Double authentification - Suis-je le seul ?

[Mic13710]

Bonjour à tous,

Je viens de découvrir un bug très troublant et je dirais très inquiétant sur mon 214+ sous DSM 6.1.3-15152 Update 4.

J'ai mis en place depuis peu de temps la double authentification sur les comptes administrateurs. Cette double authentification se faisait à l'aide de FreeOTP jusqu'à ce matin, mais comme j'utilise Keepass pour la gestion de mes mots de passe et que j'ai vu qu'il y avait un greffon KeeOTP qui fonctionne aussi très bien, j'ai basculé ma double authentification sur KeeOTP pour tout avoir sous le même toit, ce qui m'évite d'aller consulter mon smartphone pour avoir le code. Cette opération n'a aucune incidence sur ce qui va suivre.

Ce NAS a deux comptes administrateurs que je vais appeler A et B.

Jusqu'à aujourd'hui j'utilisais un seul compte, le A, et tout fonctionnait bien. La double authentification FreeOTP ou KeeOTP ne pose pas de problème.

Mais voilà, j'ai voulu accéder à mon deuxième compte Administrateur (le B). Après avoir rentré son login et mdp, le NAS m'a orienté vers la mise en place de la double authentification. Normal. Je suis la procédure, et la vérification du code est validée ce qui signifie que la double authentification est fonctionnelle. Une fois le code en place, j'ai enfin accès au compte. Là encore, normal.

Je déconnecte le compte (B) puis je tente de m'y reconnecter, et c'est là que ça se gâte.

La première étape (compte et mdp) se passe normalement. Mais après, impossible de faire accepter mon code d'authentification pour ce compte. Code erroné !

Et puis j'ai tenté un truc de fou : mettre le code d'authentification du compte A et là, miracle ou plutôt incompréhension : DSM s'ouvre, mais pas sur le compte B mais sur le A !

Autrement dit, le compte A a été ouvert en utilisant les login et mdp du compte B.

Il semble donc qu'une fois la première étape passée, le NAS ne considère plus que la validation avec le code d'authentification et se connecte sur le compte dont le code est valide.

Si on peut se connecter à un compte avec les login et mdp d'un autre compte, il y a bien évidemment un ENORME problème de cloisonnement et donc de sécurité.

Vous vous doutez bien que j'ai fait plusieurs essais, avec FreeOTP, KeeOTP ou les deux (un sur chaque compte) et le résultat est toujours le même : le seul code reconnu par le NAS est celui du premier compte paramétré avec la double authentification. Le deuxième est inconnu. Inutile de préciser que le code de secours à 8 chiffres envoyé sur ma boite mail produit exactement le même effet.

J'ai donc deux bugs sur mon NAS : impossibilité de faire fonctionner plusieurs double authentifications, et connexion à un compte avec les login et mdp d'un autre compte. Et bien entendu, l'impossibilité de me connecter aux comptes dont la double authentification ne fonctionne pas. Ca fait beaucoup pour un système sensé être sécurisé.

Est-ce que je suis le seul ?

Edit :

Complément d'info : dans le centre des journaux, à chaque tentative de connexion au compte B, l'erreur sur la double authentification est indiquée sur le compte A. Comprend qui peut.

[Einsteinium]

Sympa le bug, mais je tenterais pas de le reproduire 

Bon pas vraiment un problème de sécurité non plus, car il faut connaître la clé pour avoir les codes.

[Mic13710]

Tu ne risques rien d'essayer. Au pire, tu as toujours le code initial et aussi le code par mail.

J'ai créé un troisième compte histoire de bien être sûr et c'est pareil.

Il y a 2 heures, Einsteinium a dit :

Bon pas vraiment un problème de sécurité non plus, car il faut connaître la clé pour avoir les codes.

C'est sûr, mais enfin, arriver à se connecter sur un compte avec les login d'un autre, ça je ne l'avais encore jamais vu.

Ce qui est inscrit dans le centre des journaux m'incite à penser qu'une fois logué sur un compte admin, le NAS bascule sur le compte A. Sinon, le message serait incompréhensible. Pourquoi ? C'est toute la question.

J'ai ouvert un ticket chez Syno. On verra bien.

[Fenrir]

Pas de pb chez moi, mais je pense savoir ce qui t'es arrivé => autocompletion

1. compteB
2. passB
3. token B => erreur (peut être expiré)
4. le formulaire se recharge et l'autocompletion entre loginA+passA "en tâche de fond"
5. => le token de A fonctionne et on est logué en A

 

[Mic13710]

Il y a 3 heures, Fenrir a dit :

token B => erreur (peut être expiré)

Sauf que l'erreur de connexion enregistrée dans le journal est sur le compte A alors qu'elle devrait-être sur le B.

Mais ton idée m'a fait réfléchir.

J'ai arrêté Keepass et rentré le login manuellement. J'ai demandé un code par e-mail et là aucun pb, j'accède au compte B.

Même manip, mais cette fois je démarre Keepass juste après le login en manuel pour récupérer le code KeeOTP et là encore, j'accède bien au compte B.

J'en conclus donc que c'est Keepass qui bug. Apparemment il inscrit le login du compte B mais utilise le login du compte A. Même si ça me rassure que ce ne soit pas un problème de DSM, je ne comprends pas comment ça peut se faire.

J'avais peut-être créé la fiche Keepass du compte B en partant d'une copie du compte A. Aussi j'ai supprimé la fiche et je l'ai recréé : même résultat si j'ouvre le compte B avec Keepass en service. Il se fait tard et je ne vois pas où chercher. Je reprendrai demain.

[Fenrir]

il y a 35 minutes, Mic13710 a dit :

Apparemment il inscrit le login du compte B mais utilise le login du compte A

Je pense plutôt que c'est le formulaire du syno qui est mal foutu, lors de la demande OTP, il semble recharger les champs login et le password sans les afficher, l'autocompletion les remplis même s'ils sont cachés.

En tout cas je n'ai pas réussi à reproduire le pb en coupant l'autocompletion.

Il faudrait tracer les entêtes envoyés pour en avoir le cœur net ...

 

[Mic13710]

Bon, une fois de plus grâce à toi Fenrir j'ai résolu mon problème.

C'était effectivement un problème d'autocomplétion avec des connexions à double authentification. Merci de m'avoir mis sur la voie.

J'ai tout essayé ce matin : supprimer KeeOTP de Keepass, supprimer le champ de chaine de caractère KPRPC JSON pour KeeFox, pas mal d'autres trucs, sans résultat. Lorsque Keepass et Keefox étaient actifs, le login se faisait systématiquement sur le compte A.

A noter que ce comportement n'existe que si la double authentification du compte B a été validée dans le NAS car si elle ne l'est pas, alors j'arrive à m'y connecter. C'est une histoire de fou, mais il semble clair que la double authentification perturbe le fonctionnement de KeeFox.

En cas d'entrées multiples et le remplissage auto activée, si je choisi une entrée à double authentification (B) autre que l'entrée auto remplie (A dans mon cas), les champs se remplissent bien avec les infos stockées dans Keepass ce qui indique que le choix est pris en compte, mais au final c'est systématiquement l'auto remplie (A) qui s'ouvre.

A mon avis KeeFox envoie bien le login du compte sélectionné (B), mais pour une raison inconnue bloque à un moment sur la page de la double authentification et relance le login, cette fois sur le compte auto rempli (le A).

J'ai supprimé le remplissage auto dans les options Keefox (onglet Remplissage des entrées) et là, plus de problème. Chaque compte fonctionne normalement.

Il est possible que le bug soit apparu dans la dernière mise à jour du greffon KeepassRPC que j'ai installée hier. Mais comme je n'ai activé le compte B qu'après la mise à jour du greffon, je suis incapable de confirmer. Il se peut que le dysfonctionnement soit plus ancien.

Bref, DSM n'est pas en cause, c'est KeeFox qui n'aime pas la double authentification. Beaucoup de bruit pour rien donc.

Du coup, j'en ai profité pour mettre en place ma double authentification à la fois sur KeeOTP (avec la clé privée en base32) et FreeOTP (à partir du code QR correspondant) de manière à pouvoir récupérer le code sur plusieurs supports. Et ça fonctionne au poil.

[Einsteinium]

Après c’est le genre de pass qui ne se sauvegarde pas, seul ceux des sites générale génère par safari j’enregistre dans le trousseau, le reste que le nas, Apple, mail et consort, c’est dans ma tête.

[Mic13710]

il y a 35 minutes, Einsteinium a dit :

Après c’est le genre de pass qui ne se sauvegarde pas

J'ai une mémoire de poisson rouge

Sans blaguer, avec Keepass tu peux faire des mdp forts, tu n'as pas besoin de les retenir et ils se remplissent automatiquement avec KeeFox. Avec un mdp dans la tête, il faut se le taper à chaque fois et comme je suis un fainéant, je pèterais un câble avant la fin. Donc pour moi, y'a pas photo.

[Einsteinium]

Faut utilisé des systèmes mémo technique pour s’en souvenir ^^

Je fais pas trop confiance, en cas de faille... outch 

[Fenrir]

Les systèmes mnémotechniques ont aussi leurs limites, pour 10 ou 20 trucs ça va, mais au bout d'un moment le modèle atteint ses limites (ou les nôtres).

Chez moi comme au travail, c'est keepass (chiffrement en ChaCha20 avec mdp fort+certificat) + un autre truc parmi :

• quelque chose que je retiens
• OTP
• token matériel (en ce moment je fais joujou avec une Yubikey)

[Mic13710]

Et puis il faut aussi se souvenir quel mdp va avec quel système. La galère.

il y a 29 minutes, Fenrir a dit :

token matériel (en ce moment je fais joujou avec une Yubikey)

C'est pas un peu geek parano ?

[Einsteinium]

Nan mais ceux important que je retiens, cela ce compte sur une main hein 

Fait pas que la yubi lache, sinon dans la merde x)

[Fenrir]

C'est plutôt dans une optique "paresse", pas envi de sortir de tel pour recopier l'otp (j'ai toujours mes clefs sur moi, mon gsm c'est moins vrai)

On peut faire plein d'autres trucs avec, mais pour le moment je ne l'ai déclaré que sur quelques sites en U2F Fido => on me demande la clef à la place de l'otp

Il est recommandé d'en avoir 2 => mais pas envi  donc je m'en sers uniquement sur les trucs permettent une méthode alternative, par exemple github me demande l'OTP ou la clef, c'est au choix.

[Einsteinium]

Ouai donc sa va, moi je m’y suis mis aussi, j’utilise Authy, le gros plus c’est l’avoir sur la watch.

[StéphanH]

Il y a 3 heures, Einsteinium a dit :

Ouai donc sa va, moi je m’y suis mis aussi, j’utilise Authy, le gros plus c’est l’avoir sur la watch.

pareil.

par contre, ..., et j'en ai parlé plus haut, ..., ce n'est pas une "machine" que l'on peut faire reconnaître comme machine de confiance, mais une App (en tout cas sur iOS). J'ai dû déclarer comme machine de confiance Safari (accès DSM), DSFile, DSAudio, DSVideo ... et sincèrement, je trouve dommage qu'on ne puisse pas choisir quel paquet doit faire l'objet de la double authentification (je ne vois pas l'intérêt de protéger un accès DS Audio par exemple)

[Fenrir]

L'avantage d'authy c'est que qu'il comble l’ignorance de certains utilisateurs qui ne savent pas qu'ils peuvent utiliser le QR code sur plusieurs apps/devices (ils pensent que ça ne marche que sur un seul appareil  => c'est faux). L'inconvénient pour moi, c'est que pour faire ça, l'appli enregistre les hash OTP en ligne (c'est chiffré, mais seulement protégé par ... un mot de passe).

Sinon, vous qui vous en servez, ça permet autre chose que du 2FA en TOTP ?. Je n'ai rien vu sur leur site. Je suis en mode veille techno sur tous ces trucs en ce moment (d'où mes tests avec la yubikey).

• token :
  • rsa : pas pratique, trop compliqué pour la plupart de gens, pas donné et compatible avec rien (hors cadre pro et encore)
  • yubikey : nettement moins cher, permet bcp de choses (OTP, U2F, PGP, ...) et très répandu
  • nitrokey : similaire à yubikey, open source, par contre écosystème moins développé mais permet quelques trucs en plus (stockage par exemple)
  • (j'ai testé plein d'autre token, mais soit très cher, soit peu pratique, soit ... => les 2 précédents sortent du lot)
• softs :
  • xOTP : standard, très simple d'utilisation, gratuit, compatible avec plein de sites, mais rarement avec les logiciels ou OS
  • certificats : trop contraignant pour les utilisateurs et compatible avec rien (hors cadre pro et encore)
• SMS/tel : vaste fumisterie, non sécurisé, pas fiable, nécessite un abonnement, besoin de capter, attaché au n° de tel, intrusif, ...
• biométrie : trop compliqué juridiquement, trop cher, pas pratique, compatible avec rien ou presque et du point de vue sécurité, c'est du vent (y compris avec un iphone X)

=>pour le moment nitrokey/yubikey sont les 2 meilleurs solutions que j'ai trouvé, le seul problème c'est qu'il faut un "truc" en plus (pc, smartphone, ....) pour l'otp, mais pour l'U2F, les certificats, le gpg, ... c'est top.

ps : pour l'U2F dans firefox ce n'est pas encore natif mais il y a un plugin qui marche très bien