Aller au contenu
Shazam!

Double Authentification sur le compte Tesla

Messages recommandés

Bonjour a vous ami(e)s electrique.

 

Etant donné l'importance d'informations et les possibilité qu'offrent le compte Tesla et l'appli, je m'étonnes que ceux ci ne soient pas plus sécurisé que cela.

En effet, je possède nombres d'application, sites et autres ressources dont il est nécessaire de se connecter via mot de passe, empreinte ou autre mais la seconde sécurité consiste à avoir une autre vérification via une application du type Google Authenticator, Microsoft Auth, LastPass etc... même si certain utilise tout bêtement les SMS pour confirmation.

Bien entendu une appli sur le tel permet de générer ces Token et plutot que de le refaire systematiquement, nous pouvons définir un périphérique de confiance.

 

Et donc je regardais sur un site référençant les applis et portails les plus utilisées afin de combler mes liens et rajouter ceux qu'ils me manquaient. > https://twofactorauth.org/#

 

Le site me confirme bien que Tesla ne fais pas appel a une vérification en 2 étapes comme pourraient le faire Google, Youtube, Amazon, Paypal, Sony, Apple, etc etc.

 

Alors sur ce site, ils proposent un lien pour faire la demande directement au constructeur/site en direct via un lien Twitter.

 

Je me demandait si les gens d'ici possédant un compte Twitter (ce qui n'est pas mon cas) ne voudraient pas juste pousser cette info via ce lien afin d'avoir un poids pour demander a tesla de mettre cette sécurité supplémentaire en place.

 

Pourquoi tesla ne le ferait il pas ? Apres tout, certain sites utilisent des Token genre TeslaFi etc... et ça n'est guère compliquer à mettre en place.

 

Merci à celles et ceux qui pousseront ce Twitt.

 

"Security is important, @Tesla. We'd like it if you supported two factor auth. https://twofactorauth.org #SupportTwoFactorAuth"

le lien direct au cas où

 

https://twitter.com/intent/tweet?text=Security is important%2C %40Tesla. We'd like it if you supported two factor auth.&url=https%3A%2F%2Ftwofactorauth.org&hashtags=SupportTwoFactorAuth&original_referer=https%3A%2F%2Ftwofactorauth.org%2F

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Je crois qu'Elon avait dit qu'ils travaillent dessus. En effet, voler une Tesla serait encore plus facile en piratant le compte Tesla de quelqu'un...

Avec un petit mail d’hameçonnage bien fait, beaucoup peuvent tomber dans le panneau.

Partager ce message


Lien à poster
Partager sur d’autres sites

Je n'ai pas des dossier de la CIA, ni sur JFK ou sur la recette secrète du boubliboulga chez moi mais je dispose d'un réseau sécurisé via filaire et/ou wifi + liste ACL + mot de passe en passphrase ainsi que identifiant via une appli type LastPass pour accéder à mon server et NAS.

Celui qui veut piquer chez moi il peut se lever tôt.

Donc avec une telle appli Tesla et/ou compte ca me paraissait un minimum.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bon alors...

https://www.schneier.com/blog/archives/2016/08/nist_is_no_long.html

 

Certains se sont fait déjà piraté leur compte grace au sim swap. Donc non le 2FA avec du SMS n'est PAS sécure (et les SMS n'ont jamais été désignés pour cela).

 

Ceci dit avec l'App pourquoi pas... quitte a certifier l'app d'une certaine manière via token OTP type RSA Secure-ID par exemple.

Modifié par kiwi35

Partager ce message


Lien à poster
Partager sur d’autres sites

il y a 3 minutes, kiwi35 a dit :

Bon alors...

https://www.schneier.com/blog/archives/2016/08/nist_is_no_long.html

 

Certains se sont fait déjà piraté leur compte grace au sim swap. Donc non le 2FA avec du SMS n'est PAS sécure (et les SMS n'ont jamais été désignés pour cela).

 

Ceci dit avec l'App pourquoi pas... quitte a certifier l'app d'une certaine manière via token OTP type RSA Secure-ID par exemple.

Oui ces applications mentionnées plus haut sont là pour ça...

Et la, si tu te fait caroter ton compte je ne vois pas comment... Tu as un token valable 20sec.

Les SMS n'ont jamais eu vocation d’être cryptés sauf via appli SMS dédiée type "SILENCE" entre autre.

Tout comme le réseau 3G ou 4G n'est pas non plus sécurisé.

Partager ce message


Lien à poster
Partager sur d’autres sites

(franglais) Chiffré pas crypté (/franglais). 

Pour les cas ou les 2FA se sont fait carrotés, un SIM swap est courant et très souvent utilisés.

Ceci dit, je suis assez d'accord d'augmenter la sécu du compte Tesla, mais il ne faut pas non plus rendre le truc impossible aussi...

Partager ce message


Lien à poster
Partager sur d’autres sites

Je ne suis pas sûr de vous suivre : si on doit faire deux mots de passe ou utiliser un token pour ouvrir l'app, on tue son usage courant pour ouvrir/fermer trappe, fenêtres et portes, régler la clim, etc

Partager ce message


Lien à poster
Partager sur d’autres sites

Super nouvelle !

Autre bonne nouvelle, le fait d'activer le 2fa n'invalide pas les access tokens existants, du coups les applications tierces continuent de fonctionner.

Par contre comportement très bizarre :

- j'active le 2fa

- je me déconnecte dans l'application officielle Android

- je me reconnecte, on me demande bien le code dans un second écran

- j'ouvre une appli tierce

- je me déconnecte

- je me reconnecte

Là je m'attendais à ce que ça ne fonctionne pas, puisque l'application tierce ne supporte pas encore le 2fa Tesla. Et contre toute attente ça fonctionne encore !

Bizarre non ?

Partager ce message


Lien à poster
Partager sur d’autres sites

Par contre je vois des mentions à OAuth2, SSO, et tout ça me fait très plaisir en tant que développeur d'une application tierce. S'ils poussent jusque là on pourrait imaginer que les développeurs puissent déclarer leurs applications tierces chez Tesla, et profiter de la page d'authentification officielle de Tesla !

-> Sécurité pour les développeurs qui n'auraient plus à gérer l'authentification avec les identifiants des utilisateurs, et sécurité pour les utilisateurs qui n'auraient plus à mettre leurs identifiants dans des applications tierces ! 😍😍😍

Doux rêve au coin du bar ou réel futur ? 🤤

(J'avoue je me suis égaré du sujet initial, mea culpa)

Modifié par denouche

Partager ce message


Lien à poster
Partager sur d’autres sites

Il y a 7 heures, denouche a dit :

Sécurité pour les développeurs qui n'auraient plus à gérer l'authentification avec les identifiants des utilisateurs, et sécurité pour les utilisateurs qui n'auraient plus à mettre leurs identifiants dans des applications tierces ! 😍😍😍

Doux rêve au coin du bar ou réel futur ?

https://twitter.com/StatsTeslaApp/status/1313573872881475584

Apparemment on peut passer par OAuth si les devs de l'app l'ont pris en compte. 

 

Partager ce message


Lien à poster
Partager sur d’autres sites



  • Contenu similaire

    • Par khal
      Bonjour à tous !
       
      Il m'est arrivé un souci assez inquiétant il y a qq semaines et je voulais savoir si d'autres personnes étaient concernées.
      Ça s'est passé le 17/12, quand il faisait -4°C dehors.
      J'étais à l'arrêt dans une file d'attente et la voiture s'est mise à avancer toute seule pour rentrer dans la voiture devant (je discutais avec le passager, pas eu le temps de réagir).
      J'ai d'abord cru avoir appuyé sur l'accélérateur sans m'en rendre compte mais pour en être sûr j'ai fait le test juste après : appui léger sur l'accélérateur puis relâcher la pédale, puis appui sur le frein. Le message "pédale d'accélération enfoncée" (ou qqchose du genre) s'est affiché sur le tableau de bord.
      J'ai précisé en début de message qu'il faisait -4°C dehors en supposant que ça pouvait avoir un lien (la voiture avait roulé 30mn seulement avant ça), mais comme je n'ai aucune idée de comment l'accélération fonctionne (câble ? huile ? autre ?) ça n'a peut-être rien à voir.
       
      Est-ce arrivé à d'autres personnes ?
       
      ps : j'ai pris rdv par l'app.
    • Par JOM
      Bonjour les vriboudis . Pour celles ou ceux qui ont l'option .
      Mon I3S de 2020 ne garde pas l'option ' sécurité piétons ' cochée dans le menu de l'application . "Avertissement collision" reste coché, pas ' détection piétons ' . Quelqu'un a le même problème ? Merci
    • Par Arrow
      Bj à tous
       
      Je souhaiterais votre retour d'expérience sur l'usage de l'affichage tête haute dans la Tesla model 3, fournisseur, prix, usage au quotidien, branchement ou installateur qui l'a installé, défauts possibles, consommation, ...
       
      Merci
      Futur possesseur de SR+, ... normalement
       

    • Par Arrow
      Bj à tous
      Je souhaiterais votre retour d'expérience sur l'usage de l'affichage tête haute dans la Tesla model 3, fournisseur, prix, usage au quotidien, branchement ou installateur qui l'a installé, défauts possibles, consommation, ...
      Merci
      Futur possesseur de SR+, ... normalement
    • Par gusti
      Bonjour à tous, 
      9 ans que j'ai ma Leaf 24 et 140 000 km et hier il m'arrive un accident vraiment con. Je me gare devant une boîte aux lettres pour y poster 2 cartes postales. Pied sur le frein, je chope les cartes, ouvre la portière, sors de la voiture et me dirige vers la boîte en contournant la leaf par l'arrière et là, je la vois partir toute seule ! Le temps de sauter à l'intérieur, il était trop tard, elle s'est arrêtée contre un panneau de signalisation planté au milieu du trottoir ! Meeeerrrde !
      Confinement oblige, personne ne m'a vu, j'aurais eu trop honte...
      Bon y a pas trop de mal, j'ai pu redresser le pare-chocs plastique et remettre l'antibrouillard en place. Il reste des fissures autour de l'antibrouillard et de la peinture craquelée...
      J'espère que ça vous fait bien rire, mais ce message est aussi là pour vous prévenir. Je suis sorti de la voiture sans la mettre en mode Parking, c'est pourquoi elle est partie dès que j'ai relâché le frein. Je pense qu'il y a un grave défaut de sécurité parce que cette situation pourrait parfaitement  être détectée : voiture à l'arrêt, portière qui s'ouvre, sélecteur en mode marche AV ou AR, perte de présence du conducteur tout ça c'est détecté.
      Vérifiez sur vos véhicules et prenez soin de vous !
      Gusti


×
×
  • Créer...
Automobile Propre

Automobile Propre est un site d'information communautaire qui est dédié à tout ce qui concerne l'automobile et l'environnement. Les thématiques les plus populaires de notre blog auto sont la voiture électrique et les hybrides, mais nous abordons également la voiture GNV / GPL, les auto à l'hydrogène, les apects politiques et environnementaux liés à l'automobile. Les internautes sont invités à réagir aux articles du blog dans les commentaires, mais également dans les différents forums qui sont mis à leur dispositon. Le plus populaire d'entre eux est certainement le forum voiture électrique qui centralise les discussions relatives à l'arrivée de ces nouveaux véhicules. Un lexique centralise les définitions des principaux mots techniques utilisés sur le blog, tandis qu'une base de données des voitures (commercialisées ou non) recense les voitures électriques et hybrides.