13:27 <misc> mdk: tiens, comme hayp^W vstinner m'a filé la discussion sur le 2FA, le sms, c'est aussi mal parce que des attaquants peuvent utiliser ça pour du phising, voir envoyer une 2eme sms disant "we have activating secondary auth, please reply with the code you just received" aprés avoir tenté de se connecter sur ton compte
13:28 <misc> ( https://mail.python.org/pipermail/python-committers/2017-December/005081.html )
13:28 <misc> et le $10 wrench, ça marche que si l'attaquant est ok pour reveler son attaque
13:28 <misc> c'est pas forcément toujours le cas
13:29 <misc> genre dans le cas de github, l'attaquant veut soit rebondir sur une autre infra, soit pousser du code, et la valeur du premier et du second ont tendance à augmenter avec le temps
13:30 <misc> (e.g., une backdoor ajouté dans le code vaut rien si elle arrive jamais dans les tarballs de release, un accés dans l'infra sui se fait choper va vite activer une procedure de sécurité)
13:31 <mdk> misc: tu as fort fort raison
13:31 <mdk> misc: j'essaye de faire court et je n'y arrive déjà pas, si je fais exhaustif personne ne lit
13:31 <misc> mdk: oh, je me doute
13:31 <misc> surtout qu'il y a l'air d'avoir des gens spéciaux sur la liste
13:32 <misc> (genre, Stefan Krah, il a l'air d'y tenir à son 1 factor auth)
13:35 <mdk> D'un côté ceux qui ont un bon keepassx like, qui ont des gros mots de passe uniques, c'est des personnalités pas facile à atteindre même avec une campagne de phishing bien faite, (rien n'est impossible) je dis juste que ces gens là sont relativement solides, et ça ne me gène pas qu'ils continuent comme ça
13:35 <mdk> Le souci c'est si dans le tat y'en a un qui a le même mot de passe que sur un site de porn et pas de 2FA
14:33 <misc> je suis pas d'accord sur le fait que tu puisses pas atteindre les gens avec du phising
14:36 <misc> parce que le souci, c'est qu'il suffit d'une fois pour réussir, tu peux tenter des tas de fois
14:36 <misc> je pense aussi que ça crée une mauvaise dynamique
14:37 <misc> aka "je suis un dieu de la secu, donc j'utilise pas de 2FA3, ça va juste envoyer le message que faut prendre le 2FA que si tu es pas assez bon pour gerer ta securité
14:43 <mdk> J'ai pas dis ça, mais je pense qu'un bonhomme qui a un gestionnaire de mots de passe et donc des mots de passe uniques par service est plus solide qu'un utilisateur "lambda" qui a le même mot de passe partout
14:43 <mdk> plus solide déjà parce qu'il ne vas pas leaker son mot de passe github lorsque le premier site de cul se fera péter
14:44 <mdk> et aussi parce qu'il fait attention, consciemment, à sa sécu, il ne va pas cliquer partout sur tous les mails de phishing
14:44 <misc> oh, bien sur que c'est plus solide
14:44 <misc> mais les mails de phising peuvent être vachement bien fait
14:45 <misc> les trucs de mitm aussi, ça devient vicieux
14:46 <misc> genre, beef https://beefproject.com/ , tu peux infecter une page via du js, et tant que tu gardes les browser ouvert, tu as le contact
14:46 <misc> et du coup, beef a module pour basculer l'onglet sur une fausse page de login gmail
14:47 <misc> https://github.com/beefproject/beef/wiki/Module%3A-TabNabbing
14:47 <misc> ensuite, tu as juste à attendre
14:48 <misc> et tout ce qu'il faut, c'est du mitm, et d'experience, tu mets un point d'accés wifi avec le nom de la conf local, les gens se connectent dessus
14:53 <mdk> je suis d'accord