|
La sécurité du compte Free me concerne : |
Non, je ne consulte jamais mon webmail en dehors de chez moi |
|
10% |
[ 26 ] |
Non, cela ne me gêne pas si n'importe qui peut connaître mes coordonnées bancaires. |
|
1% |
[ 4 ] |
Non, cela ne me gêne pas qu'on pirate mes pages persos |
|
0% |
[ 0 ] |
Non, cela ne me gêne pas qu'on lise mon webmail et envoie des messages à ma place |
|
0% |
[ 2 ] |
Oui, cela me paraît important, je suis prêt à me mobiliser pour obtenir le protocole sécurisé pour protéger l'accès et la consultation de mon compte. |
|
87% |
[ 228 ] |
|
Votants : 260 |
Total des votes : 260 |
|
Ce sondage n'expire jamais |
|
Posté le: Jeudi 21 Septembre 2006 13:40:23
Aucun numéro de ligne indiqué dans le profil
| |
|
|
free_security (Auteur du topic)
Nouveau
Hors-ligne
Inscrit le : 03 Sep 2006 Messages : 38
Sexe :
Forfait : Freebox Dégroupage Partiel
|
|
|
|
|
|
|
[quote="Aelor"]Personnellement, http ou https, c'est tout aussi facilement récupérable puisqu'en prenant virtuellement la place d'un élément de la chaine entre le serveur de Free et l'abonné, le sniffeur voit la clef transiter.
Et pour mes gens n'ayant pas les moyens, faut déjà savoir interpréter des trames ip, c'est pas à la portée du premier clampin venu.
Alors oui, qu'ils implémentent https, si un mec veut vraiment hacker un compte il y arrivera quand meme, juste un poil plus long.[/quote]
Aelor, effectivement ton avis technique est tout personnel mais surtout extrèmement approximatif.
Je proposes que tu postes ce genre de considérations sur les forums du CERT ou tout autre spécialisé dans la sécurité, tu t'apercevras que le débat sur https versus http n'existe tout simplement pas.
De toute façon, le coeur du problème n'est même pas technique. Comme tu pourras le lire dans les posts de ce topic, il y a un énorme problème de responsabilité personnelle pour tous les utilisateurs de Free à devoir utiliser des moyens non-protégés pour accéder à leurs comptes puisqu'en cas d'utilisation frauduleuse/piratage la responsabilité des utilisateurs de Free est engagée.
Je rappelle que l'accès aux données d'un compte Free permet au pirate de téléphoner dans le monde. C'est l'usager qui se retrouvera avec les factures à payer et à contester (avec l'aide de la hot-line Free à 0.34€ la minute entre autres, cela promet des heures de bonheur assuré).
Le fait de devoir fournir un mot de passe procure une sensation bien trompeuse de sécurité aux utilisateurs alors qu'en réalité pour les banques, juges et consort il s'agit de négligence coupable.
Par ailleurs, sur ce sujet les principaux acteurs d'internet en France (et dans le monde) ont déjà bougé. Il serait grand temps que Free réagisse : Il faut voter et soutenir cette demande auprès de Free.
Cordialement. |
|
|
|
|
Posté le: Mardi 26 Septembre 2006 12:07:07
NRA : VAI69
(Lyon 9eme) V2
Ligne : 1207 m (18 dB)
| |
|
|
tifiloo
Nouveau
Hors-ligne
Inscrit le : 08 Sep 2006 Messages : 15
Sexe :
Ville : Lyon
Forfait : Freebox Dégroupage Total sur ligne inactive (NDI)
|
|
|
|
|
|
|
Bon alors je ne commenterai pas l'ineptie du post d'Aelor sur le HTTP et le HTTPS
C'est pas quand on a entendu une fois le mot clef qu'on est un expert en securité informatique.
En effet le problème posté par free_security est important et je le soutiens a 100%.
J'avoue que je ne comprends pas pourquoi Free ne met pas en place un certificat SSL sur ses sites.
A la rigueur si Free ne veut pas depenser le prix d'un certificat (somme modique au regard des investissement de la FTTH ), mais il existe des moyens de générer des certificats SSL gratuits (donc non certifiés c'est un comble) qui certes generent une alerte dans le navigateurs, mais permettent au moins l'encryption des données avec la fameuse clef d'Aelor
Vive le HTTPS, car sinon qui est responsable en cas de piratage d'un compte ?
Bon débat,
Phil |
|
|
|
|
Posté le: Mercredi 27 Septembre 2006 12:13:23
Numéro présent dans le profil, mais problème de récupération des caractéristiques de la ligne
| |
|
|
lfl_038
Connaisseur
Hors-ligne
Inscrit le : 20 Mai 2005 Messages : 2777
Sexe :
Ville : Le Versoud (38)
Forfait : Freebox Dégroupage Partiel
Freebox : N/A
|
|
|
|
|
|
|
Bonjour,
J'irai completer le post de free_security en signalant que j'ai été victime en 1999 de ce problème.
Heureusement, à l'époque je n'avais qu'un compte accès libre et que le pirate a été gentil, il n'a fait que modifier mes pages perso et se créer un compte sans modifier le mot de passe du compte.
Comment à t'il fait, facile, mon adresse email était sur mon compte principal. Donc une fois le login et mot de passe du compte principal récupéré, il avait la main sur tout le reste.
Lors de l'utilisation du protocole POP pour l'interrogation des mails, toutes les 5 minutes, le login et le mot de passe circule en clair.
La personne avait placé un sniffer (je pense sur le réseau local de mon entreprise) qui récupérait toutes les trames sortant de tous les ports de mon PC.
Ensuite, il lui a suffit de rechercher dans le fichier généré le mot clé pop.Free.fr pour avoir juste après le login et le mot de passe.
Pour les pages Web, facile aussi, toutes les pages sont conservées en cache dans les proxies.
Il suffit de rechercher dans le cache du proxy les mots de passes si vous avez le malheur de consulter votre compte à partir d'une machine placée derrière un proxy, ce qui rappelons le, est obligatoire pour tout FAI (il doit conserver tous les échanges de ses clients pendant 1 an).
Donc si ce n'est pas dans l'intéret de Free de rechercher les mots de passe des ses utilisateurs dans les caches, cela peut vite devenir intéressant pour les concurrents lorsque vous passez par des FAI concurrent pour consulter votre compte Free.
Donc, oui, je demande à Free de mettre en place le https sur la gestion des comptes (ADSL, Accès libre, Forfait) dès lors que la page affiche un mot de passe.
Même si c'est potentiellement possible d'espionner un https (quoique je le pense improbable car c'est ce moyen qui est utilisé pour saisir son numéro de cartes bancaires) c'est quand même beaucoup plus sur qu'un échange http pour qui la page reste en clair dans tous les fichiers caches.
Merci à free_security d'avoir soulevé ce problème. |
|
_________________ 1 client satisfait = 1 client de gagné, 1 client insatisfait = 10 clients de perdus.
_________________
Téléphonie Freebox : voir ma proposition de verrouillage de la ligne téléphonique
Protection de la Freebox contre les surtension : voir mes solutions
Merci à la VieuxGeoBox toujours fidèle depuis 2005.
Freebox : Freebox Révolution (V6) - NRA : DOM38 (Domene) V2 - Ligne : 3394 m (39 dB) |
|
|
|
Posté le: Jeudi 28 Septembre 2006 15:09:09
Aucun numéro de ligne indiqué dans le profil
| |
|
|
free_security a écrit: | Je ne vais pas encore répéter l'intégralité du post.
Ce qui y est dit est précis et exact.
La circulation en clair des mots de passe et informations confidentielles sur internet est une faille majeure pour la sécurité et la confidentialité des données en réseau c'est un fait.
Se poser la question ferait rire n'importe quel personne avertie.
Tout le monde ne peut pas forcément connaitre et il est scandaleux que Free expose ses abonnés grand public de la sorte quand il existe des solutions disponibles gratuitement et à la portée de n'importe quel webmaster. |
Ca y est il vient de decouvrir internet ses défauts et inconvénients, le problème est qu'il ne vois que ça! |
|
|
|
|
Posté le: Vendredi 29 Septembre 2006 14:05:16
Aucun numéro de ligne indiqué dans le profil
| |
|
|
free_security (Auteur du topic)
Nouveau
Hors-ligne
Inscrit le : 03 Sep 2006 Messages : 38
Sexe :
Forfait : Freebox Dégroupage Partiel
|
|
|
|
|
|
|
[quote="Franck57"][quote="free_security"]Je ne vais pas encore répéter l'intégralité du post.
Ce qui y est dit est précis et exact.
La circulation en clair des mots de passe et informations confidentielles sur internet est une faille majeure pour la sécurité et la confidentialité des données en réseau c'est un fait.
Se poser la question ferait rire n'importe quel personne avertie.
Tout le monde ne peut pas forcément connaitre et il est scandaleux que Free expose ses abonnés grand public de la sorte quand il existe des solutions disponibles gratuitement et à la portée de n'importe quel webmaster.[/quote]
Ca y est il vient de decouvrir internet ses défauts et inconvénients, le problème est qu'il ne vois que ça![/quote]
Que dire du commentaire de Franck57 ?
Qu'il est légèrement condescendant ?
Qu'il est honteusement réducteur ?
Sa principale caractéristique est ailleurs : Ce commentaire n'apporte absolument rien à la discussion.
Qu'a à nous dire "Franck57" sur le sujet lui-même ? |
|
|
|
|
Posté le: Vendredi 29 Septembre 2006 22:22:25
NRA : ALF94
(Alfortville) V2
Ligne : 2380 m (35 dB)
| |
|
|
fran.b
Nouveau
Hors-ligne
Inscrit le : 12 Nov 2005 Messages : 39
Sexe :
Ville : Maisons Alfort
Forfait : Freebox Dégroupage Partiel
Freebox : v4b
|
|
|
|
|
|
|
lfl_038 a écrit: | Pour les pages Web, facile aussi, toutes les pages sont conservées en cache dans les proxies.
Il suffit de rechercher dans le cache du proxy les mots de passes si vous avez le malheur de consulter votre compte à partir d'une machine placée derrière un proxy, ce qui rappelons le, est obligatoire pour tout FAI (il doit conserver tous les échanges de ses clients pendant 1 an).
| Non, le proxy contient les pages mais ne conservent pas les données envoyés (encore heureux). Par rapport à la législation, il s'agit de conserver les logs (en gros qui est allé où) pendant un an. En aucun cas on ne conserve le contenu des pages visités. J'ai du m'intéressé à ce point pour mon travail.
Citation: |
Même si c'est potentiellement possible d'espionner un https (quoique je le pense improbable car c'est ce moyen qui est utilisé pour saisir son numéro de cartes bancaires) c'est quand même beaucoup plus sur qu'un échange http pour qui la page reste en clair dans tous les fichiers caches.
|
Sauf erreur de ma part, le https ne fait circuler que des clefs publiques, donc
A envoit une clef publique à B (C l'intercepte)
B code la clef de décodage avec la clef publique et l'envoit à A (C l'intercepte et n'en fait rien, n'ayant pas de clef)
A décode la clef de B avec sa clef privé.
Le processus peut commencer avec une cryptage/décruptage rapide, les deux ayant une clef commune. C n'a pas pu intercepté la clef et ne pas décoder à la volée.
(le cryptage décryptage avec clef privée/clef publique est trop lent pour être systématiquement utilisé).
Il faut donc pour C casser le cryptage SSL ce qui est possible mais certainement pas avec un petit PC dans son coin. Bref, c'est quand même assez sur.
Je peux me tromper sur des détails mais je suis quasi sûr que https/SSL repose sur un échange de clef sur fondé sur RSA. Pour le moment on ne sait pas casser ce système. Le seul point fragile est de briser le cryptage proprement dit (cryptage symétrique avec la clef commune). |
|
|
|
|
Posté le: Samedi 30 Septembre 2006 13:50:14
NRA : ALF94
(Alfortville) V2
Ligne : 2380 m (35 dB)
| |
|
|
fran.b
Nouveau
Hors-ligne
Inscrit le : 12 Nov 2005 Messages : 39
Sexe :
Ville : Maisons Alfort
Forfait : Freebox Dégroupage Partiel
Freebox : v4b
|
|
|
|
|
|
|
(complément) L'attaque «man in the middle» est fondée sur le principe suivant:
C se met entre A et B, lors que A envoit une requête à B, C intercepte la requête, l'envoit à B, récupère la réponse et la renvoit à A. Par cette méthode, au tout début de l'échange, C peut intercepter la clef du cryptage puis décoder tout le traffic qui suit. Cependant, au début, les site https doivent s'authentifer. Pour cela, A envoit un message à B qui est censé le renvoyer codé par sa clef privé. A est en mesure de le décoder par la clef publique de B, B lui indique où la trouver via le fameux certificat, le serveur fournissant la dite clef publique est donc garant de l'identité de B. Lors C se met entre les deux, C envoit un certificat qui lui est propre afin de passer outre l'authentification, dans ces cas là, le navigateur Web annonce qu'il n'a pui authentifier le serveur ou que le certificat est douteux. C compte sur le fait (très fréquent) que A passera outre. C'est pour cela qu'il ne faut jamais poursuivre une connexion https sensible avec une mauvaise identification.
A noter qu'on parle de quelqu'un qui arrive à se mettre entre une machine et Internet, ça commence à être délicat à faire. Bref https est quand même un système sûr. |
|
|
|
|
Posté le: Mardi 3 Octobre 2006 21:36:04
Numéro présent dans le profil, mais problème de récupération des caractéristiques de la ligne
| |
|
|
phidelit
Affirmé
Hors-ligne
Inscrit le : 30 Jan 2006 Messages : 159
Sexe :
Ville : Fontenay Sous Bois
Forfait : Freebox Optique
|
|
|
|
|
|
|
gpmac a écrit: | Utiliser correctement internet ça vous vient pas à l'idée? |
Tout le monde n'a pas tes compétences, (enfin si tu en as?)
Tu as tendance à oublier le mode UTILISATEUR.
N'est-ce pas
@ bientôt
Philippe |
|
|
|
|
Posté le: Mardi 3 Octobre 2006 21:40:13
Numéro présent dans le profil, mais problème de récupération des caractéristiques de la ligne
| |
|
|
phidelit
Affirmé
Hors-ligne
Inscrit le : 30 Jan 2006 Messages : 159
Sexe :
Ville : Fontenay Sous Bois
Forfait : Freebox Optique
|
|
|
|
|
|
|
clemenichou a écrit: | Il est bidon ton sondage...
On dirait Sarkozy...
- Est-ce que vous aimez vous faire cambrioler ?
1- Oui j'adore ça
2- Non je n'aime pas donc je vote Sarko en 2007 |
NICOLAS, le jardinnier ?
@ Bientôt
Philippe |
|
|
|
|
Posté le: Mardi 3 Octobre 2006 21:42:59
Numéro présent dans le profil, mais problème de récupération des caractéristiques de la ligne
| |
|
|
phidelit
Affirmé
Hors-ligne
Inscrit le : 30 Jan 2006 Messages : 159
Sexe :
Ville : Fontenay Sous Bois
Forfait : Freebox Optique
|
|
|
|
|
|
|
Alain91 a écrit: | Au fait, c'est aussi dangereux d'utiliser le pop3 et smtp.
Je me trompe ? |
Tu ne te trompes pas.
Ceux sont des protocoles passoires.
@ bientôt
Philippe |
|
|
|
|
Posté le: Mardi 3 Octobre 2006 21:47:14
Numéro présent dans le profil, mais problème de récupération des caractéristiques de la ligne
| |
|
|
phidelit
Affirmé
Hors-ligne
Inscrit le : 30 Jan 2006 Messages : 159
Sexe :
Ville : Fontenay Sous Bois
Forfait : Freebox Optique
|
|
|
|
|
|
|
Axtrane a écrit: | Vous etes des paranos |
Non.
La SECURITE DES SYSTEMES D'INFORMATIONS (SSI) est un sujet fortement d'actualité.
Il n'y a pas le mode PARANOS. C'est juste la réalité d'aujourd'hui.
@ bientôt
Philippe |
|
|
|
|
Posté le: Mardi 3 Octobre 2006 21:49:43
Numéro présent dans le profil, mais problème de récupération des caractéristiques de la ligne
| |
|
|
phidelit
Affirmé
Hors-ligne
Inscrit le : 30 Jan 2006 Messages : 159
Sexe :
Ville : Fontenay Sous Bois
Forfait : Freebox Optique
|
|
|
|
|
|
|
gpmac a écrit: | Voilà
Et de plus le risque 0 n'existe pas... |
Je suis d'accord avec toi. Mais l'objectif, c'est de réduire les risques.
@ bientôt
Philippe |
|
|
|
|
Posté le: Mardi 10 Octobre 2006 16:02:26
NRA : SMG13
(Marseille 9eme) V2
Ligne : 2900 m (43 dB)
| |
|
|
thepapilou
Affirmé
Hors-ligne
Inscrit le : 18 Mai 2004 Messages : 100
Sexe :
Ville : Marseille
Forfait : Freebox Dégroupage Total
Freebox : Error4
|
|
|
|
|
|
|
Bon, je sais pas si je suis hors sujet; mais moi j' avais révelé un bug, sur les identifiant; je m' explique:
Dans mon ancien logement j' etais abonné a Free en dt, le nouveau locataire veut s' abonner a Free; une fois pris ce logement il m' apelle pour juste demander le numero de la ligne, Free en avait besoin pour retrouver ma ligne ok pas de probleme.
Comme a l' epoque il y avait des problème de facturation de 400 euros pour modems non rendus (je ne vais pas m' eternisez sur ce point la , certains comprendront ), je jettais un coup d' oeil ici et la sur mon interface de gestion avec mon ancien login...
quels fut pas ma surprise que, au bout de quelques temps; j' avais acces a l' interface de gestion du nouveau locataire ses coordonées bancaire, ces adresses mails etc; et sur son suivit technique c' etait en cours de raccordement.
Quelques temps apres, ma console de gestion etait revenu avec, je crois (desole ca datge d' un an maintenant) abonnement resilié.... je crois bien avoir vu ce bug cites dans les forums; donc pour ma part oui c' est vrai, qu' il faut faire un maximun et je suis d' accord avec vous; mais regardez ce cas sans sniffer ou autre moyen, un simple bug peut a nimporte quel novice a avoir acces a des données.
Bon c' est vrai que le risque zero n' existe pas.... |
|
|
|
|
Posté le: Mardi 10 Octobre 2006 16:03:51
NRA : SMG13
(Marseille 9eme) V2
Ligne : 2900 m (43 dB)
| |
|
|
thepapilou
Affirmé
Hors-ligne
Inscrit le : 18 Mai 2004 Messages : 100
Sexe :
Ville : Marseille
Forfait : Freebox Dégroupage Total
Freebox : Error4
|
|
|
|
|
|
|
Bon, je sais pas si je suis hors sujet; mais moi j' avais révelé un bug, sur les identifiant; je m' explique:
Dans mon ancien logement j' etais abonné a Free en dt, le nouveau locataire veut s' abonner a Free; une fois pris ce logement il m' apelle pour juste demander le numero de la ligne, Free en avait besoin pour retrouver ma ligne ok pas de probleme.
Comme a l' epoque il y avait des problème de facturation de 400 euros pour modems non rendus (je ne vais pas m' eternisez sur ce point la , certains comprendront ), je jettais un coup d' oeil ici et la sur mon interface de gestion avec mon ancien login...
quels fut pas ma surprise que, au bout de quelques temps; j' avais acces a l' interface de gestion du nouveau locataire ses coordonées bancaire, ces adresses mails etc; et sur son suivit technique c' etait en cours de raccordement.
Quelques temps apres, ma console de gestion etait revenu avec, je crois (desole ca datge d' un an maintenant) abonnement resilié.... je crois bien avoir vu ce bug cites dans les forums; donc pour ma part oui c' est vrai, qu' il faut faire un maximun et je suis d' accord avec vous; mais regardez ce cas sans sniffer ou autre moyen, un simple bug peut a nimporte quel novice a avoir acces a des données.
Bon c' est vrai que le risque zero n' existe pas.... |
|
|
|
|
Posté le: Mardi 10 Octobre 2006 16:06:35
NRA : SMG13
(Marseille 9eme) V2
Ligne : 2900 m (43 dB)
| |
|
|
thepapilou
Affirmé
Hors-ligne
Inscrit le : 18 Mai 2004 Messages : 100
Sexe :
Ville : Marseille
Forfait : Freebox Dégroupage Total
Freebox : Error4
|
|
|
|
|
|
|
desole;un bug (decidemment encore lui); as fait poster 2 fois le topic, merci aux modos d' en suprrimer un (promis je ferais plus!! na!!) |
|
|
|
|
|
|