Aller au contenu
Shazam!

Double Authentification sur le compte Tesla

Messages recommandés

Bonjour a vous ami(e)s electrique.

 

Etant donné l'importance d'informations et les possibilité qu'offrent le compte Tesla et l'appli, je m'étonnes que ceux ci ne soient pas plus sécurisé que cela.

En effet, je possède nombres d'application, sites et autres ressources dont il est nécessaire de se connecter via mot de passe, empreinte ou autre mais la seconde sécurité consiste à avoir une autre vérification via une application du type Google Authenticator, Microsoft Auth, LastPass etc... même si certain utilise tout bêtement les SMS pour confirmation.

Bien entendu une appli sur le tel permet de générer ces Token et plutot que de le refaire systematiquement, nous pouvons définir un périphérique de confiance.

 

Et donc je regardais sur un site référençant les applis et portails les plus utilisées afin de combler mes liens et rajouter ceux qu'ils me manquaient. > https://twofactorauth.org/#

 

Le site me confirme bien que Tesla ne fais pas appel a une vérification en 2 étapes comme pourraient le faire Google, Youtube, Amazon, Paypal, Sony, Apple, etc etc.

 

Alors sur ce site, ils proposent un lien pour faire la demande directement au constructeur/site en direct via un lien Twitter.

 

Je me demandait si les gens d'ici possédant un compte Twitter (ce qui n'est pas mon cas) ne voudraient pas juste pousser cette info via ce lien afin d'avoir un poids pour demander a tesla de mettre cette sécurité supplémentaire en place.

 

Pourquoi tesla ne le ferait il pas ? Apres tout, certain sites utilisent des Token genre TeslaFi etc... et ça n'est guère compliquer à mettre en place.

 

Merci à celles et ceux qui pousseront ce Twitt.

 

"Security is important, @Tesla. We'd like it if you supported two factor auth. https://twofactorauth.org #SupportTwoFactorAuth"

le lien direct au cas où

 

https://twitter.com/intent/tweet?text=Security is important%2C %40Tesla. We'd like it if you supported two factor auth.&url=https%3A%2F%2Ftwofactorauth.org&hashtags=SupportTwoFactorAuth&original_referer=https%3A%2F%2Ftwofactorauth.org%2F

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Je crois qu'Elon avait dit qu'ils travaillent dessus. En effet, voler une Tesla serait encore plus facile en piratant le compte Tesla de quelqu'un...

Avec un petit mail d’hameçonnage bien fait, beaucoup peuvent tomber dans le panneau.

Partager ce message


Lien à poster
Partager sur d’autres sites

Je n'ai pas des dossier de la CIA, ni sur JFK ou sur la recette secrète du boubliboulga chez moi mais je dispose d'un réseau sécurisé via filaire et/ou wifi + liste ACL + mot de passe en passphrase ainsi que identifiant via une appli type LastPass pour accéder à mon server et NAS.

Celui qui veut piquer chez moi il peut se lever tôt.

Donc avec une telle appli Tesla et/ou compte ca me paraissait un minimum.

Partager ce message


Lien à poster
Partager sur d’autres sites

Oui je suis d’accord, la double authentification est nécessaire pour le compte Tesla.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bon alors...

https://www.schneier.com/blog/archives/2016/08/nist_is_no_long.html

 

Certains se sont fait déjà piraté leur compte grace au sim swap. Donc non le 2FA avec du SMS n'est PAS sécure (et les SMS n'ont jamais été désignés pour cela).

 

Ceci dit avec l'App pourquoi pas... quitte a certifier l'app d'une certaine manière via token OTP type RSA Secure-ID par exemple.

Modifié par kiwi35

Partager ce message


Lien à poster
Partager sur d’autres sites

D'ailleurs la plupart des banques ne détournent du SMS pour la double authentification.

Apple et Google le font aussi avec une app ou dans l'OS directement.

Modifié par Milhooz

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 3 minutes, kiwi35 a dit :

Bon alors...

https://www.schneier.com/blog/archives/2016/08/nist_is_no_long.html

 

Certains se sont fait déjà piraté leur compte grace au sim swap. Donc non le 2FA avec du SMS n'est PAS sécure (et les SMS n'ont jamais été désignés pour cela).

 

Ceci dit avec l'App pourquoi pas... quitte a certifier l'app d'une certaine manière via token OTP type RSA Secure-ID par exemple.

Oui ces applications mentionnées plus haut sont là pour ça...

Et la, si tu te fait caroter ton compte je ne vois pas comment... Tu as un token valable 20sec.

Les SMS n'ont jamais eu vocation d’être cryptés sauf via appli SMS dédiée type "SILENCE" entre autre.

Tout comme le réseau 3G ou 4G n'est pas non plus sécurisé.

Partager ce message


Lien à poster
Partager sur d’autres sites

(franglais) Chiffré pas crypté (/franglais). 

Pour les cas ou les 2FA se sont fait carrotés, un SIM swap est courant et très souvent utilisés.

Ceci dit, je suis assez d'accord d'augmenter la sécu du compte Tesla, mais il ne faut pas non plus rendre le truc impossible aussi...

Partager ce message


Lien à poster
Partager sur d’autres sites

Je ne suis pas sûr de vous suivre : si on doit faire deux mots de passe ou utiliser un token pour ouvrir l'app, on tue son usage courant pour ouvrir/fermer trappe, fenêtres et portes, régler la clim, etc

Partager ce message


Lien à poster
Partager sur d’autres sites

Non attention on parle de valider la première authentification sur un nouvel appareil en utilisant un appareil déjà connu.

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 9 minutes, J0kers a dit :

c'était mieux ici, non ? ?

Oui. 

Je vais aller me coucher... 

Partager ce message


Lien à poster
Partager sur d’autres sites
Le 05/11/2019 à 22:48, Shazam! a dit :

Qu'est ce que je pourrais demander maintenant ?

Android Auto / Car Play

Partager ce message


Lien à poster
Partager sur d’autres sites

Ça arrive de manière imminente.

 

 

MFA-1024x627.jpg

TeslaMFA.jpg

Screenshot_20201006-180333_Edge.jpg

Screenshot_20201006-180329_Edge.jpg

Screenshot_20201006-180325_Edge.jpg

Internet_20201006_184751_2.jpeg

Modifié par bobjouy

Partager ce message


Lien à poster
Partager sur d’autres sites

Super nouvelle !

Autre bonne nouvelle, le fait d'activer le 2fa n'invalide pas les access tokens existants, du coups les applications tierces continuent de fonctionner.

Par contre comportement très bizarre :

- j'active le 2fa

- je me déconnecte dans l'application officielle Android

- je me reconnecte, on me demande bien le code dans un second écran

- j'ouvre une appli tierce

- je me déconnecte

- je me reconnecte

Là je m'attendais à ce que ça ne fonctionne pas, puisque l'application tierce ne supporte pas encore le 2fa Tesla. Et contre toute attente ça fonctionne encore !

Bizarre non ?

Partager ce message


Lien à poster
Partager sur d’autres sites

Par contre je vois des mentions à OAuth2, SSO, et tout ça me fait très plaisir en tant que développeur d'une application tierce. S'ils poussent jusque là on pourrait imaginer que les développeurs puissent déclarer leurs applications tierces chez Tesla, et profiter de la page d'authentification officielle de Tesla !

-> Sécurité pour les développeurs qui n'auraient plus à gérer l'authentification avec les identifiants des utilisateurs, et sécurité pour les utilisateurs qui n'auraient plus à mettre leurs identifiants dans des applications tierces ! 😍😍😍

Doux rêve au coin du bar ou réel futur ? 🤤

(J'avoue je me suis égaré du sujet initial, mea culpa)

Modifié par denouche

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 7 heures, denouche a dit :

Sécurité pour les développeurs qui n'auraient plus à gérer l'authentification avec les identifiants des utilisateurs, et sécurité pour les utilisateurs qui n'auraient plus à mettre leurs identifiants dans des applications tierces ! 😍😍😍

Doux rêve au coin du bar ou réel futur ?

https://twitter.com/StatsTeslaApp/status/1313573872881475584

Apparemment on peut passer par OAuth si les devs de l'app l'ont pris en compte. 

 

Partager ce message


Lien à poster
Partager sur d’autres sites



Automobile Propre

Automobile Propre est un site d'information communautaire qui est dédié à tout ce qui concerne l'automobile et l'environnement. Les thématiques les plus populaires de notre blog auto sont la voiture électrique et les hybrides, mais nous abordons également la voiture GNV / GPL, les auto à l'hydrogène, les apects politiques et environnementaux liés à l'automobile. Les internautes sont invités à réagir aux articles du blog dans les commentaires, mais également dans les différents forums qui sont mis à leur dispositon. Le plus populaire d'entre eux est certainement le forum voiture électrique qui centralise les discussions relatives à l'arrivée de ces nouveaux véhicules. Un lexique centralise les définitions des principaux mots techniques utilisés sur le blog, tandis qu'une base de données des voitures (commercialisées ou non) recense les voitures électriques et hybrides.

×
×
  • Créer...