Double Authentification sur le compte Tesla

[Shazam!]

Bonjour a vous ami(e)s electrique.

 

Etant donné l'importance d'informations et les possibilité qu'offrent le compte Tesla et l'appli, je m'étonnes que ceux ci ne soient pas plus sécurisé que cela.

En effet, je possède nombres d'application, sites et autres ressources dont il est nécessaire de se connecter via mot de passe, empreinte ou autre mais la seconde sécurité consiste à avoir une autre vérification via une application du type Google Authenticator, Microsoft Auth, LastPass etc... même si certain utilise tout bêtement les SMS pour confirmation.

Bien entendu une appli sur le tel permet de générer ces Token et plutot que de le refaire systematiquement, nous pouvons définir un périphérique de confiance.

 

Et donc je regardais sur un site référençant les applis et portails les plus utilisées afin de combler mes liens et rajouter ceux qu'ils me manquaient. > https://twofactorauth.org/#

 

Le site me confirme bien que Tesla ne fais pas appel a une vérification en 2 étapes comme pourraient le faire Google, Youtube, Amazon, Paypal, Sony, Apple, etc etc.

 

Alors sur ce site, ils proposent un lien pour faire la demande directement au constructeur/site en direct via un lien Twitter.

 

Je me demandait si les gens d'ici possédant un compte Twitter (ce qui n'est pas mon cas) ne voudraient pas juste pousser cette info via ce lien afin d'avoir un poids pour demander a tesla de mettre cette sécurité supplémentaire en place.

 

Pourquoi tesla ne le ferait il pas ? Apres tout, certain sites utilisent des Token genre TeslaFi etc... et ça n'est guère compliquer à mettre en place.

 

Merci à celles et ceux qui pousseront ce Twitt.

 

"Security is important, @Tesla. We'd like it if you supported two factor auth. https://twofactorauth.org #SupportTwoFactorAuth"

le lien direct au cas où : 

 

https://twitter.com/intent/tweet?text=Security is important%2C %40Tesla. We'd like it if you supported two factor auth.&url=https%3A%2F%2Ftwofactorauth.org&hashtags=SupportTwoFactorAuth&original_referer=https%3A%2F%2Ftwofactorauth.org%2F

 

[Milhooz]

Je crois qu'Elon avait dit qu'ils travaillent dessus. En effet, voler une Tesla serait encore plus facile en piratant le compte Tesla de quelqu'un...

Avec un petit mail d’hameçonnage bien fait, beaucoup peuvent tomber dans le panneau.

[Shazam!]

Je n'ai pas des dossier de la CIA, ni sur JFK ou sur la recette secrète du boubliboulga chez moi mais je dispose d'un réseau sécurisé via filaire et/ou wifi + liste ACL + mot de passe en passphrase ainsi que identifiant via une appli type LastPass pour accéder à mon server et NAS.

Celui qui veut piquer chez moi il peut se lever tôt.

Donc avec une telle appli Tesla et/ou compte ca me paraissait un minimum.

[Milhooz]

Oui je suis d’accord, la double authentification est nécessaire pour le compte Tesla.

[kiwi35]

Bon alors...

https://www.schneier.com/blog/archives/2016/08/nist_is_no_long.html

 

Certains se sont fait déjà piraté leur compte grace au sim swap. Donc non le 2FA avec du SMS n'est PAS sécure (et les SMS n'ont jamais été désignés pour cela).

 

Ceci dit avec l'App pourquoi pas... quitte a certifier l'app d'une certaine manière via token OTP type RSA Secure-ID par exemple.

Modifié octobre 24, 2019 par kiwi35

[Milhooz]

D'ailleurs la plupart des banques ne détournent du SMS pour la double authentification.

Apple et Google le font aussi avec une app ou dans l'OS directement.

Modifié octobre 24, 2019 par Milhooz

[Shazam!]

il y a 3 minutes, kiwi35 a dit :

Bon alors...

https://www.schneier.com/blog/archives/2016/08/nist_is_no_long.html

 

Certains se sont fait déjà piraté leur compte grace au sim swap. Donc non le 2FA avec du SMS n'est PAS sécure (et les SMS n'ont jamais été désignés pour cela).

 

Ceci dit avec l'App pourquoi pas... quitte a certifier l'app d'une certaine manière via token OTP type RSA Secure-ID par exemple.

Oui ces applications mentionnées plus haut sont là pour ça...

Et la, si tu te fait caroter ton compte je ne vois pas comment... Tu as un token valable 20sec.

Les SMS n'ont jamais eu vocation d’être cryptés sauf via appli SMS dédiée type "SILENCE" entre autre.

Tout comme le réseau 3G ou 4G n'est pas non plus sécurisé.

[kiwi35]

(franglais) Chiffré pas crypté (/franglais). 

Pour les cas ou les 2FA se sont fait carrotés, un SIM swap est courant et très souvent utilisés.

Ceci dit, je suis assez d'accord d'augmenter la sécu du compte Tesla, mais il ne faut pas non plus rendre le truc impossible aussi...

[Milhooz]

Ça serait juste pour la première connexion avec un nouvel appareil.

[Epeac]

Je ne suis pas sûr de vous suivre : si on doit faire deux mots de passe ou utiliser un token pour ouvrir l'app, on tue son usage courant pour ouvrir/fermer trappe, fenêtres et portes, régler la clim, etc

[Milhooz]

Non attention on parle de valider la première authentification sur un nouvel appareil en utilisant un appareil déjà connu.

[Kratus]

Elon Musk annonce l'arrivée prochaine de la double authentification.

Enfin.

https://twitter.com/elonmusk/status/1191795051728269312

[J0kers]

https://twitter.com/elonmusk/status/1191795051728269312

 

@Kratus c'était mieux ici, non ? ?

[Kratus]

il y a 9 minutes, J0kers a dit :

c'était mieux ici, non ? ?

Oui. 

Je vais aller me coucher... 

[Kratus]

Déplacé. 

[Shazam!]

Voila... ça, c'est fait !

Qu'est ce que je pourrais demander maintenant ?

?

[Belokan]

Le 05/11/2019 à 22:48, Shazam! a dit :

Qu'est ce que je pourrais demander maintenant ?

Android Auto / Car Play

[J0kers]

Le 05/11/2019 à 21:36, Kratus a dit :

Elon Musk annonce l'arrivée prochaine de la double authentification.

Enfin.

https://twitter.com/elonmusk/status/1191795051728269312

https://twitter.com/elonmusk/status/1253172750295928833

Il l'annonce une nouvelle fois comme "coming soon".

 

D'ici 6-12 mois peut être ? 😜

[Kratus]

Elon time...

[bobjouy]

Ça arrive de manière imminente.

 

 

Modifié octobre 6, 2020 par bobjouy

[kkouete44]

C’est plus que de manière imminente bobjouy, je viens de l’activer pour mon compte 😊

[Mike56100]

[denouche]

Super nouvelle !

Autre bonne nouvelle, le fait d'activer le 2fa n'invalide pas les access tokens existants, du coups les applications tierces continuent de fonctionner.

Par contre comportement très bizarre :

- j'active le 2fa

- je me déconnecte dans l'application officielle Android

- je me reconnecte, on me demande bien le code dans un second écran

- j'ouvre une appli tierce

- je me déconnecte

- je me reconnecte

Là je m'attendais à ce que ça ne fonctionne pas, puisque l'application tierce ne supporte pas encore le 2fa Tesla. Et contre toute attente ça fonctionne encore !

Bizarre non ?

[denouche]

Par contre je vois des mentions à OAuth2, SSO, et tout ça me fait très plaisir en tant que développeur d'une application tierce. S'ils poussent jusque là on pourrait imaginer que les développeurs puissent déclarer leurs applications tierces chez Tesla, et profiter de la page d'authentification officielle de Tesla !

-> Sécurité pour les développeurs qui n'auraient plus à gérer l'authentification avec les identifiants des utilisateurs, et sécurité pour les utilisateurs qui n'auraient plus à mettre leurs identifiants dans des applications tierces ! 😍😍😍

Doux rêve au coin du bar ou réel futur ? 🤤

(J'avoue je me suis égaré du sujet initial, mea culpa)

Modifié octobre 6, 2020 par denouche

[bobjouy]

Il y a 7 heures, denouche a dit :

Sécurité pour les développeurs qui n'auraient plus à gérer l'authentification avec les identifiants des utilisateurs, et sécurité pour les utilisateurs qui n'auraient plus à mettre leurs identifiants dans des applications tierces ! 😍😍😍

Doux rêve au coin du bar ou réel futur ?

https://twitter.com/StatsTeslaApp/status/1313573872881475584

Apparemment on peut passer par OAuth si les devs de l'app l'ont pris en compte.