Refuser [de permettre] l’enrôlement de machine sur PyPI [...]
Qui parle de refus, ici? Il s'agit plus de de tenir compte de la situation dans son intégralité que de refuser quoi que ce soit. Ce n'est pas ce que j'ai écrit non plus. Il y a aussi une différence, pas très subtile, entre "peser en la défaveur de" et "refuser".
tu affaiblirais la sécurité en introduisant un maillon soi-disant plus faible [...]
Relis encore, ce n'est pas ce que j'écris. Je ne parle pas de "maillon plus faible" en ce qui concerne un téléphone par rapport à un ordinateur; je les traite tous les deux sur le même pied d'égalité donc avec le même degré de faiblesse (ou de vulnérabilité). S'il y a affaiblissement, selon mes propos, c'est à cause de l'augmentation de la surface d'attaque (téléphone plus ordinateur au lieu de seulement l'ordinateur), pas à cause d'une augmentation de la faiblesse.
[conduirait] tous les utilisateurs [...] à rejeter purement et simplement l’authentification à deux facteurs [...]
Tu fais exactement le même raccourci, fallacieux, que mes étudiants: il ne s'agit pas de rejeter le 2FA (tout court) mais de prendre conscience qu'un ordinateur, comme maillon additionnel dans une chaîne d'authentification, est aussi vulnérable que le premier et que c'est à ça qu'il faut faire attention.
Et dans ce cas du 2FA avec un téléphone, tu as un nouveau problème sur les bras: sécuriser deux maillons au lieu d'un seul et empêcher qu'ils soient tous les deux compromis. Si le comportement de l'utilisateur est le problème, il est plus que probable que, si l'ordi est compromis, le téléphone l'est aussi (et vice-versa). Le 2FA n'apporte alors rien de plus.
Je ne dis pas que c'est forcément le cas pour tout le monde, simplement qu'il faut réfléchir et considérer l'entièreté des possibilités. En plus du cas que je viens de soulever, les spywares du type Pegasus sont la réalité. Combien de temps faudra-t-il pour qu'on retrouve, dans des outils comme metasploit, les tactiques de pénétration de téléphones portables, tout comme ça s'est produit pour les ordinateurs avec les outils de la NSA, rendant une intrusion aussi facile qu'un clic de souris pour la fameuse Madame Michu (l'adepte favorite de LinuxFr)?
Tu peux trouver confortable la situation dans laquelle tu te trouve; perso, je m'en fous, tu fais ce que tu veux avec tes machines. Si tu es conscient du compromis que tu fais, alors tant mieux. Mon objectif est la prudence et de rappeler qu'un téléphone est aussi un ordinateur, avec tous les risques que ça comporte. Pour ma part, c'est juste hors de question d'utiliser un truc pareil. Mais ça, ça ne regarde que moi et je ne prétends pas imposer mon mode d'utilisation aux autres (l'idée de "refuser").
Je ne prétends pas non plus être un expert — tu sais, le pas-expert qui a une opinion sur tout... Je ne partage juste pas l'enthousiasme généralisé autour des téléphones portables et cette tendance nauséabonde à le mettre à toutes les sauces sans discernement. Je ne réagis ici qu'au contexte de la sécurité.
[^] # Re: Mauvais facteur
Posté par FantastIX . En réponse à la dépêche PyPI déploie le système 2FA pour les projets critiques écrits en Python. Évalué à 3. Dernière modification le 22 juillet 2022 à 23:01.
Qui parle de refus, ici? Il s'agit plus de de tenir compte de la situation dans son intégralité que de refuser quoi que ce soit. Ce n'est pas ce que j'ai écrit non plus. Il y a aussi une différence, pas très subtile, entre "peser en la défaveur de" et "refuser".
Relis encore, ce n'est pas ce que j'écris. Je ne parle pas de "maillon plus faible" en ce qui concerne un téléphone par rapport à un ordinateur; je les traite tous les deux sur le même pied d'égalité donc avec le même degré de faiblesse (ou de vulnérabilité). S'il y a affaiblissement, selon mes propos, c'est à cause de l'augmentation de la surface d'attaque (téléphone plus ordinateur au lieu de seulement l'ordinateur), pas à cause d'une augmentation de la faiblesse.
Tu fais exactement le même raccourci, fallacieux, que mes étudiants: il ne s'agit pas de rejeter le 2FA (tout court) mais de prendre conscience qu'un ordinateur, comme maillon additionnel dans une chaîne d'authentification, est aussi vulnérable que le premier et que c'est à ça qu'il faut faire attention.
Et dans ce cas du 2FA avec un téléphone, tu as un nouveau problème sur les bras: sécuriser deux maillons au lieu d'un seul et empêcher qu'ils soient tous les deux compromis. Si le comportement de l'utilisateur est le problème, il est plus que probable que, si l'ordi est compromis, le téléphone l'est aussi (et vice-versa). Le 2FA n'apporte alors rien de plus.
Je ne dis pas que c'est forcément le cas pour tout le monde, simplement qu'il faut réfléchir et considérer l'entièreté des possibilités. En plus du cas que je viens de soulever, les spywares du type Pegasus sont la réalité. Combien de temps faudra-t-il pour qu'on retrouve, dans des outils comme metasploit, les tactiques de pénétration de téléphones portables, tout comme ça s'est produit pour les ordinateurs avec les outils de la NSA, rendant une intrusion aussi facile qu'un clic de souris pour la fameuse Madame Michu (l'adepte favorite de LinuxFr)?
Tu peux trouver confortable la situation dans laquelle tu te trouve; perso, je m'en fous, tu fais ce que tu veux avec tes machines. Si tu es conscient du compromis que tu fais, alors tant mieux. Mon objectif est la prudence et de rappeler qu'un téléphone est aussi un ordinateur, avec tous les risques que ça comporte. Pour ma part, c'est juste hors de question d'utiliser un truc pareil. Mais ça, ça ne regarde que moi et je ne prétends pas imposer mon mode d'utilisation aux autres (l'idée de "refuser").
Je ne prétends pas non plus être un expert — tu sais, le pas-expert qui a une opinion sur tout... Je ne partage juste pas l'enthousiasme généralisé autour des téléphones portables et cette tendance nauséabonde à le mettre à toutes les sauces sans discernement. Je ne réagis ici qu'au contexte de la sécurité.