La Fibre
Télécom => Réseau => 
Attaques informatiques => Discussion démarrée par: mirtouf le 31 août 2022 à 17:00:23
-
Bonjour,
il semblerait que l'implémentation France connect a des failles de sécurité du côté d'Ameli:
https://www.huffingtonpost.fr/france/article/sur-franceconnect-l-acces-par-l-assurance-maladie-n-est-plus-disponible-pour-raison-de-securite_207154.html
Je me demande s'il y aura un CVE d'ouvert. :-X
-
Bonjour,
il semblerait que l'implémentation France connect a des failles de sécurité du côté d'Ameli:
https://www.huffingtonpost.fr/france/article/sur-franceconnect-l-acces-par-l-assurance-maladie-n-est-plus-disponible-pour-raison-de-securite_207154.html
Je me demande s'il y aura un CVE d'ouvert. :-X
Mouais, je suis perplexe : sauf erreur, le code source de France Connect est publié sur GitHub depuis plusieurs mois. S'il y avait des réelles failles de sécurité, je pense que ça aurait été constaté.
Qu'en revanche les bénéficiaires de l'assurance maladie soient victimes de phishing, ce qui permet à des hackers de se connecter à des comptes Ameli et de là, grâce au service France Connect, d'aller sur d'autres sites comme celui des impôts, ça, c'est très vraisemblable et justifie d'ajouter des mesures de protection complémentaires.
-
C'est ce qui est peu clair pour moi dans l'article du canard ou du Huffington Posts, il y a eu du phising mais est-ce que certaines données étaient trop facilement accessibles comme l'adresse email des utilisateurs ?
-
La problématique de France Connect, c'est que la surface d'attaque est élargie à toutes les partenaires.
Pour moi, l'authentificaiton avec deux facteurs (mot de passe + SMS par exemple) devrait être obligatoire, vu les données traitées.
https://lafibre.info/videos/logiciels/201905_FranceConnect_explique.mp4
-
La problématique de France Connect, c'est que la surface d'attaque est élargie à toutes les partenaires.
Pour moi, l'authentificaiton avec deux facteurs (mot de passe + SMS par exemple) devrait être obligatoire, vu les données traitées.
Ok pour du 2FA mais pitié ne pas imposer le SMS !
Le SMS c'est une fausse bonne idée.
-
tu veux mettre quoi à la place?
une application mobile obligatoire comme les banques? (comme ça exit les petits vieux)
une clé à token? (dispo pour tous en 2045 pour la modique somme de 10millards €)
un lien par mail (et bien sur avec le même mot de passe que le compte ameli sinon c'est pas drôle)
un courrier par la poste? (remarque le problème de diminution du courrier serait réglé)
-
Si on parle des petits vieux, ils n'ont pas tous un mobile 8)
Dans ma phrase de départ, le mot important est "imposer" :
Ok pour du 2FA mais pitié ne pas imposer le SMS !
En clair laisser la possibilité de configurer un système (T)OTP.
Il y a pleins d'applications/clefs dispos pour ça et au pire, le gouv peut sortir la sienne.
Il faudrait également voir les potentielles synergies avec la nouvelle carte identité électronique et même le nouveau service France Identité (https://france-identite.gouv.fr/). (Après avoir posé le pour et le contre sur l'hyper convergence des infos).
-
Pour ceux qui pensent que la validation par SMS c'est "sécure", je les invite à consulter https://en.wikipedia.org/wiki/SIM_swap_scam (en anglais désolé).
C'est une méthode de plus en plus utilisée.
-
Il faudrait également voir les potentielles synergies avec la nouvelle carte identité électronique et même le nouveau service France Identité (https://france-identite.gouv.fr/).
+1
-
Pourquoi ne pas proposer une carte low consumption qui génère un code aléatoire après avoir tapé son code secret sur cette carte, comme les applications de double authentification :
-
Si on parle des petits vieux, ils n'ont pas tous un mobile 8)
Il faudrait également voir les potentielles synergies avec la nouvelle carte identité électronique et même le nouveau service France Identité (https://france-identite.gouv.fr/). (Après avoir posé le pour et le contre sur l'hyper convergence des infos).
+1
-1 car :
- le besoin d'amélioration de la sécurité est immédiat ... pas quand la nouvelle carte d'identité sera généralisée
- ça ne traite pas la question des "petits vieux" de kazyor, qui pourtant sont souvent les plus vulnérables au phishing, ni d'ailleurs celle des personnes en situation "d'illectronisme".
-
Pour moi, j'insiste, il ne faut pas une seule solution imposée, mais plusieurs.
Et c'est à la création du compte que l'on choisit sa solution ce qui désactive les autres pour l'authentification.
Dans son compte, possibilité de changer de solution 2FA à tout moment.
-
Je suis toujours étonné de pouvoir me connecter à autant de services "sensibles" avec F. connect.
Mais c'est pratique.
-
Pour moi, j'insiste, il ne faut pas une seule solution imposée, mais plusieurs.
Et c'est à la création du compte que l'on choisit sa solution ce qui désactive les autres pour l'authentification.
Dans son compte, possibilité de changer de solution 2FA à tout moment.
Là je mets +1 ;)
-
Pour moi, j'insiste, il ne faut pas une seule solution imposée, mais plusieurs.
Tout à fait, et le TOTP de l'IETF (RFC 6238) serait un bon point de départ, c'est simple, bien documenté, et gratuit si l'on a un smartphone.
Un 2FA devrait être imposé au niveau de France Connect (une fois le login validé sur un service), ceux qui ne peuvent pas utiliser de 2FA peuvent toujours utiliser l'authentification service par service, mais au moins il n'y aurait pas de propagation d'une brèche à tous les autres services, c'est assez irresponsable en l'état.