Passe pas partout

Les clés d’accès – ou « passkeys » – sont un moyen de se débarrasser des mots de passe. Elles ont été créées par un regroupement de grosses entreprises de la tech. Avant de plonger dans plusieurs scénarios pratiques dans un prochain article, nous allons d’abord nous pencher sur leur fonctionnement.

Les mots de passe ont fait leur temps. De multiples entreprises, de sécurité ou non, le disent depuis des années. Les recommandations de l’ANSSI ont évolué elles aussi, pour suivre les problèmes de sécurité liés aux mots de passe. Et ils sont nombreux.

Actuellement, on considère qu’un mot de passe est fort s’il contient au moins douze caractères mélangeant des majuscules, minuscules, chiffres et caractères spéciaux. Il ne doit incorporer aucune information évidente, comme un prénom, une date de naissance, le nom d’un animal domestique, etc. Il ne doit plus contenir aucun mot présent dans le dictionnaire.

L’alternative est la phrase de passe : une séquence de quatre ou cinq mots, liés par des caractères spéciaux (souvent des tirets). Ces mots peuvent être issus du dictionnaire et constituer une courte phrase, d’où leur nom. Il s’agit actuellement de la recommandation principale de l’ANSSI et de la CNIL. En effet, en dépit de l’usage de mots existants, c’est la taille de la phrase qui fait sa force.

Il manque une recommandation cruciale : ne jamais réutiliser les mots de passe. Idéalement, il faut que les mots ou phrases de passe soient aléatoires. Il faut également que chaque site ou service ait son propre mot de passe. Le danger, sinon, est connu : puisque l’adresse email sert souvent d’identifiant, la récupération des deux – par exemple, lors d’une fuite de données chez un prestataire – permet leur réutilisation sur d’autres services.

Les gestionnaires de mots de passe, une avancée…

Les gestionnaires de mots de passe permettent de simplifier largement la gestion des mots et phrases de passe. Ils peuvent créer des séquences aléatoires de caractères ou de mots. Des options autorisent une grande finesse dans cette génération, comme le nombre et le type de caractères. Plus la taille est importante, meilleur est le mot de passe.

• Mais au fait, pourquoi un gestionnaire de mots de passe ?

Il y a trois écoles parmi les gestionnaires. Premièrement, les solutions synchronisées comme LastPass, Dashlane, BitWarden et autres. Avantage : les identifiants vous suivent partout, sur tous les appareils. Intégrant des extensions pour les navigateurs et proposant des applications mobiles, on peut les utiliser dès que l’on en a besoin. Il y a deux inconvénients principaux. D’abord, il faudra créer un mot de passe protégeant le compte. Il doit être assez fort pour protéger efficacement l’accès à ce compte, particulièrement précieux. Ensuite, le service peut être victime d’une fuite. Auquel cas, si l’entreprise concernée n’a pas bien fait son travail, vos données peuvent se retrouver dans la nature. Les mésaventures de LastPass ont rappelé brutalement la réalité.

Deuxièmement, les gestionnaires intégrés aux navigateurs. Qu’il s’agisse d’Apple, Google ou encore de Microsoft, tous proposent un gestionnaire intégré. Dans le cas d’Apple, il s’agit du Trousseau, présent dans macOS depuis bien longtemps. Gros avantage de ces solutions : elles sont totalement intégrées. Si vous n’utilisez que le même navigateur partout, vos données vous suivent. Inconvénient, tout est beaucoup moins pratique dès que vous utilisez un ensemble hétérogène d’appareils. En outre, leur interface de consultation est souvent moins pratique qu’un gestionnaire dédié.

Enfin, les gestionnaires « simples ». On parle cette fois d’une petite application locale et non synchronisée. Le plus connu est KeePass (et sa variante KeePassXC). Il y a plusieurs avantages, dont l’hébergement local des données. Pas besoin de faire confiance à une entreprise quelconque. En outre, ces logiciels proposent souvent des fonctions très poussées pour la génération des mots de passe, afin d’augmenter l’entropie. Inconvénient majeur : leur récupération depuis d’autres appareils est moins aisée, car il faut alors s’occuper soi-même de la récupération des informations.

… mais une mesure minimale désormais

Un gestionnaire de mots de passe est aujourd’hui une mesure minimale. À moins d’une mémoire eidétique, il est impossible de retenir de nombreux mots de passe forts et uniques. Le gestionnaire résout ainsi les deux problèmes que sont les mots de passe unique et leur mémorisation.

Cependant, il ne peut rien faire contre les accidents survenant chez les prestataires de services. Une fuite de données et tout peut arriver. C’est pour cela que l’ANSSI et bien d’autres acteurs poussent vers l’authentification à facteurs multiples.

• Authentification multifacteur : la CNIL ouvre une consultation publique en vue d’une recommandation

Nous avons abordé le sujet en avril, quand la CNIL a évoqué une future recommandation. Le principe est simple : toujours associer deux facteurs parmi trois : connaissance, possession et inhérence.

Le plus souvent, il s’agit d’un code à six chiffres envoyé par SMS, email ou généré par une application. On doit donner ce code, en plus du mot de passe, pour pouvoir se connecter. Le code arrivant sur le smartphone, il permet de bloquer en théorie toutes les tentatives d’accès si le mot de passe est trouvé ou dérobé par un tiers. Comme nous l’avons vu cependant, cette protection est certes efficace, mais pas absolue.

Les clés d’accès, nées d’un besoin

La protection des accès aux données fait depuis longtemps l’objet de travaux. La biométrie a notamment renforcé cette protection, tout en simplifiant l’usage. Elle ne se substitue jamais cependant au mot de passe. Il reste disponible dans le cas où, par exemple, le capteur d’empreinte digitale ne fonctionnerait plus.

Pour franchir un pas significatif, plusieurs grosses sociétés américaines veulent se débarrasser des mots de passe. Apple, Google et Microsoft notamment, dont les travaux communs ont été chapeautés par la FIDO Alliance, qui émet des standards ouverts sur les mécanismes de vérification d’identité. Ce consortium cherchait une solution aux problèmes récurrents des mots de passe et a accouché des fameuses clés d’accès.

Qu’est-ce qu’une clé d’accès ?

• Micrologiciel V104 disponible maintenant : Gain de 33 % de luminosité
• Technologie OLED META conçue par LG Display
• Capteur de proximité OSD
• Hauteur, inclinaison, rotation et pivotement réglables
• Compatible VESA 100 mm x 100 mm
• Garantie de 3 ans

• Native Resolution 2560x1440 (16:9)
• HDR Certification None
• AC Adapter 180W
• Display Technology OLED
• Flicker Free Yes
• Display Inputs 2x HDMI 2.1, 1x DisplayPort 1.4, 1x Type-C DP Alt-Mode
• Display Surface Non-Glare
• Display Colors 1.07B (10-bit RGB)
• Static Contrast Ratio 1,500,000:1
• Peak Brightness 450 nit peak brightness, 800 nit @10%APL, 1,000 nit@3% APL
• Color Gamut 98.5% (DCI-P3), 100% (sRGB)
• Response Time GtG 0.03ms
• Adaptive Sync NVIDIA G-Sync Compatible;Yes
• Screen Size 27”
• Refresh Rate 240Hz
• Max Resolution 2560x1440 (16:9)
• Warranty 3 Year
• Adjustable Height 100mm
• Weight 9.1

Le fournisseur d’électricité Ohm Énergie se retrouve une nouvelle fois sous les projecteurs après que l’association de consommateurs CLCV (Consommation, Logement et Cadre de Vie) a déposé une plainte auprès du Procureur de la République de Paris. La cause de cette action judiciaire est une augmentation drastique des tarifs d’électricité en août 2022, que la CLCV juge être une pratique commerciale trompeuse.

Ohm : une stratégie de prix plus que douteuse

Au printemps 2022, Ohm Énergie a lancé des offres d’électricité à des prix très attractifs, attirant ainsi une large base de clients. Cependant, en août de la même année, le fournisseur a annoncé une augmentation de 105 % de ses tarifs, effective dès septembre. Cette hausse a touché environ 160 000 consommateurs, provoquant une vague d’indignation.

Selon le communiqué de presse de l’association des consommateurs CLCV, « les éléments matériels à notre disposition nous amènent à estimer qu’une hausse fulgurante des tarifs était planifiée par Ohm Énergie dès la commercialisation de ses offres à bas prix ». La stratégie d’Ohm Énergie a semblé être délibérément conçue pour attirer des clients avec des tarifs bas, avant de les confronter à des hausses tarifaires importantes.

Une enquête de la CRE sur de potentiels abus des droits Arenh

L’une des accusations principales de la CLCV concerne l’utilisation potentiellement abusive des droits Arenh (Accès Régulé à l’Électricité Nucléaire Historique). Cette pratique permet aux fournisseurs alternatifs d’obtenir de l’électricité nucléaire à prix réduit auprès d’EDF, pour ensuite la revendre à un prix beaucoup plus élevé sur le marché de gros. Selon la CLCV, Ohm Énergie aurait profité de cette règle ainsi que de la crise énergétique exacerbée par la guerre en Ukraine pour maximiser ses gains, au détriment de ses clients.

« Cet arbitrage consiste, pour un fournisseur alternatif, à obtenir plus de droits nucléaires d’EDF que son besoin réel puis de les revendre beaucoup plus cher sur le marché de gros », précise la CLCV. Depuis septembre 2022, Ohm Énergie est sous le coup d’une enquête de la Commission de Régulation de l’Énergie (CRE) pour ces pratiques. La CRE avait déjà averti les fournisseurs qu’elle sanctionnerait les abus de ce type, et plusieurs procédures sont en cours, y compris contre Ohm Énergie.

Des profits astronomiques et une fuite de clients

Les résultats financiers d’Ohm Énergie pour 2022 sont parlants : l’entreprise a réalisé un bénéfice de 57 millions d’euros, contre seulement 48 000 euros l’année précédente. Cela représente une augmentation impressionnante de 118 650 %. Ce bénéfice exceptionnel est en grande partie attribué à la revente d’électricité sur le marché de gros, comme le montre le solde de 55 millions d’euros entre les ventes et les achats de marchandises. Le fournisseur d’électricité aurait ainsi réussi à dégager une marge brute de 44,3 millions d’euros sur une seule année.

Cette stratégie tarifaire ne s’est néanmoins pas faite sans conséquence. En termes de clientèle, Ohm Énergie a initialement attiré 160 000 abonnés avec ses offres à bas prix, mais ce nombre a chuté à un peu plus de 80 000 après l’augmentation des tarifs.

La CLCV lance un appel à la mobilisation

La CLCV appelle tous les consommateurs affectés par cette hausse tarifaire à se manifester et à fournir leurs témoignages pour aider à établir la vérité. « Leur témoignage aidera la juridiction à établir la vérité. Par ailleurs, notre association sera pleinement mobilisée pour faire valoir le préjudice moral et économique de ces personnes », indique l’association dans son communiqué de presse.

Les clients lésés peuvent envoyer leurs témoignages à l’adresse suivante : ohm@clcv.org. La CLCV veut recueillir suffisamment de preuves pour étayer sa plainte et défendre les droits des consommateurs contre ce qu’elle considère comme une manipulation tarifaire abusive

L’article Prix de l’électricité : une association de consommateurs porte plainte contre Ohm est apparu en premier sur L'EnerGeek.

Après le prix de la voiture européenne de l’année, le Renault Scénic repart avec 3 prix lors du e-trophée de l’association des médias auto & moto (AMAM).

Read more of this story at Slashdot.