Aller au contenu

Double authentification - Suis-je le seul ?


Mic13710

Messages recommandés

Bonjour à tous,

Je viens de découvrir un bug très troublant et je dirais très inquiétant sur mon 214+ sous DSM 6.1.3-15152 Update 4.

J'ai mis en place depuis peu de temps la double authentification sur les comptes administrateurs. Cette double authentification se faisait à l'aide de FreeOTP jusqu'à ce matin, mais comme j'utilise Keepass pour la gestion de mes mots de passe et que j'ai vu qu'il y avait un greffon KeeOTP qui fonctionne aussi très bien, j'ai basculé ma double authentification sur KeeOTP pour tout avoir sous le même toit, ce qui m'évite d'aller consulter mon smartphone pour avoir le code. Cette opération n'a aucune incidence sur ce qui va suivre.

Ce NAS a deux comptes administrateurs que je vais appeler A et B.

Jusqu'à aujourd'hui j'utilisais un seul compte, le A, et tout fonctionnait bien. La double authentification FreeOTP ou KeeOTP ne pose pas de problème.

Mais voilà, j'ai voulu accéder à mon deuxième compte Administrateur (le B). Après avoir rentré son login et mdp, le NAS m'a orienté vers la mise en place de la double authentification. Normal. Je suis la procédure, et la vérification du code est validée ce qui signifie que la double authentification est fonctionnelle. Une fois le code en place, j'ai enfin accès au compte. Là encore, normal.

Je déconnecte le compte (B) puis je tente de m'y reconnecter, et c'est là que ça se gâte.

La première étape (compte et mdp) se passe normalement. Mais après, impossible de faire accepter mon code d'authentification pour ce compte. Code erroné !

Et puis j'ai tenté un truc de fou : mettre le code d'authentification du compte A et là, miracle ou plutôt incompréhension : DSM s'ouvre, mais pas sur le compte B mais sur le A !

Autrement dit, le compte A a été ouvert en utilisant les login et mdp du compte B.

Il semble donc qu'une fois la première étape passée, le NAS ne considère plus que la validation avec le code d'authentification et se connecte sur le compte dont le code est valide.

Si on peut se connecter à un compte avec les login et mdp d'un autre compte, il y a bien évidemment un ENORME problème de cloisonnement et donc de sécurité.

Vous vous doutez bien que j'ai fait plusieurs essais, avec FreeOTP, KeeOTP ou les deux (un sur chaque compte) et le résultat est toujours le même : le seul code reconnu par le NAS est celui du premier compte paramétré avec la double authentification. Le deuxième est inconnu. Inutile de préciser que le code de secours à 8 chiffres envoyé sur ma boite mail produit exactement le même effet.

J'ai donc deux bugs sur mon NAS : impossibilité de faire fonctionner plusieurs double authentifications, et connexion à un compte avec les login et mdp d'un autre compte. Et bien entendu, l'impossibilité de me connecter aux comptes dont la double authentification ne fonctionne pas. Ca fait beaucoup pour un système sensé être sécurisé.

Est-ce que je suis le seul ?

Edit :

Complément d'info : dans le centre des journaux, à chaque tentative de connexion au compte B, l'erreur sur la double authentification est indiquée sur le compte A. Comprend qui peut.

Lien vers le commentaire
Partager sur d’autres sites

Tu ne risques rien d'essayer. Au pire, tu as toujours le code initial et aussi le code par mail.

J'ai créé un troisième compte histoire de bien être sûr et c'est pareil.

Il y a 2 heures, Einsteinium a dit :

Bon pas vraiment un problème de sécurité non plus, car il faut connaître la clé pour avoir les codes.

C'est sûr, mais enfin, arriver à se connecter sur un compte avec les login d'un autre, ça je ne l'avais encore jamais vu.

Ce qui est inscrit dans le centre des journaux m'incite à penser qu'une fois logué sur un compte admin, le NAS bascule sur le compte A. Sinon, le message serait incompréhensible. Pourquoi ? C'est toute la question.

J'ai ouvert un ticket chez Syno. On verra bien.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, Fenrir a dit :

token B => erreur (peut être expiré)

Sauf que l'erreur de connexion enregistrée dans le journal est sur le compte A alors qu'elle devrait-être sur le B.

Mais ton idée m'a fait réfléchir.

J'ai arrêté Keepass et rentré le login manuellement. J'ai demandé un code par e-mail et là aucun pb, j'accède au compte B.

Même manip, mais cette fois je démarre Keepass juste après le login en manuel pour récupérer le code KeeOTP et là encore, j'accède bien au compte B.

J'en conclus donc que c'est Keepass qui bug. Apparemment il inscrit le login du compte B mais utilise le login du compte A. Même si ça me rassure que ce ne soit pas un problème de DSM, je ne comprends pas comment ça peut se faire.

J'avais peut-être créé la fiche Keepass du compte B en partant d'une copie du compte A. Aussi j'ai supprimé la fiche et je l'ai recréé : même résultat si j'ouvre le compte B avec Keepass en service. Il se fait tard et je ne vois pas où chercher. Je reprendrai demain.

Lien vers le commentaire
Partager sur d’autres sites

il y a 35 minutes, Mic13710 a dit :

Apparemment il inscrit le login du compte B mais utilise le login du compte A

Je pense plutôt que c'est le formulaire du syno qui est mal foutu, lors de la demande OTP, il semble recharger les champs login et le password sans les afficher, l'autocompletion les remplis même s'ils sont cachés.

En tout cas je n'ai pas réussi à reproduire le pb en coupant l'autocompletion.

Il faudrait tracer les entêtes envoyés pour en avoir le cœur net ...

 

Lien vers le commentaire
Partager sur d’autres sites

Bon, une fois de plus grâce à toi Fenrir j'ai résolu mon problème.

C'était effectivement un problème d'autocomplétion avec des connexions à double authentification. Merci de m'avoir mis sur la voie.

J'ai tout essayé ce matin : supprimer KeeOTP de Keepass, supprimer le champ de chaine de caractère KPRPC JSON pour KeeFox, pas mal d'autres trucs, sans résultat. Lorsque Keepass et Keefox étaient actifs, le login se faisait systématiquement sur le compte A.

A noter que ce comportement n'existe que si la double authentification du compte B a été validée dans le NAS car si elle ne l'est pas, alors j'arrive à m'y connecter. C'est une histoire de fou, mais il semble clair que la double authentification perturbe le fonctionnement de KeeFox.

En cas d'entrées multiples et le remplissage auto activée, si je choisi une entrée à double authentification (B) autre que l'entrée auto remplie (A dans mon cas), les champs se remplissent bien avec les infos stockées dans Keepass ce qui indique que le choix est pris en compte, mais au final c'est systématiquement l'auto remplie (A) qui s'ouvre.

A mon avis KeeFox envoie bien le login du compte sélectionné (B), mais pour une raison inconnue bloque à un moment sur la page de la double authentification et relance le login, cette fois sur le compte auto rempli (le A).

J'ai supprimé le remplissage auto dans les options Keefox (onglet Remplissage des entrées) et là, plus de problème. Chaque compte fonctionne normalement.

Il est possible que le bug soit apparu dans la dernière mise à jour du greffon KeepassRPC que j'ai installée hier. Mais comme je n'ai activé le compte B qu'après la mise à jour du greffon, je suis incapable de confirmer. Il se peut que le dysfonctionnement soit plus ancien.

Bref, DSM n'est pas en cause, c'est KeeFox qui n'aime pas la double authentification. Beaucoup de bruit pour rien donc.

Du coup, j'en ai profité pour mettre en place ma double authentification à la fois sur KeeOTP (avec la clé privée en base32) et FreeOTP (à partir du code QR correspondant) de manière à pouvoir récupérer le code sur plusieurs supports. Et ça fonctionne au poil.

Lien vers le commentaire
Partager sur d’autres sites

il y a 35 minutes, Einsteinium a dit :

Après c’est le genre de pass qui ne se sauvegarde pas

J'ai une mémoire de poisson rouge :lol:

Sans blaguer, avec Keepass tu peux faire des mdp forts, tu n'as pas besoin de les retenir et ils se remplissent automatiquement avec KeeFox. Avec un mdp dans la tête, il faut se le taper à chaque fois et comme je suis un fainéant, je pèterais un câble avant la fin. Donc pour moi, y'a pas photo.

Lien vers le commentaire
Partager sur d’autres sites

Les systèmes mnémotechniques ont aussi leurs limites, pour 10 ou 20 trucs ça va, mais au bout d'un moment le modèle atteint ses limites (ou les nôtres).

Chez moi comme au travail, c'est keepass (chiffrement en ChaCha20 avec mdp fort+certificat) + un autre truc parmi :

  • quelque chose que je retiens
  • OTP
  • token matériel (en ce moment je fais joujou avec une Yubikey)
Lien vers le commentaire
Partager sur d’autres sites

C'est plutôt dans une optique "paresse", pas envi de sortir de tel pour recopier l'otp (j'ai toujours mes clefs sur moi, mon gsm c'est moins vrai)

On peut faire plein d'autres trucs avec, mais pour le moment je ne l'ai déclaré que sur quelques sites en U2F Fido => on me demande la clef à la place de l'otp

Il est recommandé d'en avoir 2 => mais pas envi :biggrin: donc je m'en sers uniquement sur les trucs permettent une méthode alternative, par exemple github me demande l'OTP ou la clef, c'est au choix.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, Einsteinium a dit :

Ouai donc sa va, moi je m’y suis mis aussi, j’utilise Authy, le gros plus c’est l’avoir sur la watch.

pareil.

par contre, ..., et j'en ai parlé plus haut, ..., ce n'est pas une "machine" que l'on peut faire reconnaître comme machine de confiance, mais une App (en tout cas sur iOS). J'ai dû déclarer comme machine de confiance Safari (accès DSM), DSFile, DSAudio, DSVideo ... et sincèrement, je trouve dommage qu'on ne puisse pas choisir quel paquet doit faire l'objet de la double authentification (je ne vois pas l'intérêt de protéger un accès DS Audio par exemple)

Lien vers le commentaire
Partager sur d’autres sites

L'avantage d'authy c'est que qu'il comble l’ignorance de certains utilisateurs qui ne savent pas qu'ils peuvent utiliser le QR code sur plusieurs apps/devices (ils pensent que ça ne marche que sur un seul appareil  => c'est faux). L'inconvénient pour moi, c'est que pour faire ça, l'appli enregistre les hash OTP en ligne (c'est chiffré, mais seulement protégé par ... un mot de passe).

Sinon, vous qui vous en servez, ça permet autre chose que du 2FA en TOTP ?. Je n'ai rien vu sur leur site. Je suis en mode veille techno sur tous ces trucs en ce moment (d'où mes tests avec la yubikey).

  • token :
    • rsa : pas pratique, trop compliqué pour la plupart de gens, pas donné et compatible avec rien (hors cadre pro et encore)
    • yubikey : nettement moins cher, permet bcp de choses (OTP, U2F, PGP, ...) et très répandu
    • nitrokey : similaire à yubikey, open source, par contre écosystème moins développé mais permet quelques trucs en plus (stockage par exemple)
    • (j'ai testé plein d'autre token, mais soit très cher, soit peu pratique, soit ... => les 2 précédents sortent du lot)
  • softs :
    • xOTP : standard, très simple d'utilisation, gratuit, compatible avec plein de sites, mais rarement avec les logiciels ou OS
    • certificats : trop contraignant pour les utilisateurs et compatible avec rien (hors cadre pro et encore)
  • SMS/tel : vaste fumisterie, non sécurisé, pas fiable, nécessite un abonnement, besoin de capter, attaché au n° de tel, intrusif, ...
  • biométrie : trop compliqué juridiquement, trop cher, pas pratique, compatible avec rien ou presque et du point de vue sécurité, c'est du vent (y compris avec un iphone X)

=>pour le moment nitrokey/yubikey sont les 2 meilleurs solutions que j'ai trouvé, le seul problème c'est qu'il faut un "truc" en plus (pc, smartphone, ....) pour l'otp, mais pour l'U2F, les certificats, le gpg, ... c'est top.

ps : pour l'U2F dans firefox ce n'est pas encore natif mais il y a un plugin qui marche très bien

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.