Retourner à l'accueil du site  
Design:
Accueil
Actu Freenews
FAQ
Forums
Glossaire
Etat du réseau
Dossiers
Dialogue en direct
Liens ADUF
Newsletter
Livre d'or
Statistiques
A propos de l'ADUF
Vos coordonnées bancaires circulent en clair sur internet.
Aller en bas de la page
ADUF Index du Forum » Sondages Aller à la page Précédente  1, 2, 3, 4, 5, 6, 7, 8  Suivante
Répondre au sujet Voir le sujet précédent : Voir le sujet suivant 

La sécurité du compte Free me concerne :
Non, je ne consulte jamais mon webmail en dehors de chez moi
10%
 10%  [ 26 ]
Non, cela ne me gêne pas si n'importe qui peut connaître mes coordonnées bancaires.
1%
 1%  [ 4 ]
Non, cela ne me gêne pas qu'on pirate mes pages persos
0%
 0%  [ 0 ]
Non, cela ne me gêne pas qu'on lise mon webmail et envoie des messages à ma place
0%
 0%  [ 2 ]
Oui, cela me paraît important, je suis prêt à me mobiliser pour obtenir le protocole sécurisé pour protéger l'accès et la consultation de mon compte.
87%
 87%  [ 228 ]
Votants : 260
Total des votes : 260
Ce sondage n'expire jamais

MessagePosté le: Jeudi 21 Septembre 2006 13:40:23 Aucun numéro de ligne indiqué dans le profil Répondre en citantReporter le post à l'équipe de modération
free_security
(Auteur du topic)

Nouveau
Nouveau

Hors-ligne

Inscrit le : 03 Sep 2006
Messages : 38
Sexe :

Forfait : Freebox Dégroupage Partiel





[quote="Aelor"]Personnellement, http ou https, c'est tout aussi facilement récupérable puisqu'en prenant virtuellement la place d'un élément de la chaine entre le serveur de Free et l'abonné, le sniffeur voit la clef transiter.
Et pour mes gens n'ayant pas les moyens, faut déjà savoir interpréter des trames ip, c'est pas à la portée du premier clampin venu.
Alors oui, qu'ils implémentent https, si un mec veut vraiment hacker un compte il y arrivera quand meme, juste un poil plus long.[/quote]

Aelor, effectivement ton avis technique est tout personnel mais surtout extrèmement approximatif.
Je proposes que tu postes ce genre de considérations sur les forums du CERT ou tout autre spécialisé dans la sécurité, tu t'apercevras que le débat sur https versus http n'existe tout simplement pas.

De toute façon, le coeur du problème n'est même pas technique. Comme tu pourras le lire dans les posts de ce topic, il y a un énorme problème de responsabilité personnelle pour tous les utilisateurs de Free à devoir utiliser des moyens non-protégés pour accéder à leurs comptes puisqu'en cas d'utilisation frauduleuse/piratage la responsabilité des utilisateurs de Free est engagée.
Je rappelle que l'accès aux données d'un compte Free permet au pirate de téléphoner dans le monde. C'est l'usager qui se retrouvera avec les factures à payer et à contester (avec l'aide de la hot-line Free à 0.34€ la minute entre autres, cela promet des heures de bonheur assuré).

Le fait de devoir fournir un mot de passe procure une sensation bien trompeuse de sécurité aux utilisateurs alors qu'en réalité pour les banques, juges et consort il s'agit de négligence coupable.

Par ailleurs, sur ce sujet les principaux acteurs d'internet en France (et dans le monde) ont déjà bougé. Il serait grand temps que Free réagisse : Il faut voter et soutenir cette demande auprès de Free.

Cordialement.
Voir le profil de l'utilisateur Envoyer un message privé
MessagePosté le: Mardi 26 Septembre 2006 12:07:07 NRA : VAI69 (Lyon 9eme) V2 Tous les DSLAM de ce NRA sont joignablesMembres sur ce NRADétails sur ce NRA Ligne : 1207 m (18 dB) Répondre en citantReporter le post à l'équipe de modération
tifiloo
Nouveau
Nouveau


Hors-ligne

Inscrit le : 08 Sep 2006
Messages : 15
Sexe :
Ville : Lyon

Forfait : Freebox Dégroupage Total sur ligne inactive (NDI)





Bon alors je ne commenterai pas l'ineptie du post d'Aelor sur le HTTP et le HTTPS
C'est pas quand on a entendu une fois le mot clef qu'on est un expert en securité informatique.

En effet le problème posté par free_security est important et je le soutiens a 100%.
J'avoue que je ne comprends pas pourquoi Free ne met pas en place un certificat SSL sur ses sites.
A la rigueur si Free ne veut pas depenser le prix d'un certificat (somme modique au regard des investissement de la FTTH Wink), mais il existe des moyens de générer des certificats SSL gratuits (donc non certifiés c'est un comble) qui certes generent une alerte dans le navigateurs, mais permettent au moins l'encryption des données avec la fameuse clef d'Aelor Wink

Vive le HTTPS, car sinon qui est responsable en cas de piratage d'un compte ?

Bon débat,
Phil
Voir le profil de l'utilisateur Envoyer un message privé
MessagePosté le: Mercredi 27 Septembre 2006 12:13:23 Numéro présent dans le profil, mais problème de récupération des caractéristiques de la ligne Répondre en citantReporter le post à l'équipe de modération
lfl_038
Connaisseur
Connaisseur


Hors-ligne

Inscrit le : 20 Mai 2005
Messages : 2777
Sexe :
Ville : Le Versoud (38)

Forfait : Freebox Dégroupage Partiel
Freebox : N/A





Bonjour,

J'irai completer le post de free_security en signalant que j'ai été victime en 1999 de ce problème.

Heureusement, à l'époque je n'avais qu'un compte accès libre et que le pirate a été gentil, il n'a fait que modifier mes pages perso et se créer un compte sans modifier le mot de passe du compte.

Comment à t'il fait, facile, mon adresse email était sur mon compte principal. Donc une fois le login et mot de passe du compte principal récupéré, il avait la main sur tout le reste.

Lors de l'utilisation du protocole POP pour l'interrogation des mails, toutes les 5 minutes, le login et le mot de passe circule en clair.
La personne avait placé un sniffer (je pense sur le réseau local de mon entreprise) qui récupérait toutes les trames sortant de tous les ports de mon PC.
Ensuite, il lui a suffit de rechercher dans le fichier généré le mot clé pop.Free.fr pour avoir juste après le login et le mot de passe.

Pour les pages Web, facile aussi, toutes les pages sont conservées en cache dans les proxies.
Il suffit de rechercher dans le cache du proxy les mots de passes si vous avez le malheur de consulter votre compte à partir d'une machine placée derrière un proxy, ce qui rappelons le, est obligatoire pour tout FAI (il doit conserver tous les échanges de ses clients pendant 1 an).

Donc si ce n'est pas dans l'intéret de Free de rechercher les mots de passe des ses utilisateurs dans les caches, cela peut vite devenir intéressant pour les concurrents lorsque vous passez par des FAI concurrent pour consulter votre compte Free.

Donc, oui, je demande à Free de mettre en place le https sur la gestion des comptes (ADSL, Accès libre, Forfait) dès lors que la page affiche un mot de passe.

Même si c'est potentiellement possible d'espionner un https (quoique je le pense improbable car c'est ce moyen qui est utilisé pour saisir son numéro de cartes bancaires) c'est quand même beaucoup plus sur qu'un échange http pour qui la page reste en clair dans tous les fichiers caches.

Merci à free_security d'avoir soulevé ce problème.
_________________
1 client satisfait = 1 client de gagné, 1 client insatisfait = 10 clients de perdus.
_________________
Téléphonie Freebox : voir ma proposition de verrouillage de la ligne téléphonique
Protection de la Freebox contre les surtension : voir mes solutions
Merci à la VieuxGeoBox toujours fidèle depuis 2005.
Freebox : Freebox Révolution (V6) - NRA : DOM38 (Domene) V2 - Ligne : 3394 m (39 dB)
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web du posteur
MessagePosté le: Jeudi 28 Septembre 2006 15:09:09 Aucun numéro de ligne indiqué dans le profil Répondre en citantReporter le post à l'équipe de modération
Franck57
Invité





Sexe : Ne se prononce pas






free_security a écrit:
Je ne vais pas encore répéter l'intégralité du post.
Ce qui y est dit est précis et exact.

La circulation en clair des mots de passe et informations confidentielles sur internet est une faille majeure pour la sécurité et la confidentialité des données en réseau c'est un fait.
Se poser la question ferait rire n'importe quel personne avertie.

Tout le monde ne peut pas forcément connaitre et il est scandaleux que Free expose ses abonnés grand public de la sorte quand il existe des solutions disponibles gratuitement et à la portée de n'importe quel webmaster.


Ca y est il vient de decouvrir internet ses défauts et inconvénients, le problème est qu'il ne vois que ça!
MessagePosté le: Vendredi 29 Septembre 2006 14:05:16 Aucun numéro de ligne indiqué dans le profil Répondre en citantReporter le post à l'équipe de modération
free_security
(Auteur du topic)

Nouveau
Nouveau

Hors-ligne

Inscrit le : 03 Sep 2006
Messages : 38
Sexe :

Forfait : Freebox Dégroupage Partiel





[quote="Franck57"][quote="free_security"]Je ne vais pas encore répéter l'intégralité du post.
Ce qui y est dit est précis et exact.

La circulation en clair des mots de passe et informations confidentielles sur internet est une faille majeure pour la sécurité et la confidentialité des données en réseau c'est un fait.
Se poser la question ferait rire n'importe quel personne avertie.

Tout le monde ne peut pas forcément connaitre et il est scandaleux que Free expose ses abonnés grand public de la sorte quand il existe des solutions disponibles gratuitement et à la portée de n'importe quel webmaster.[/quote]

Ca y est il vient de decouvrir internet ses défauts et inconvénients, le problème est qu'il ne vois que ça![/quote]

Que dire du commentaire de Franck57 ?

Qu'il est légèrement condescendant ?
Qu'il est honteusement réducteur ?
Sa principale caractéristique est ailleurs : Ce commentaire n'apporte absolument rien à la discussion.

Qu'a à nous dire "Franck57" sur le sujet lui-même ?
Voir le profil de l'utilisateur Envoyer un message privé
MessagePosté le: Vendredi 29 Septembre 2006 22:22:25 NRA : ALF94 (Alfortville) V2 Tous les DSLAM de ce NRA sont joignablesMembres sur ce NRADétails sur ce NRA Ligne : 2380 m (35 dB) Répondre en citantReporter le post à l'équipe de modération
fran.b
Nouveau
Nouveau


Hors-ligne

Inscrit le : 12 Nov 2005
Messages : 39
Sexe :
Ville : Maisons Alfort

Forfait : Freebox Dégroupage Partiel
Freebox : v4b





lfl_038 a écrit:
Pour les pages Web, facile aussi, toutes les pages sont conservées en cache dans les proxies.
Il suffit de rechercher dans le cache du proxy les mots de passes si vous avez le malheur de consulter votre compte à partir d'une machine placée derrière un proxy, ce qui rappelons le, est obligatoire pour tout FAI (il doit conserver tous les échanges de ses clients pendant 1 an).
Non, le proxy contient les pages mais ne conservent pas les données envoyés (encore heureux). Par rapport à la législation, il s'agit de conserver les logs (en gros qui est allé où) pendant un an. En aucun cas on ne conserve le contenu des pages visités. J'ai du m'intéressé à ce point pour mon travail.

Citation:

Même si c'est potentiellement possible d'espionner un https (quoique je le pense improbable car c'est ce moyen qui est utilisé pour saisir son numéro de cartes bancaires) c'est quand même beaucoup plus sur qu'un échange http pour qui la page reste en clair dans tous les fichiers caches.

Sauf erreur de ma part, le https ne fait circuler que des clefs publiques, donc

A envoit une clef publique à B (C l'intercepte)
B code la clef de décodage avec la clef publique et l'envoit à A (C l'intercepte et n'en fait rien, n'ayant pas de clef)
A décode la clef de B avec sa clef privé.
Le processus peut commencer avec une cryptage/décruptage rapide, les deux ayant une clef commune. C n'a pas pu intercepté la clef et ne pas décoder à la volée.
(le cryptage décryptage avec clef privée/clef publique est trop lent pour être systématiquement utilisé).

Il faut donc pour C casser le cryptage SSL ce qui est possible mais certainement pas avec un petit PC dans son coin. Bref, c'est quand même assez sur.

Je peux me tromper sur des détails mais je suis quasi sûr que https/SSL repose sur un échange de clef sur fondé sur RSA. Pour le moment on ne sait pas casser ce système. Le seul point fragile est de briser le cryptage proprement dit (cryptage symétrique avec la clef commune).
Voir le profil de l'utilisateur Envoyer un message privé
MessagePosté le: Samedi 30 Septembre 2006 13:50:14 NRA : ALF94 (Alfortville) V2 Tous les DSLAM de ce NRA sont joignablesMembres sur ce NRADétails sur ce NRA Ligne : 2380 m (35 dB) Répondre en citantReporter le post à l'équipe de modération
fran.b
Nouveau
Nouveau


Hors-ligne

Inscrit le : 12 Nov 2005
Messages : 39
Sexe :
Ville : Maisons Alfort

Forfait : Freebox Dégroupage Partiel
Freebox : v4b





(complément) L'attaque «man in the middle» est fondée sur le principe suivant:

C se met entre A et B, lors que A envoit une requête à B, C intercepte la requête, l'envoit à B, récupère la réponse et la renvoit à A. Par cette méthode, au tout début de l'échange, C peut intercepter la clef du cryptage puis décoder tout le traffic qui suit. Cependant, au début, les site https doivent s'authentifer. Pour cela, A envoit un message à B qui est censé le renvoyer codé par sa clef privé. A est en mesure de le décoder par la clef publique de B, B lui indique où la trouver via le fameux certificat, le serveur fournissant la dite clef publique est donc garant de l'identité de B. Lors C se met entre les deux, C envoit un certificat qui lui est propre afin de passer outre l'authentification, dans ces cas là, le navigateur Web annonce qu'il n'a pui authentifier le serveur ou que le certificat est douteux. C compte sur le fait (très fréquent) que A passera outre. C'est pour cela qu'il ne faut jamais poursuivre une connexion https sensible avec une mauvaise identification.

A noter qu'on parle de quelqu'un qui arrive à se mettre entre une machine et Internet, ça commence à être délicat à faire. Bref https est quand même un système sûr.
Voir le profil de l'utilisateur Envoyer un message privé
MessagePosté le: Mardi 3 Octobre 2006 21:36:04 Numéro présent dans le profil, mais problème de récupération des caractéristiques de la ligne Répondre en citantReporter le post à l'équipe de modération
phidelit
Affirmé
Affirmé


Hors-ligne

Inscrit le : 30 Jan 2006
Messages : 159
Sexe :
Ville : Fontenay Sous Bois

Forfait : Freebox Optique





gpmac a écrit:
Utiliser correctement internet ça vous vient pas à l'idée?


Tout le monde n'a pas tes compétences, (enfin si tu en as?) Wink
Tu as tendance à oublier le mode UTILISATEUR.

N'est-ce pas Question

@ bientôt
Philippe
Voir le profil de l'utilisateur Envoyer un message privé
MessagePosté le: Mardi 3 Octobre 2006 21:40:13 Numéro présent dans le profil, mais problème de récupération des caractéristiques de la ligne Répondre en citantReporter le post à l'équipe de modération
phidelit
Affirmé
Affirmé


Hors-ligne

Inscrit le : 30 Jan 2006
Messages : 159
Sexe :
Ville : Fontenay Sous Bois

Forfait : Freebox Optique





clemenichou a écrit:
Il est bidon ton sondage...

On dirait Sarkozy...

- Est-ce que vous aimez vous faire cambrioler ?

1- Oui j'adore ça

2- Non je n'aime pas donc je vote Sarko en 2007


NICOLAS, le jardinnier ? Laughing

@ Bientôt
Philippe
Voir le profil de l'utilisateur Envoyer un message privé
MessagePosté le: Mardi 3 Octobre 2006 21:42:59 Numéro présent dans le profil, mais problème de récupération des caractéristiques de la ligne Répondre en citantReporter le post à l'équipe de modération
phidelit
Affirmé
Affirmé


Hors-ligne

Inscrit le : 30 Jan 2006
Messages : 159
Sexe :
Ville : Fontenay Sous Bois

Forfait : Freebox Optique





Alain91 a écrit:
Au fait, c'est aussi dangereux d'utiliser le pop3 et smtp.
Je me trompe ?


Tu ne te trompes pas.
Ceux sont des protocoles passoires. Confused

@ bientôt
Philippe
Voir le profil de l'utilisateur Envoyer un message privé
MessagePosté le: Mardi 3 Octobre 2006 21:47:14 Numéro présent dans le profil, mais problème de récupération des caractéristiques de la ligne Répondre en citantReporter le post à l'équipe de modération
phidelit
Affirmé
Affirmé


Hors-ligne

Inscrit le : 30 Jan 2006
Messages : 159
Sexe :
Ville : Fontenay Sous Bois

Forfait : Freebox Optique





Axtrane a écrit:
Vous etes des paranos Rolling Eyes


Non.

La SECURITE DES SYSTEMES D'INFORMATIONS (SSI) est un sujet fortement d'actualité.

Il n'y a pas le mode PARANOS. C'est juste la réalité d'aujourd'hui.

@ bientôt
Philippe
Voir le profil de l'utilisateur Envoyer un message privé
MessagePosté le: Mardi 3 Octobre 2006 21:49:43 Numéro présent dans le profil, mais problème de récupération des caractéristiques de la ligne Répondre en citantReporter le post à l'équipe de modération
phidelit
Affirmé
Affirmé


Hors-ligne

Inscrit le : 30 Jan 2006
Messages : 159
Sexe :
Ville : Fontenay Sous Bois

Forfait : Freebox Optique





gpmac a écrit:
Voilà Smile

Et de plus le risque 0 n'existe pas...


Je suis d'accord avec toi. Mais l'objectif, c'est de réduire les risques.

@ bientôt
Philippe
Voir le profil de l'utilisateur Envoyer un message privé
MessagePosté le: Mardi 10 Octobre 2006 16:02:26 NRA : SMG13 (Marseille 9eme) V2 Tous les DSLAM de ce NRA sont joignablesMembres sur ce NRADétails sur ce NRA Ligne : 2900 m (43 dB) Répondre en citantReporter le post à l'équipe de modération
thepapilou
Affirmé
Affirmé

Hors-ligne

Inscrit le : 18 Mai 2004
Messages : 100
Sexe :
Ville : Marseille

Forfait : Freebox Dégroupage Total
Freebox : Error4





Bon, je sais pas si je suis hors sujet; mais moi j' avais révelé un bug, sur les identifiant; je m' explique:
Dans mon ancien logement j' etais abonné a Free en dt, le nouveau locataire veut s' abonner a Free; une fois pris ce logement il m' apelle pour juste demander le numero de la ligne, Free en avait besoin pour retrouver ma ligne ok pas de probleme.
Comme a l' epoque il y avait des problème de facturation de 400 euros pour modems non rendus (je ne vais pas m' eternisez sur ce point la , certains comprendront Surprised ), je jettais un coup d' oeil ici et la sur mon interface de gestion avec mon ancien login...
quels fut pas ma surprise que, au bout de quelques temps; j' avais acces a l' interface de gestion du nouveau locataire ses coordonées bancaire, ces adresses mails etc; et sur son suivit technique c' etait en cours de raccordement.
Quelques temps apres, ma console de gestion etait revenu avec, je crois (desole ca datge d' un an maintenant) abonnement resilié.... je crois bien avoir vu ce bug cites dans les forums; donc pour ma part oui c' est vrai, qu' il faut faire un maximun et je suis d' accord avec vous; mais regardez ce cas sans sniffer ou autre moyen, un simple bug peut a nimporte quel novice a avoir acces a des données.

Bon c' est vrai que le risque zero n' existe pas....
Voir le profil de l'utilisateur Envoyer un message privé
MessagePosté le: Mardi 10 Octobre 2006 16:03:51 NRA : SMG13 (Marseille 9eme) V2 Tous les DSLAM de ce NRA sont joignablesMembres sur ce NRADétails sur ce NRA Ligne : 2900 m (43 dB) Répondre en citantReporter le post à l'équipe de modération
thepapilou
Affirmé
Affirmé

Hors-ligne

Inscrit le : 18 Mai 2004
Messages : 100
Sexe :
Ville : Marseille

Forfait : Freebox Dégroupage Total
Freebox : Error4





Bon, je sais pas si je suis hors sujet; mais moi j' avais révelé un bug, sur les identifiant; je m' explique:
Dans mon ancien logement j' etais abonné a Free en dt, le nouveau locataire veut s' abonner a Free; une fois pris ce logement il m' apelle pour juste demander le numero de la ligne, Free en avait besoin pour retrouver ma ligne ok pas de probleme.
Comme a l' epoque il y avait des problème de facturation de 400 euros pour modems non rendus (je ne vais pas m' eternisez sur ce point la , certains comprendront Surprised ), je jettais un coup d' oeil ici et la sur mon interface de gestion avec mon ancien login...
quels fut pas ma surprise que, au bout de quelques temps; j' avais acces a l' interface de gestion du nouveau locataire ses coordonées bancaire, ces adresses mails etc; et sur son suivit technique c' etait en cours de raccordement.
Quelques temps apres, ma console de gestion etait revenu avec, je crois (desole ca datge d' un an maintenant) abonnement resilié.... je crois bien avoir vu ce bug cites dans les forums; donc pour ma part oui c' est vrai, qu' il faut faire un maximun et je suis d' accord avec vous; mais regardez ce cas sans sniffer ou autre moyen, un simple bug peut a nimporte quel novice a avoir acces a des données.

Bon c' est vrai que le risque zero n' existe pas....
Voir le profil de l'utilisateur Envoyer un message privé
MessagePosté le: Mardi 10 Octobre 2006 16:06:35 NRA : SMG13 (Marseille 9eme) V2 Tous les DSLAM de ce NRA sont joignablesMembres sur ce NRADétails sur ce NRA Ligne : 2900 m (43 dB) Répondre en citantReporter le post à l'équipe de modération
thepapilou
Affirmé
Affirmé

Hors-ligne

Inscrit le : 18 Mai 2004
Messages : 100
Sexe :
Ville : Marseille

Forfait : Freebox Dégroupage Total
Freebox : Error4





desole;un bug (decidemment encore lui); as fait poster 2 fois le topic, merci aux modos d' en suprrimer un (promis je ferais plus!! na!!)
Voir le profil de l'utilisateur Envoyer un message privé
 ADUF Index du Forum »  Sondages Aller en haut de la page
Toutes les heures sont à l'heure légale française  
Page 7 sur 8  
Aller à la page Précédente  1, 2, 3, 4, 5, 6, 7, 8  Suivante
  
Sauter vers:  
Répondre au sujet  


Déclaration CNIL n°1012304 Partiellement basé sur phpBB © 2001, 2006 phpBB Group Traduction par : phpBB-fr.com