Mozilla impose la double authentification aux développeurs d'extensions

Le par  |  12 commentaire(s)
firefox-nouveau-logo

Dès le début de l'année prochaine, les développeurs d'extensions pour Firefox devront passer par l'authentification à double facteur pour leurs comptes.

À partir de début 2020, tous les développeurs d'extensions devront activer une solution d'authentification à deux facteurs pour leurs comptes sur addons.mozilla.org, à savoir le portail de Mozilla pour les modules complémentaires de Firefox.

Mozilla précise que les comptes sur addons.mozilla.org sont intégrés aux comptes Firefox et justifie son exigence par un souci évident de sécurité. Il s'agit " d'empêcher des acteurs malveillants de prendre le contrôle d'extensions légitimes et de leurs utilisateurs. "

Une authentification à deux facteurs permet d'ajouter une couche de sécurité supplémentaire et ainsi de renforcer la protection contre la compromission d'un compte.

Firefox-addons

Si des individus malintentionnés venaient à pirater le compte d'un développeur d'une extension pour Firefox… les utilisateurs pourraient en payer les conséquences avec la diffusion d'une mise à jour piégée.

Mozilla ne fait pas mention d'un tel incident par le passé, mais mieux vaut prévenir que guérir.

On se souviendra en tout cas que des extensions pour le navigateur Google Chrome ont pu être compromises. Des développeurs avaient par exemple été piégés par un email de phishing et avaient livré leurs identifiants à des attaquants.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2087010
NannyZilla frappe encore...
Le #2087015
ils continuent à faire chier avec leur pretexte de sécurité à 2 balles
Le #2087052
Le #2087066
skynet a écrit :

C'est très bien !
Il faudra par contre améliorer le dispositif :

https://www.phonandroid.com/un-groupe-de-hackers-chinois-a-contourne-lauthentification-en-deux-etapes.html


C'est du bullshit. Que ce soit proposé de manière optionnelle, ça peut être utile pour les kévins qui ne savent pas gérer leurs mdp. Mais de manière obligatoire, je range ça avec mes mdp et donc ça ne me fait gagner aucune sécurité.
Ca m'en fait même plutôt perdre, car typiquement un service qui utilise le 2FA va considérer que, une fois le 2FA passé avec succès, l'utilisateur est garanti légitime. Par exemple avec le 2FA Steam fait passer tes transactions (irréversibles) instantanément et silencieusement, alors que sans 2FA tu as une notification e-mail + un délai de 2 semaines pour annuler.
Le #2087085
NannyFox a écrit :

skynet a écrit :

C'est très bien !
Il faudra par contre améliorer le dispositif :

https://www.phonandroid.com/un-groupe-de-hackers-chinois-a-contourne-lauthentification-en-deux-etapes.html


C'est du bullshit. Que ce soit proposé de manière optionnelle, ça peut être utile pour les kévins qui ne savent pas gérer leurs mdp. Mais de manière obligatoire, je range ça avec mes mdp et donc ça ne me fait gagner aucune sécurité.
Ca m'en fait même plutôt perdre, car typiquement un service qui utilise le 2FA va considérer que, une fois le 2FA passé avec succès, l'utilisateur est garanti légitime. Par exemple avec le 2FA Steam fait passer tes transactions (irréversibles) instantanément et silencieusement, alors que sans 2FA tu as une notification e-mail + un délai de 2 semaines pour annuler.


"Ca m'en fait même plutôt perdre, car typiquement un service qui utilise le 2FA va considérer que, une fois le 2FA passé avec succès"

Et ça se passe comment avec ton SEUL mot de passe ?
Une fois qu'il est rentré l'utilisateur est considéré comme légitime

A part le hack dont je fais mention plus haut et qui est fort improbable, la sécurité est bien plus importante avec du 2FA.

Ne t'en déplaise, ce n'est pas parce que ça "te fait perdre du temps" et que "ça ne te plaît pas" que c'est du bullshit.
Le #2087091
skynet a écrit :

NannyFox a écrit :

skynet a écrit :

C'est très bien !
Il faudra par contre améliorer le dispositif :

https://www.phonandroid.com/un-groupe-de-hackers-chinois-a-contourne-lauthentification-en-deux-etapes.html


C'est du bullshit. Que ce soit proposé de manière optionnelle, ça peut être utile pour les kévins qui ne savent pas gérer leurs mdp. Mais de manière obligatoire, je range ça avec mes mdp et donc ça ne me fait gagner aucune sécurité.
Ca m'en fait même plutôt perdre, car typiquement un service qui utilise le 2FA va considérer que, une fois le 2FA passé avec succès, l'utilisateur est garanti légitime. Par exemple avec le 2FA Steam fait passer tes transactions (irréversibles) instantanément et silencieusement, alors que sans 2FA tu as une notification e-mail + un délai de 2 semaines pour annuler.


"Ca m'en fait même plutôt perdre, car typiquement un service qui utilise le 2FA va considérer que, une fois le 2FA passé avec succès"

Et ça se passe comment avec ton SEUL mot de passe ?
Une fois qu'il est rentré l'utilisateur est considéré comme légitime

A part le hack dont je fais mention plus haut et qui est fort improbable, la sécurité est bien plus importante avec du 2FA.

Ne t'en déplaise, ce n'est pas parce que ça "te fait perdre du temps" et que "ça ne te plaît pas" que c'est du bullshit.


J'utilise aussi la double authentification sur tous les services disponibles, Google, Net-C, etc.

Les gens ne se rendent même plus compte que c'est dans leurs intérêts et que ce n'est pas juste pour les embêtés.

La sécurité c'est le mot d'ordre aujourd'hui, tout en haut du cahier des charges.

Je trouve excellente l'initiative de Mozilla.
Le #2087094
ALGDGADLU a écrit :

skynet a écrit :

NannyFox a écrit :

skynet a écrit :

C'est très bien !
Il faudra par contre améliorer le dispositif :

https://www.phonandroid.com/un-groupe-de-hackers-chinois-a-contourne-lauthentification-en-deux-etapes.html


C'est du bullshit. Que ce soit proposé de manière optionnelle, ça peut être utile pour les kévins qui ne savent pas gérer leurs mdp. Mais de manière obligatoire, je range ça avec mes mdp et donc ça ne me fait gagner aucune sécurité.
Ca m'en fait même plutôt perdre, car typiquement un service qui utilise le 2FA va considérer que, une fois le 2FA passé avec succès, l'utilisateur est garanti légitime. Par exemple avec le 2FA Steam fait passer tes transactions (irréversibles) instantanément et silencieusement, alors que sans 2FA tu as une notification e-mail + un délai de 2 semaines pour annuler.


"Ca m'en fait même plutôt perdre, car typiquement un service qui utilise le 2FA va considérer que, une fois le 2FA passé avec succès"

Et ça se passe comment avec ton SEUL mot de passe ?
Une fois qu'il est rentré l'utilisateur est considéré comme légitime

A part le hack dont je fais mention plus haut et qui est fort improbable, la sécurité est bien plus importante avec du 2FA.

Ne t'en déplaise, ce n'est pas parce que ça "te fait perdre du temps" et que "ça ne te plaît pas" que c'est du bullshit.


J'utilise aussi la double authentification sur tous les services disponibles, Google, Net-C, etc.

Les gens ne se rendent même plus compte que c'est dans leurs intérêts et que ce n'est pas juste pour les embêtés.

La sécurité c'est le mot d'ordre aujourd'hui, tout en haut du cahier des charges.

Je trouve excellente l'initiative de Mozilla.


Et c'est dingue d'affirmer le contraire, il y en a qui n'ont peur de rien
Le #2087099
skynet a écrit :

ALGDGADLU a écrit :

skynet a écrit :

NannyFox a écrit :

skynet a écrit :

C'est très bien !
Il faudra par contre améliorer le dispositif :

https://www.phonandroid.com/un-groupe-de-hackers-chinois-a-contourne-lauthentification-en-deux-etapes.html


C'est du bullshit. Que ce soit proposé de manière optionnelle, ça peut être utile pour les kévins qui ne savent pas gérer leurs mdp. Mais de manière obligatoire, je range ça avec mes mdp et donc ça ne me fait gagner aucune sécurité.
Ca m'en fait même plutôt perdre, car typiquement un service qui utilise le 2FA va considérer que, une fois le 2FA passé avec succès, l'utilisateur est garanti légitime. Par exemple avec le 2FA Steam fait passer tes transactions (irréversibles) instantanément et silencieusement, alors que sans 2FA tu as une notification e-mail + un délai de 2 semaines pour annuler.


"Ca m'en fait même plutôt perdre, car typiquement un service qui utilise le 2FA va considérer que, une fois le 2FA passé avec succès"

Et ça se passe comment avec ton SEUL mot de passe ?
Une fois qu'il est rentré l'utilisateur est considéré comme légitime

A part le hack dont je fais mention plus haut et qui est fort improbable, la sécurité est bien plus importante avec du 2FA.

Ne t'en déplaise, ce n'est pas parce que ça "te fait perdre du temps" et que "ça ne te plaît pas" que c'est du bullshit.


J'utilise aussi la double authentification sur tous les services disponibles, Google, Net-C, etc.

Les gens ne se rendent même plus compte que c'est dans leurs intérêts et que ce n'est pas juste pour les embêtés.

La sécurité c'est le mot d'ordre aujourd'hui, tout en haut du cahier des charges.

Je trouve excellente l'initiative de Mozilla.


Et c'est dingue d'affirmer le contraire, il y en a qui n'ont peur de rien


C'est même à ça qu'on les reconnait.
Le #2087107
skynet a écrit :

NannyFox a écrit :

skynet a écrit :

C'est très bien !
Il faudra par contre améliorer le dispositif :

https://www.phonandroid.com/un-groupe-de-hackers-chinois-a-contourne-lauthentification-en-deux-etapes.html


C'est du bullshit. Que ce soit proposé de manière optionnelle, ça peut être utile pour les kévins qui ne savent pas gérer leurs mdp. Mais de manière obligatoire, je range ça avec mes mdp et donc ça ne me fait gagner aucune sécurité.
Ca m'en fait même plutôt perdre, car typiquement un service qui utilise le 2FA va considérer que, une fois le 2FA passé avec succès, l'utilisateur est garanti légitime. Par exemple avec le 2FA Steam fait passer tes transactions (irréversibles) instantanément et silencieusement, alors que sans 2FA tu as une notification e-mail + un délai de 2 semaines pour annuler.


"Ca m'en fait même plutôt perdre, car typiquement un service qui utilise le 2FA va considérer que, une fois le 2FA passé avec succès"

Et ça se passe comment avec ton SEUL mot de passe ?
Une fois qu'il est rentré l'utilisateur est considéré comme légitime

A part le hack dont je fais mention plus haut et qui est fort improbable, la sécurité est bien plus importante avec du 2FA.

Ne t'en déplaise, ce n'est pas parce que ça "te fait perdre du temps" et que "ça ne te plaît pas" que c'est du bullshit.


"Et ça se passe comment avec ton SEUL mot de passe ?
Une fois qu'il est rentré l'utilisateur est considéré comme légitime"

Relis mon commentaire en entier, un exemple illustratif (et qui montre que l'affirmation dans ta 2e ligne est fausse) est dedans
Le #2087119
NannyFox a écrit :

skynet a écrit :

NannyFox a écrit :

skynet a écrit :

C'est très bien !
Il faudra par contre améliorer le dispositif :

https://www.phonandroid.com/un-groupe-de-hackers-chinois-a-contourne-lauthentification-en-deux-etapes.html


C'est du bullshit. Que ce soit proposé de manière optionnelle, ça peut être utile pour les kévins qui ne savent pas gérer leurs mdp. Mais de manière obligatoire, je range ça avec mes mdp et donc ça ne me fait gagner aucune sécurité.
Ca m'en fait même plutôt perdre, car typiquement un service qui utilise le 2FA va considérer que, une fois le 2FA passé avec succès, l'utilisateur est garanti légitime. Par exemple avec le 2FA Steam fait passer tes transactions (irréversibles) instantanément et silencieusement, alors que sans 2FA tu as une notification e-mail + un délai de 2 semaines pour annuler.


"Ca m'en fait même plutôt perdre, car typiquement un service qui utilise le 2FA va considérer que, une fois le 2FA passé avec succès"

Et ça se passe comment avec ton SEUL mot de passe ?
Une fois qu'il est rentré l'utilisateur est considéré comme légitime

A part le hack dont je fais mention plus haut et qui est fort improbable, la sécurité est bien plus importante avec du 2FA.

Ne t'en déplaise, ce n'est pas parce que ça "te fait perdre du temps" et que "ça ne te plaît pas" que c'est du bullshit.


"Et ça se passe comment avec ton SEUL mot de passe ?
Une fois qu'il est rentré l'utilisateur est considéré comme légitime"

Relis mon commentaire en entier, un exemple illustratif (et qui montre que l'affirmation dans ta 2e ligne est fausse) est dedans


Ça ne nous montre rien du tous, si ce n'est une mauvaise expérience avec Steam(usine à gaz).

Je préfère 2FA ou MFA de loin, entre le simple mot de passe à rentré et le simple mot de passe + code de vérification, il y a des systèmes qui ajoute un ou plusieurs facteurs de sécurité en plus.

Cesse donc de dire des bêtises, Google qui travail sur ces services depuis moultes années et sa clé Titan pour juste nous embêter sans avoir de réels bénéfices pour la sécurité de l'utilisateur final ?

Je ne sais quoi dire tellement je suis en pls devant de telles propos.


Sources comme quoi c'est bien mieux pour la
sécurité que 2FA ou MFA, ou c'est juste une
invention d'Emi Magique ?(source quand même elle est rigolote)
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme