Changer l'adresse email devrait normalement envoyer une confirmation sur l'ancienne.

[DevHugo]

Bonjour,

Pour des raisons de sécurité, changer son adresse email devrait envoyé une confirmation du changement d'adresse sur l'ancienne.

Le flow devrait être:

• Je change mon mot de passe dans le formulaire
• Un email est envoyé sur mon ancienne adresse avec un lien pour confirmer
• Je clique sur le lien pour confirmer le changement.
• Le changement est effectué.

[SpaceFox]

Je suis d'accord, mais il faut prévoir le cas où on veut changer d'adresse email parce qu'on a justement plus accès à l'ancienne.

Le 6 août 2016 6:43 PM, "Hugo Courtecuisse" notifications@github.com a écrit :

Bonjour,

Pour des raisons de sécurité, changer son adresse email devrait envoyé une confirmation du changement d'adresse sur l'ancienne.

Le flow devrait être:

• Je change mon mot de passe dans le formulaire
• Un email est envoyé sur mon ancienne adresse avec un lien pour confirmer
• Je clique sur le lien pour confirmer le changement.
• Le changement est effectué.

— You are receiving this because you are subscribed to this thread. Reply to this email directly, view it on GitHub https://github.com/zestedesavoir/zds-site/issues/3766, or mute the thread https://github.com/notifications/unsubscribe-auth/AFhKnKliTXc21oSY5KI_CRx3hDpbUjcyks5qdLmqgaJpZM4JeUPI .

[GerardPaligot]

La remarque de @SpaceFox est pertinente et implique donc de proposer une alternative pour s'identifier comme une question secrète.

Sincèrement, je suis moyen chaud. :)

[DevHugo]

Ce qui être encore mieux et qui résout le souci soulevé au-dessus:

• Je change mon mot de passe dans le formulaire
• Un email m'informant qu'un changement d'email a été effectué sur l'ancien email est envoyé avec un bouton "c'était pas moi" qui renvoi sur une page. Cette page permet de revert le changement d'email et qui propose de changer le mot de passe.

[vhf]

Je suis pour ne rien changer sur ce point.

Un compte compromis par mot de passe, ça peut arriver. Une adresse email compromise aussi. La proposition ici ne résout rien à mon avis.

D'une part les questions secrètes sont généralement soit très compliquées soit très vulnérables. Je connais beaucoup plus de cas où ça a été le vecteur d'une attaque réussie que de cas où ça a permis à quelqu'un de récupérer son compte. Si on a des questions prédéfinies, c'est trop dangereux. Si on a des questions libres, il faut se souvenir de la question exacte au caractère près et de la réponse exacte, ce qui est tellement difficile que les gens l'écrivent et donc ça diminue la sécurité.

D'autre part si mon email est compromis et que j'en perds l'accès, mon réflex va être de changer d'adresse email sur les services qui l'utilisent le plus vite possible pour éviter que mon email permette de récupérer mes comptes (typiquement mon compte ZdS). Du coup si en changeant l'adresse email l'attaquant reçoit un email lui permettant d'annuler ce changement, ça l'informe que j'ai un compte ZdS et ça lui permet d'en gagner l'accès sans que je ne puisse y faire quoi que ce soit.

Le remède à ce dernier point est une "double signature" où le changement doit être validé sur l'ancien email et le nouvel email, ce qui rend tout changement impossible dans le cas légitime où je veux changer d'adresse parce que l'ancienne n'est plus valide.

En résumé, y'a pas de bonne solution à part 2FA. Si quelqu'un veut mettre en place une solution 2FA à base de Google Authenticator ou autre, avec une option dans le profile qui force la validation 2FA d'un changement d'email, je suis pas contre. Mais c'est beaucoup de boulot pour pas grand chose en l'état.

[GerardPaligot]

Je suis 100% d'accord avec @vhf !

(Et c'est assez rare pour le signaler par un message :D)

[DevHugo]

TLDR: Tu perd en sécurité dans un cas qui a très peu de chance de se produire, la perte complète de ton email et que tu aurais été plus rapide pour changer ton email et mot de passe. Par-contre dans le cas, de la perte partielle du compte email, le cas courant, on gagne en sécurité. Gain de sécurité pour le cas ou tu perd que ton compte zeste de savoir. Qui est le cas, le plus probable. Je suis pas contre la double signature, mais c'est autre débat.

Un compte compromis par mot de passe, ça peut arriver. Une adresse email compromise aussi. La proposition ici ne résout rien à mon avis.

Si tu as compromis les deux, ton compte zeste de savoir et ton compte email, tu es mort sauf dans un cas. Si tu commence par changer ton mot de passe zeste de savoir, le pirate demande une ré-initialisation de mot de passe. Il change le mot de passe puis ton email, tu perd le compte. Si tu commence par changer ton mot de passe de ton mail, tu perd aussi car il peut changer l'adresse email de ton compte Zeste de Savoir.

Le cas est que tu perde complètement ton email et que tu soit plus rapide que lui pour changer ton mot de passe zeste de savoir et ton email. Généralement, quand tu te rend compte que quelqu'un à ton mot de passe, il est généralement trop tard.

Par-contre, si tu perd, que partiellement ton compte email avec ma proposition, tu gagne en sécurité car tu peux plus perdre ton compte zeste de savoir.

D'autre part si mon email est compromis et que j'en perds l'accès, mon reflex va être de changer d'adresse email sur les services qui l'utilisent le plus vite possible pour éviter que mon email permette de récupérer mes comptes (typiquement mon compte ZdS).

Si l'attaquant n'a pas ton mot de passe zeste de savoir, soit tu perd complètement l’accès à ton email soit partiellement. Perdre son compte email complètement est très très rare. Effectivement, y'a moins de sécurité mais c'est pas notre rôle en tant que Zeste de Savoir, de s'occuper de la sécurité d'un compte externe. Si la sécurité du service est bien faite. Tu perdras pas l’accès complet. Par exemple, pour changer de mot de passe, il faut le précédent.

Si tu perdais pas complètement l’accès à ton compte email. Avant, tu pouvais perdre complètement ton compte zeste de savoir, ré-initialisation du mot de passe zeste de savoir puis changement d'email de ton compte zeste de savoir par le pirate,.

Avec ma proposition, il est impossible que tu perde ton compte zeste de savoir ! T'y gagne !

Mais y'a encore un autre cas:

• l'attaquant à ton mot de passe zeste de savoir mais pas ton email, aujourd'hui tu perd ton compte car l'attaquant peut changer ton email. Avec ma proposition, tu peux plus perdre ton compte. T'y gagne en sécurité.

Le remède à ce dernier point est une "double signature" où le changement doit être validé sur l'ancien email et le nouvel email, ce qui rend tout changement impossible dans le cas légitime où je veux changer d'adresse parce que l'ancienne n'est plus valide.

C'est complètement autre chose. C'est un type différent de sécurité. Les deux sont pas incompatible, c'est complètement un autre débat.

En gros, tu perd en sécurité, dans un cas qui arrive pas, perte de ton email complètement et tu gagne en sécurité dans autant de cas. Tableau récapitulatif :

Cas	Perte de l'email complètement et ou non du mot de passe zeste de savoir et du mot de passe zeste de savoir	Perte de l'email partielle et du mot de passe zeste de savoir	Perte de l'email complètement et pas du mot de passe zeste de savoir	Perte de l'email partielle et pas du mot de passe zeste de savoir	Pas de perte de l'email mais du compte Zeste de Savoir
Avant	Si tu étais plus rapide, pour changer ton mot de passe et ton email, tu pouvais récupérer ton mot de passe. Dans le cas contraire tu perdais ton compte zeste de savoir.	Tu pouvais perdre ton compte, si l'attaquant avait le temps de changer ton email.	Tu étais plus rapide	Tu pouvais perdre ton compte, si l'attaquant avait le temps de changer ton email.	Tu perdais ton compte
Après	Rapide ou pas, tu perd ton compte	Tu peux plus perdre ton compte, que tu soit rapide ou pas.	Rapide ou pas, tu perd ton compte	Tu peux plus perdre ton compte, que tu soit rapide ou pas.	Tu peux plus perdre ton compte
Conclusion	Perte de sécurité dans le cas ou tu étais plus rapide avec ma proposition	Gain de sécurité	Perte de sécurité dans le cas ou tu étais plus rapide avec ma proposition	Gain de sécurité	Gain de sécurité

Facebook quand tu veux changer ton mot de passe ou ton email, il t'envoi un email. Ça doit être pareil pour tous les autres: je crois savoir que google le fait pour les emails secondaire, pour un changement de mot de passe, c'est sur.

[gustavi]

Je pense qu'on va trop loin là. Un simple mail sur l'ancienne adresse « Votre adresse mail a été changée, si ce n'est pas vous merci de vous connecter+changer de mdp+changer de mail/nous contacter en cas de problème bla bla bla » (<- en plus travaillé et plus joli) suffit.