OVH Community, votre nouvel espace communautaire.

Double authentification et support incapable (saison 2)


l3dlp
20/11/2015, 16h34
Bonjour MaikoB,

Il m'arrive le même cas de figure que dans ce post : "j'ai fait un changement de numéro (renouvellement free et donc immédiat), j'ai zappé la double authentification du site web d'ovh"

Tenté d'avoir le support au 1007 sans succès
Et vous semblez avoir résolu le précédent cas.
Est-ce que vous pourriez me donner un coup de main ? J'ai tout le reste (identifiant, mot de passe, listing des comptes rattachés etc...)

Merci d'avance !!

Cordialement,

2072
29/10/2015, 23h18
Merci ça fonctionne :-) J'ai pu correctement reconfigurer la double authentification.

Oles
28/10/2015, 19h49
Fixé pour toi et on va fixer définitivement.
- EngineENGINE-2521 2FA killerCode

Conditions:
Add a killerCode on a 2FA
A valid 2FA code permits to regen the associated killerCode
The killerCode permits to disable the 2FA
If someone login with its killerCode, the 2FA associated is disabled.
No killerCode for staticCode (doesn't make sense...)

Solution:
=> add 2FA is a DF
=> del 2FA is a DF
=> killerCode can also be used to del 2FA without an other 2FA
=> regenKillerCodeForThis2FA is a DF

2072
27/10/2015, 23h10
Bonjour,

2,5 mois se sont écoulés et je constate que rien a changé à part que mon ticket a disparu :/

C'est bien triste.

JuGU
13/08/2015, 12h45
Bonjour,

Je reprends en charge le suivi de cette demande. En effet, après avoir utilisé le code OTP pour te connecter, tu ne peux pas disable le TOTP sans renseigner le code TOTP, y compris via les API.

Je te tiens au courant pour le suivi de ta demande.

2072
11/08/2015, 22h54
Et voilà, c'est triste d'en arriver là mais visiblement il n'y a que ça qui fonctionne quand la logique et la patience échouent.

Le support technique d'OVH semble incapable de suivre un raisonnement logique voir même de comprendre le français comme vous allez le découvrir dans ces échanges de tickets.

Je ne sais pas si c'est de l'incompétence ou un manque de formation mais ils ne comprennent rien à la double authentification, à quoi ça sert comment c'est sensé fonctionner, etc... (Ce qui est gênant compte tenu du contexte actuel en sécurité informatique)

Voici donc la retranscription intégral des 11 épisodes du ticket 2015072119030719 (J'ai juste remplacé les noms par des initiales) :

Moi le 21/07:
Bonjour,

J'ai fait un reset de mon téléphone, je peux accéder à mon compte OVH via les codes de sécurités que j'avais pris soins de noter (il m'en reste 8). Mais je ne trouve pas comment reconfigurer l'OTP sur mon "nouveau" téléphone. Dans la page de sécurité je ne peux que désactiver la double authentification ce qui me demande un code OTP que bien sûre je n'ai plus....

Merci de votre réponse,

[JW]
Support le 23/07: (là c'est carrément de l'illettrisme...)
Bonjour,

Veuillez nous excusez pour la réponse tardive.

Pour mettre à jour le mot de passe, veuillez accéder à votre manager V3 >
Administration > Mes paramètres > Restriction d'accès.

Je reste à votre disposition pour toute demande complémentaire.

Cordialement,

[E]

Conseiller WEB

Moi le 23/07:
Bonjour,

Il ne s'agit pas de mettre à jour mon mot de passe mais de reconfigurer
la double authentification sur un autre smartphone.
Ce qu'on ne peut visiblement pas faire depuis l'interface "restriction
d'accès".

J'ai expliqué en détail mon problème ici (sous le pseudo "2072") :

https://forum.ovh.com/showthread.php...l=1#post645747

Cordialement,

[JW]
Support le 24/07: (L'espoir renaît...)
Monsieur [JW],

Votre demande a été remonté auprès d'un administrateur, je reviens vers vous
dans les meilleurs délais.

Je reste à votre disposition pour toute demande complémentaire.

Cordialement,

[E]
Conseiller WEB
Moi le 3/08: (Une bonne semaine plus tard...)
Bonjour,

Vous n'avez toujours pas de nouvelle concernant ce problème ?

Cordialement,

[JW]
Support le 4/08:
Monsieur [JW],

Si vous souhaitez désactiver l'authentification, veuillez nous fournir les
documents justificatifs suivants :

* Copie de carte d'identité
* Justificatif de domicile

Je reste à votre disposition pour toute demande complémentaire.

Cordialement,

[E]
Conseiller WEB



Moi le 4/08: (J'hésite mais je décide de croire encore à l'existence d'un être doué d'intelligence de l'autre coté...)
Bonjour,

Je ne souhaite pas désactiver la double authentification, je souhaite la
reconfigurer sur mon nouveau téléphone car j'ai accès à mon interface de
gestion, il manque juste l'option ou le bouton pour le faire...

Me demander ma carte d'identité n'a pas de sens étant donné que j'ai un
accès total à mon compte en utilisant les codes jetables OTP...
La procédure "carte d'identité etc..." s'applique dans le cas où je n'ai
plus du tout accès à mon compte et sert à éviter qu'un imposteur se face
passer pour moi et en prenne le contrôle...

Dans le cas présent j'ai bien accès à mon compte, je peux tout faire
dessus, y compris générer de nouveaux OTP (en invalidant les existant),
changer le mot de passe et même activer la double authentification par
sms en plus de l'actuelle par smartphone... Vous trouvez ça logique ?

À partir du moment où je me suis identifié en utilisant l'un des codes
de secours (OTP) c'est fini. Je peux tout faire. Bloquer la
reconfiguration et même la désactivation du TOTP par l'utilisateur
depuis son interface de gestion dans ce cas n'a strictement aucun sens
d'un point de vue sécurité.

De plus il est bien stipuler "de bien conserver les OTP car ils
permettent de reconfigurer le TOTP en cas de problème". C'est écrit dans
l'interface, juste en dessous des options TOTP...

Il s'agit donc d'un bug ou d'un défaut d'implémentation.

Ce problème devrait être transmis aux ingénieurs qui ont mis en place le
TOTP.

Merci de remonter ce ticket à l'un de vos responsable si vous êtes
bloqué par une directive car là ça n'a pas de sens.

Cordialement,

[JW]
Support le 05/08: (ça sent bon le copier coller)
Monsieur [JW],

Votre demande est en cours de vérification, je reviens vers vous dans les
meilleurs délais.

Je reste à votre disposition pour toute demande complémentaire.

Cordialement,

[E]
Conseiller WEB
Moi le 10/08: (découvrant mon ticket fermé dans l'interface)
Je me permet de réouvrir ce ticket car il s'affiche comme étant fermé dans l'interface de gestion.
Support le 11/08: (Le cas est clairement désespérer, ça se voit tout de suite au "Monsieur, Madame"...)
Monsieur, Madame,

Suite aux vérifications, vous avez reseter votre téléphone et vous ne disposez
d'aucune information pour le reconfigurer.

La seule solution est de désactiver la double authentification, vous pouvez
après la réactiver puis reconfigurer votre téléphone.

Il faudra nous fournir les justificatifs pour désactiver la double
authentification.

Je reste à votre disposition pour toute demande complémentaire.

Cordialement,

[E]
Conseiller WEB
Moi le 11/08: (essayons autre chose...)
Monsieur, Madame,

> Suite aux vérifications, vous avez reseter votre téléphone et vous ne disposez d'aucune information pour le reconfigurer.
Si, je dispose des codes OTP (One-Time Password) qui me donnent accès à mon compte malgré le reset de mon smatphone... Sauf que votre interface est bugguée et ne prend pas en compte cela et m’empêche de désactiver/reconfigurer le TOTP (Time-based One Time Password) MALGRÉ QUE JE ME SOIS IDENTIFIÉ EN UTILISANT UN CODE DE SECOURS !

Ce que je vous demande c'est de REMONTER CE BUG pour qu'il soit CORRIGÉ.

Donc je ne me plierai pas à vos consignes stupides, je vous ai expliqué en long en large et en travers le problème. Il est hors de question que je cède à l'incapacité du support "technique" d'OVH à suivre un raisonnement logique et à corriger un défaut dans SON système de double authentification.

Comme ce problème ne m'empêche pas d'accéder à mon compte (c'est juste pénible) je continue à me connecter en utilisant les codes OTP (que je peux régénérer à loisir).
Mais la prochaine fois que j'aurai besoin de serveurs où d'autre services qu'OVH pourrait me fournir, j'irai ailleurs, même si c'est plus chère, car si pour un simple problème de logique et de bon sens comme celui là il est impossible d'arriver à une solution, je n'ose imaginer ce que ce sera lorsque j'aurai un vrai problème...

J'arrête donc de "discuter" et m'en vais vous faire de la pub sur votre forum car visiblement ça a fonctionné pour un utilisateur ayant un problème très similaire au mien:
https://forum.ovh.com/showthread.php...thentification [saison 1]

Je suis vraiment triste d'en arriver là mais ma patience à des limites.

Salutations,

[JW]
En faisant ce post je me rend compte du dialogue de sourd et à quel point j'ai perdu mon temps en parlant à cette personne (ou peut-être était-ce une IA ???).

Si des employés d'OVH lettrés et doués du sens de la logique passent par ce forum j'espère qu'il pourront faire corriger ce bug. Si besoin ils peuvent s'inspirer de Gandi.net, de Github et bien sûr de Google qui eux savent gérer correctement la double authentification (Google que je remercie tout particulièrement pour l'indexation à venir de ce post qui, j'ose y croire, fera bouger les choses).

Très cordialement,

JW