sebsauvage

#sécurité #2FA #TOTP #Microsoft
Vous utilisez du 2FA (TOTP) avec l'application Microsoft Authenticator ?
D'ici juillet 2026 Microsoft vous effacera tous vos codes si vous êtes sur un smartphone rooté (!).
https://www.theregister.com/2026/03/10/microsoft_authenticator_checks/
Microsoft n'a pas précisé si ça devait toucher ou non les smartphones avec des systèmes tels que GrapheneOS.

Donc prenez le temps de tout migrer sous Aegis : https://f-droid.org/fr/packages/com.beemdevelopment.aegis/

Microsoft Authenticator to nuke Entra creds on rooted and jailbroken phones

: Warning, lockout, then wipe if your device trips detection

The Register
Mar 10 at 2:13pmWeb
Show threadDellion 🦔2d ago
@sebsauvage La douille c'est que Microsoft exige Microsoft authenticator pour se connecter à un compte Microsoft 😅
Show thread🏳️‍⚧️ Chloé: IA Vegan2d ago

@thornax @sebsauvage

Quand je bossais, nos comptes étaient gérés par Entra-ID, et j'utilisais Aegis sans problème, quelque soit le service à atteindre.

Show threadDellion 🦔2d ago
@jenesuispersonne @sebsauvage Uniquement pour ENTRA-ID alors ?
Pour la gestion de certains outils, comme la gestion des licences serveurs, Microsoft ne m'a pas laissé le choix
Show thread🏳️‍⚧️ Chloé: IA Vegan2d ago
@thornax @sebsauvage
Possible, je n'ai jamais eu de licences à gérer.
Show threadCBO @ le1712h ago
@jenesuispersonne @thornax @sebsauvage je me connecte à Entra et toutes les bouses de centres d'administration Office365 (y compris la gestion pourrie des licences en volume) avec FreeOTP et Aegis. À l"inscription du 2nd facteur il faut choisir Authenticator puis cliquer sur la toute petite ligne "utiliser une application tierce". Après ça peut aussi être désactivé sur le tenant ou par policy (user/group). C'est un choix, pour l'instant...
Show threadnishiki2d ago

@thornax
@sebsauvage

Je confirme que ce n''est pas obligatoire, faut bien lire quand tu configures le 2fa pour utiliser de l'otp standard

Show threadEragon1d ago
@thornax @sebsauvage J'ai appris qu'il y avait une manip pour utiliser de la TOTP normale. Mais comme j'ai plus de compte chez eux (sauf pour minecraft) je vais pas tester
Show threadggtr11382d ago
@sebsauvage KeePassDX aussi est très bien, avec synchro possible avec d'autres clients Keepass sur PC (exemple KeepassXC). Je l'utilise sur GrapheneOS.
Show threadJBrickelt963 ✊(φ)🚩2d ago
@ggtr1138 @sebsauvage moi jai mis les 2FA sur Aegis pour bien les dissocier de mon gestionnaire MDP Ça limite le risque en cas de compromission de l'un.
Show threadCBO @ le1712h ago
@JBrickelt963 @ggtr1138 @sebsauvage ça c'est pas bête du tout 😎
Show threadChristophe Le Bot2d ago

@sebsauvage J'utilise Aegis depuis longtemps (excellent outil, au passage), mais je n'ai pas réussi à remplacer MS Authenticator dans toutes les situations. Notamment quand il faut entrer un code dans Authenticator, plutôt que sur l'app cible.

Ce serait possible ? Si c'est le cas, je fonce !

Show threadsebsauvage2d ago
@clebot
Je n'ai jamais fait mumuse avec celui de Microsoft, mais j'imagine bien qu'ils ont bricolé encore une fois un truc à eux au lieu d'utiliser les RFC (TOTP/HOTP).
Show threadChristophe Le Bot2d ago
@sebsauvage Oui, je pense ça aussi 😁
Show threadMichkineflo2d ago
@sebsauvage @clebot Probable car j'essaye de m'en débarrasser et il n'y a même pas de moyen de faire un export 😥
Show threadsebsauvage2d ago
@Michkineflo
Pouah...
@clebot
Show threadCBO @ le1712h ago
@clebot @sebsauvage https://piaille.fr/@cbo_rcm_le17/116217538341008792
CBO @ le17 (@cbo_rcm_le17@piaille.fr)

@jenesuispersonne @thornax@techhub.social @sebsauvage@framapiaf.org je me connecte à Entra et toutes les bouses de centres d'administration Office365 (y compris la gestion pourrie des licences en volume) avec FreeOTP et Aegis. À l"inscription du 2nd facteur il faut choisir Authenticator puis cliquer sur la toute petite ligne "utiliser une application tierce". Après ça peut aussi être désactivé sur le tenant ou par policy (user/group). C'est un choix, pour l'instant...

Piaille
Show threadEri Mas2d ago
@sebsauvage Bah, d'ici à ce que la détection du root soit foireuse et que la suppression ait lieu même sur un tél non rooté, il n'y a pas des kilomètres, c'est Microsoft, tout de même...
Au pire, certains clients devront me réembarquer.
Show threadTrev0r   🇵🇸2d ago
@sebsauvage bitwarden gère les mots de passe et le 2FA et en plus sur PC tu as 1 raccourci qui te rempli automatiquement tes champs et te copie le code TOTP ds le presse papier, du coup qd t'arrives sur le champ 1 p'tt ctrl-V et c fait (fonctionnement similaire à d'autres gestionnaires de mot de passe, j'espère)
Show threadJBrickelt963 ✊(φ)🚩2d ago
@Trev0r07 @sebsauvage j'ai vu passé récemment une étude qui montrait les failles de sécu sur les gestionnaires dans je cloud. Rien de compromis heureusement mais je préfère le local comme KeePassDX (et XC sur PC)
Show threadTrev0r   🇵🇸1d ago
@JBrickelt963 @sebsauvage à priori, il n'y a pas eu effectivement de compromission, j'auto-héberge VaultWarden (Bitwarden ré-écrit en rust) et j'aime bien. À contrario, je n'ai pas aimé KeePassDX (synchro laborieuse, UI à vomir), ms ceci n'est qu'affaire de goût personnel
Show threadJBrickelt963 ✊(φ)🚩1d ago
@Trev0r07 @sebsauvage c'est sûr moi je préfère transférer moi même les mot de passe de temps en temps donc keepass me convient parfaitement mais je comprend.
Show threadmoonlight_seashell2d ago
@sebsauvage c'est quoi leur probleme avec le root ?
faut aller consulter a un moment ...
Show threadsebsauvage2d ago
@moonlight_seashell
Le root c'est encore un truc de hacker. Et dans leur tête "hacker=pirate". Donc "pas bien".