Bonjour à toutes et à toutes et plus spécialement à la Team OVH :
C'est le POMPON - la Mise en Service du 2FA m'est imposée
C'était déjà le BORDEL, où sur un PC :
Il faut toutes les 2 heures se connecter à nouveau et cliquer deux ou trois fois sur se connecter.
Le 2FA sur mon compte OVH dédié à ce forum, je n'en n'ai rien à faire !
Pour moi l'accès à ce maudit forum s'alourdit de jour en jour.
- Sur un PC, il faut aller chercher dans sa messagerie ce fameux "Code confidentiel: xxx (valable 15min)",
- Sur un Smartphone, c'est encore plus la galère car je n'ai pas de souris pour sélectionner ce foutu code.
100782 
26.01.2022 14:11
Heu ? Tu es sûr ?
Justement de mon côté, sur un compte sans grande importance, ce matin OVH m'a forcé un challenge par e-mail, ce que je n'ai pas demandé et pour lequel il n'y a aucune alternative, et puis l'"invitation" à installer 2FA où j'ai pu répondre "une autre fois peut-être".
Mais 2FA n'a pas été imposé.
Bonjour@ Gaston et @fritz2cat 🇧🇪 🇪🇺
Alors à l'instant en me connectant au forum il m'a été demandé un code de confidentialité reçu par mail.
Je n'ai pas non plus déclenché le 2FA.
Alors si il faut en plus obtenir un code quand on se connecte au forum...
Merci@fritz2cat 🇧🇪 🇪🇺 pour ta réponse rapide.
Via le manager OVH, quand je vais sur mon compte , il faut que j'aille chercher ce fameux "Code confidentiel: xxx (valable 15min)" . Pourtant je n'ai jamais activé la double authentification.
Compte > Sécurité
J'ai bien : Activer la double authentification.
Donc, elle devrait pas être active.
Bonjour,
le code par mail c'est pas vraiment de la 2FA/MFA, c'est plus un code de contrôle/sécurité déclenché par une protection OVH sur les compte qui justement n'ont pas de 2FA.
En théorie cela peut réduire le nombre de compte piraté.
Cordialement, janus57
Très bien, ça.
Mais OVH a encore une fois fait un développement de coin de table sans penser aux conséquences.
Comment l'utilisateur qui n'a plus accès à cette boîte mail peut-il s'en sortir ?
Alors que OVH possède dans ses fichiers le n° de téléphone du client, serait-ce trop compliqué d'offrir la possibilité d'envoyer un SMS ou un message vocal ??? (rappel: OVH est aussi un opérateur de téléphonie)
Je crois qu'ils sont parfois un peu maso chez OVH et qu'ils adorent créer des incidents dont on pourrait se passer.
Bonjour,
Je pense surtout que c'est un problème d'€, par un mail c'est gratuit, le SMS, ils doivent le payer et surtout, ils ont également 0 garantie que la personne a bien renseigné un numéro de portable et/ou un numéro correct voir que le SMS arrive à destination.
En théorie un client doit garder ces renseignements à jour, du coup, ce système y participe de manière indirecte.
Cordialement, janus57
Démonstration dans https://community.ovhcloud.com/community/fr/comment-recuperer-mon-compte-ovh?id=community_question&sys_id=fdd843dc4c5c7210f0788abdd2455abe
Bonjour,
Pas réellement une démonstration vu qu'un process existe pour reprendre la main sur le compte (certes manuel, mais il existe).
Cela me confirme juste que certains laissent leur compte client à l'abandon, la même chose pourrait se produire avec leur compte pour gérer leur électricité / eau / internet ou tout autre service numériques.
Cordialement, janus57
Bonjour@janus57
le code par mail c'est pas vraiment de la 2FA/MFA, c'est plus un code de contrôle/sécurité déclenché par une protection OVH sur les compte qui justement n'ont pas de 2FA.
Pour moi, c'est le même bazar : obligé de passer par la case messagerie pour valider un code.
Et pourquoi, sur mes autres comptes OVH, dans lesquels je n'ai toujours pas activé le 2FA, je n'ai pas à aller chercher ma messagerie ce fameux "Code confidentiel: xxx (valable 15min)" ? ? ?
Y aurait-il une super sécurité poussée pour les comptes OVH uniquement dédiés à ce Forum ?
Malheureusement je ne vois pas comment IVH pourrais faire ce genre d'évolution.
Les comptes insuffisamment protégé doivent leur coûter cher en administratif.
>Je pense surtout que c'est un problème d'€, par un mail c'est gratuit, le SMS, ils doivent le payer
Et les prix pour les petits acteurs sont assez hallucinant. J'ai regardé il y a quelques mois pour l'ajouter sur une interface d'admin, et clairement j'ai choisi le mail pour la validation.
Bonjour,
Ce n’est pas si cher que ça non plus, j'ai trouvé un presta (non FR) qui me fait les SMS à partir de 0.08€/SMS (plus tu as de texte dedans plus tu payes).
Là actuellement on paye 0.11€/SMS (SMS d'alertes de monitoring), ce qui est OK vu qu'on n’en envoie pas chaque jour (heureusement).
Là ou chez OVH, cela va se compter sans doute en centaines/milliers € par jours.
Mais il viendra un jour ou OVH va forcer les clients à activer la vraie 2FA/MFA de force comme certains providers cloud ont déjà commencé à le faire tellement le nombre d'attaques par phishing devient récurrent et réussissent de plus en plus.
Surtout que bon il faut l'avouer, on est en 2025 et faire du 2FA/MFA est bien plus facile, car il existe énormément de solutions.
Solutions purement logiciels :
- Aegis Authenticator : https://play.google.com/store/apps/details?id=com.beemdevelopment.aegis
- 2FA Authenticator (2FAS) : https://play.google.com/store/apps/details?id=com.twofasapp (ou https://apps.apple.com/fr/app/2fa-authenticator-2fas/id1217793794)
Solutions hybrides (token physique et logiciel) :
- Yubikey : https://www.yubico.com/la-cle-yubikey/?lang=fr (partie logiciel TOTP : https://www.yubico.com/products/yubico-authenticator/)
- token2 : https://www.token2.eu/shop/category/pin-plus-series (partie logiciel TOTP : https://www.token2.com/site/page/t2f2-totp-authenticator & https://www.token2.eu/site/page/token2-companion-app-user-guide )
Solution hardware pure (juste besoin d'un PC pour le programmer) :
- Token2 : https://www.token2.eu/shop/product/molto-2-v2-multi-profile-totp-programmable-hardware-token
Note : ce sont des exemples ciblés, car ce sont des produits déjà utilisé ou utilisé activement dans mon travail.
Cordialement, janus57