il n’y a pas d’universal copy and paste sur Airdroid?&nbsp;

Dommage que Airdroid impose de passer par une webapp, et qu’il n’y ait pas d’extension en plus.


J’en suis à 20 services en double authentification, je suis sur Authenticator plus qui est synchro entre une extension chrome, mon tel et ma tablette.


Ils ont une web app (c’est par ca qu’ils on commencé) et depuis ils ont fait des client mac et windows.

Mais ouais je crois le copy paste c’est uniquement par la version web.