Bonsoir monde, C'est vrai qu'avec l'exemple de Lapsus$ qui bombardait l'utilisateur⋅ice de notifications MFA jusqu'à ce qu'il ou elle cède et leur succès à infiltrer Micromou, Okta ou Nvidia, ça valide l'effet "sécurité qui rajoute des trous" du MFA.
Je plussoie au constat que c'est devenu délirant, peut-être un vrai effet NoCode, il n'y a pas besoin de compétences particulière pour compromettre des infrastructures critiques, voir aussi l'exemple InfraGard infiltrée par USDoD. [2 cents Vendredi] À toujours proposer des solutions techniques à des problèmes foncièrement humains, on fragilise l'infrastructure et l'humanité d'un coup. Globalement j'ai la sensation aussi que la sécurité c'est toujours pour se rassurer ou un problème pour les autres. [\0/] Après, c'est sûr que mettre du MFA et un mot de passe un poil plus résistant à du bruteforce (post-quantum everything toussah) sur des interfaces critiques et exposées ça protège du tout-venant. L'OTP c'est bien aussi quand c'est bien fait, ou les jetons physiques genre Yubikey, Onlykey... Nicolas 'Kholah' Randrianarisoa Le ven. 5 janv. 2024 à 12:05, Stephane Bortzmeyer <bortzme...@nic.fr> a écrit : > On Thu, Jan 04, 2024 at 09:39:15AM +0100, > David Ponzone <david.ponz...@gmail.com> wrote > a message of 21 lines which said: > > > > Allez, activation du MFA partout sur RIPE (et les autres RIRs), > histoire > > > que au moins on remette le besoin d'un acces a un device physique > (router > > > ou token) pour continuer a casser notre bel outil. > > > > Pas forcément, si tu caches mal ton emergency code :) > > Ou si on se laisse prendre à de l'ingéniérie sociale. Le MFA est > évidemment impératif pour les comptes au RIPE mais ce n'est pas une > solution miracle. > > La leçon que j'en tirerai est plutôt « toute technique de sécurité > peut être détournée pour créer une attaque par déni de service ». > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
