@szam je reformule: ce genre d'authentification 2 facteurs n'est pas efficace.
@lleofar @szam « MIM » pour « MitM » (Man (sic) in the Middle) ? Si, ça protège. Si le canal SMS est compromis, ça ne permet pas de connaître le mot de passe. Si c’est le canal HTTPS qui l’est, ça ne permet pas de rejouer l’authentification. Il faut compromettre les deux à la fois pour que ça soit exploitable. Donc la protection est bien réelle
@lleofar @szam 1) je suis d’accord, U2F (FIDO n’est pas une certification, et U2F est un standard FIDO, donc ça n’a pas de sens « une clé U2F si possible certifiée FIDO ») apporte plus de sécurité. Encore faut-il que les gens soient conscients du problème d’authentification, achètent une clé, et n’utilisent pas Safari, par exemple. Ou soient forcément sur un ordinateur
2) tu peux m’expliquer en quoi une compromission HTTPS (MitM par exemple) est plus dangereuse dans le cas d’un OTP envoyé par SMS que d’un U2F ?
@gordon @szam @lleofar j'arrive pas à comprendre sur quoi vous arrivez pas à vous entendre.
U2F ne craint techniquement pas les attaques MitM par l'échange de clés à l'enregistrement et la procédure d'authentification avec challenge non ?
Ce qui est un avantage énorme sur les différentes authentification par OTP.
@szam @wryk @lleofar je détaille, vu que j’ai un peu plus de temps là :
La remarque de Milia porte sur le fait que l’échange de clés ne soit pas sujet à MitM. Dans le cadre de l’OTP par SMS, il n’y a pas d’échange de clés, mais l’utilisation d’un canal séparé (réseau GSM). Ça veut dire que s’il y a compromission lors de l’authentification, la requête en cours est forcément compromise, mais rien ne sera utilisable pour un rejeu, et TOUTES les méthodes de 2FA ont cette propriété.
@lleofar @wryk @szam par ailleurs, je SAIS que la crypto asymétrique est meilleure dans ce cas. Je SAIS que le U2F est le plus pratique (again, inutilisable sur mobile, et guess what, c’est ce qui est de plus en plus utilisé). Mais là on ne parle pas de cas hypothétiques, on parle de la vraie vie. Celle où Jean-Michu a le nom de son chien en mot de passe partout, et ne veut surtout pas s’en occuper. Est-ce que tu essaies de lui parler, pour lui expliquer l’importance de la sécu, du 2FA, et comment tu le convaincs d’acheter un bidule à 10€ qu’il ne pourra pas utiliser sur son iMachin, et que seuls google et facebook supportent aujourd’hui ?
@szam @wryk @lleofar si tu es quelqu’un comme Outlook, est-ce que tu peux sérieusement prendre la décision de ne pas implémenter quelque chose d’accessible à la quasi-totalité des users, et plutôt de cracher sur tout ce qui n’est pas le sacro-saint U2F, pour que ton seul utilisateur susceptible de l’utiliser soit content ? (parce que les gens qui connaissent U2F, a priori ils ne sont pas chez hotmail)
@gordon @wryk @szam Je ne suis pas outlook. Et je ne m'adresse pas à M. Jean Michu, mais à toi, tu me pose des questions, je te réponds donc oui mes réponses portent sur un cas hypothétique qui n'arrivera certainement jamais à M. Jean Michu, parce que globalement monter toute un infra pour l'attaquer lui personnellement coûtera plus cher que ce que ça rapportera. Donc à quel moment on parle de Jean Michu? J'ai bien dit dans une de mes précédente réponse que ça concernera que quelqu'un qui est une cible d'intérêt: https://witches.town/@lleofar/99201920645825378
@szam @wryk @gordon Après le problème de M. Michu qui sait pas choisir ses mots de passe, c'est, à mon sens plus un problème d'éducation à l’hygiène numérique, et de transmission de bonnes pratiques. Et là j'ai pas de réponse à ce sujet. Est-ce que c'est à nous de transmettre ces connaissances ? En-est-on capable ? Serions nous seulement légitimes ? Est-ce que ce serait pas à l'éducation Nationalle de s'en charger ?
@lleofar @szam @wryk depuis hier tu m’expliques à quel point c’est mal d’authentifier (ou de fournir un moyen de récupération) via code SMS, à quel point c’est vulnérable à un MITM, à quel point U2F c’est mieux que le challenge-response. Outre le fait qu’à un moment, il faut savoir dire qu’on ne s’y connaît pas suffisamment, le sujet c’est bel et bien le fait que ce soit une bonne chose ou pas qu’un fournisseur propose ce moyen de sécurité à ses utilisateurs. Donc tes « tout le monde n’a qu’à utiliser U2F » sont complètement hors propos. Et ce sera tout pour moi sur ce sujet
@gordon @wryk @szam Tu me fais dire des chose que je n'ai pas dit. J'ai juste parlé d'efficacité. Pas d'usage. Tu pose un contexte qui est différent de celui dans lequel je parle, forcément on ne peut pas s'entendre. Je n'ai, à aucune moment, prétendu que « toul le monde n'a qu'a utilisé U2F ». Je dit simplement que c'est plus efficace que l'envoi d'un SMS [sur le plan technique]. J'ai jamais dit qu'il fallait l'imposer à tout le monde. À la limite qu'il y avait de bonnes idées et que ça serait bien que ça se démocratise. Et donc que ça devienne accessible.
@lleofar @szam @gordon Désolée si j'ai répondu à côté de la plaque, j'ai un peu du mal à suivre votre fil :/