|
Posté le: Jeudi 7 Septembre 2006 01:29:55
Aucun numéro de ligne indiqué dans le profil
| |
|
|
free_security (Auteur du topic)
Nouveau
Hors-ligne
Inscrit le : 03 Sep 2006 Messages : 38
Sexe :
Forfait : Freebox Dégroupage Partiel
|
|
|
|
|
|
|
Bonsoir,
Il est débattu largement sur le forum ADUF "Vos coordonnées bancaires circulent en clair sur internet." : https://www.aduf.org/viewtopic.php?t=68887 que comme les mots de passe du compte Free ne sont pas protégés et circulent en clair lorsque l'on s'identifie, des gens malveillant peuvent en sniffant récupérer les mots de passe des comptes Free.
S'ils en profitent pour récupérer les identifiant SIP, cela veut-il dire qu'ils peuvent appeler partout dans le monde depuis n'importe quel accès internet ?
Et donc qu'on peut se retrouver avec des factures de téléphone illimitées à payer ?
Quel serait le recours dans ce cas là ?
Merci de vos précisions, |
|
|
|
|
Posté le: Vendredi 8 Septembre 2006 20:37:29
Numéro présent dans le profil, mais problème de récupération des caractéristiques de la ligne
| |
|
|
clemenichou
Connaisseur
Hors-ligne
Inscrit le : 03 Mai 2006 Messages : 1593
Sexe :
Ville : Haubourdin (59)
Forfait : Freebox Dégroupage Total sur ligne inactive (NDI)
Freebox : v5
|
|
|
|
|
|
|
Ce topic est l'oeuvre d'un paranoiaque...
Ne cède pas à la paranoia... |
|
_________________ Bénie soit la Freebox. |
|
|
|
Posté le: Vendredi 8 Septembre 2006 21:30:35
Numéro présent dans le profil, mais problème de récupération des caractéristiques de la ligne
| |
|
|
clemenichou
Connaisseur
Hors-ligne
Inscrit le : 03 Mai 2006 Messages : 1593
Sexe :
Ville : Haubourdin (59)
Forfait : Freebox Dégroupage Total sur ligne inactive (NDI)
Freebox : v5
|
|
|
|
|
|
|
J'avais pas capté que tu étais l'auteur des deux topics...
Change de mot de passe SIP toutes les 5 minutes dans le doute. |
|
_________________ Bénie soit la Freebox. |
|
|
|
Posté le: Samedi 9 Septembre 2006 00:43:11
Aucun numéro de ligne indiqué dans le profil
| |
|
|
free_security (Auteur du topic)
Nouveau
Hors-ligne
Inscrit le : 03 Sep 2006 Messages : 38
Sexe :
Forfait : Freebox Dégroupage Partiel
|
|
|
|
|
|
|
clemichou :
Attention car la paranoia te gagne ! Tu viens d'admettre qu'il y a un doute.
Changer son mot de passe toutes les 5 minutes, c'est beaucoup de boulot juste pour garder l'esprit tranquille quand on achète un accès à internet.
C'était pas marqué dans les Conditions Générales de Vente. Je vois bien : "Pour garantir la sécurité" de vos données et être tranquille il est recommandé de changer son mot de passe toutes les 5 minutes" et ben, internet ça se mérite dis-moi !
Mais oui effectivement ce pourrait être une suggestion ...
Moi j'en ai une autre : que Free sécurise un minimum les accès de ses clients via les technologies disponibles (https) et d'ailleurs mises en oeuvre par la plupart des autres acteurs majeurs d'internet en France (voir topic).
En tout cas, si quelqu'un s'empare de tes identifiant SIP, quel est le plafond de dépenses téléphoniques permises pour le pirate dont le vrai propriétaire du compte aura à répondre ? |
|
Dernière édition par free_security le Samedi 9 Septembre 2006 00:47:54; édité 1 fois |
|
|
|
Posté le: Samedi 9 Septembre 2006 09:26:08
Numéro présent dans le profil, mais problème de récupération des caractéristiques de la ligne
| |
|
|
clemenichou
Connaisseur
Hors-ligne
Inscrit le : 03 Mai 2006 Messages : 1593
Sexe :
Ville : Haubourdin (59)
Forfait : Freebox Dégroupage Total sur ligne inactive (NDI)
Freebox : v5
|
|
|
|
|
|
|
Bonjour,
J'ai omis de préciser que mon conseil de changer de mdp toutes les 5 minutes était ironique.
J'ai pensé que tu comprendrais...
Cordialement. |
|
_________________ Bénie soit la Freebox. |
|
|
|
Posté le: Samedi 9 Septembre 2006 11:01:29
Numéro présent dans le profil, mais problème de récupération des caractéristiques de la ligne
| |
|
|
behache
Régulier
Hors-ligne
Inscrit le : 30 Jan 2006 Messages : 952
Sexe :
Forfait : Freebox Dégroupage Total
Freebox : v5
|
|
|
|
|
|
|
Bonjour
clemenichou a écrit: | ,
J'ai omis de préciser que mon conseil ....;;;;; était ironique. | Alors débattons plus sérieusement
J'ai bien compris les arguments de Free_sécurity
Par contre chez ses contradicteurs à part " Cela est inutile " " Ce n'est pas utile " "Utile ce n'est pas " je n'ai pas retenu grand chose.
1° Je propose que ceux qui sont contre le fait de demander à Free via l'ADUF "
Citation: | " L'AdUF a pour objectif de constituer un lien entre les utilisateurs de Free et la société Free, dans le but d'informer les utilisateurs des améliorations apportées et des problèmes rencontrés et d'informer Free des attentes des utilisateurs" | d'exposer, si possible sans mention blessante pour qui que ce soit, ce qui les gênerait d'employer le protocole https.
2° N'y a t-il pas une bonne raison, autre que "Pas utile", expliquant pourquoi Free à la différence de beaucoup n'a pas retenu l'https ? Notre FAI nous a habitué à une offre maximale ! |
|
_________________ Cordialement |
|
|
|
Posté le: Mercredi 13 Septembre 2006 16:31:38
Numéro présent dans le profil, mais problème de récupération des caractéristiques de la ligne
| |
|
|
lfl_038
Connaisseur
Hors-ligne
Inscrit le : 20 Mai 2005 Messages : 2777
Sexe :
Ville : Le Versoud (38)
Forfait : Freebox Dégroupage Partiel
Freebox : N/A
|
|
|
|
|
|
|
Bonjour,
Je suis pour la demande de free_security, demande déjà évoquée dans https://www.aduf.org/viewtopic.php?t=60831 .
Avec le mot de passe SIP en clair, cela devient réellement dangereux pour le freenaute.
La moindre des choses aurait été de cacher ce mot de passe et de mettre un champ de confirmation.
Je rejoins free_security dans le fait qu'il faut que la console soit en accès sécurisé.
Il faudrait aussi une séparation des logins/mot de passe pour la gestion du compte, le FTP (site web), la base MySQL et le mail.
Comme cela, celui qui laisse son mot de passe en clair en PHP sur son site ou celui qui se voit capturer son mot de passe lors de la relève de ses mails, ne risque pas de se voir pirater son compte et de voir son mot de passe changer. |
|
_________________ 1 client satisfait = 1 client de gagné, 1 client insatisfait = 10 clients de perdus.
_________________
Téléphonie Freebox : voir ma proposition de verrouillage de la ligne téléphonique
Protection de la Freebox contre les surtension : voir mes solutions
Merci à la VieuxGeoBox toujours fidèle depuis 2005.
Freebox : Freebox Révolution (V6) - NRA : DOM38 (Domene) V2 - Ligne : 3394 m (39 dB) |
|
|
|
Posté le: Mercredi 13 Septembre 2006 16:35:21
Pas de caractéristiques de ligne pour un abonnement avec construction de ligne
| |
|
|
freemat
Webmaster
Hors-ligne
Inscrit le : 06 Mar 2004 Messages : 23595
Sexe :
Ville : Montargis
Forfait : Freebox Dégroupage Total avec construction de ligne
Freebox : v4r
|
|
|
|
|
|
|
lfl_038 a écrit: | Avec le mot de passe SIP en clair, cela devient réellement dangereux pour le freenaute.
La moindre des choses aurait été de cacher ce mot de passe et de mettre un champ de confirmation. |
Cela ne changerait rien vu qu'il est possible de le modifier si on a accès à la console.
Citation: | Il faudrait aussi une séparation des logins/mot de passe pour la gestion du compte, le FTP (site web), la base MySQL et le mail. |
Totalement contre, cela nuirait à la simplicité de l'offre (et ce n'est pas demain que Free reviendra là dessus à mon avis).
Citation: | Comme cela, celui qui laisse son mot de passe en clair en PHP sur son site |
Ben c'est sa faute, non ? |
|
_________________ Mat
[1] Posez votre question sur le forum en priorité, et non par messages privés
[2] Evitez de poster votre propre problème dans le topic d'un autre membre
[3] Si votre problème est résolu, modifiez le statut de votre topic en bas de la page |
|
|
|
Posté le: Lundi 18 Septembre 2006 14:05:28
Aucun numéro de ligne indiqué dans le profil
| |
|
|
free_security (Auteur du topic)
Nouveau
Hors-ligne
Inscrit le : 03 Sep 2006 Messages : 38
Sexe :
Forfait : Freebox Dégroupage Partiel
|
|
|
|
|
|
|
freemat a écrit: |
Citation: | Comme cela, celui qui laisse son mot de passe en clair en PHP sur son site |
Ben c'est sa faute, non ? |
Ce n'est pas "sa faute", lorsqu'on utilise des requêtes SQL dans le code PHP, la syntaxe de la requête inclut la fourniture des mots de passe et login qui sont donc en clair dans les fichiers sources du site.
En tout cas, l'impact de l'utilisation frauduleuse des identifiants SIP auquel toute personne s'expose à chaque fois qu'elle s'identifie sur la console d'administration du compte (voir post indiqué dans le premier message de ce topic), a des conséquences importantes que personne n'a pu évaluer ou même indiquer sur ce forum.
N'y a-t-il personne pour dire si on peut se retrouver avec des factures de téléphones importantes ?
Quelqu'un peut-il téléphoner dans les iles caimans à 5€ la minute (sur une messagerie surtaxée) avec les identifiants SIP ? |
|
|
|
|
Posté le: Lundi 18 Septembre 2006 14:38:32
Pas de caractéristiques de ligne pour un abonnement avec construction de ligne
| |
|
|
freemat
Webmaster
Hors-ligne
Inscrit le : 06 Mar 2004 Messages : 23595
Sexe :
Ville : Montargis
Forfait : Freebox Dégroupage Total avec construction de ligne
Freebox : v4r
|
|
|
|
|
|
|
free_security a écrit: | Ce n'est pas "sa faute", lorsqu'on utilise des requêtes SQL dans le code PHP, la syntaxe de la requête inclut la fourniture des mots de passe et login qui sont donc en clair dans les fichiers sources du site. |
Et alors, ça se protège (mot de passe dans un fichier à part, avec htaccess, ...) |
|
_________________ Mat
[1] Posez votre question sur le forum en priorité, et non par messages privés
[2] Evitez de poster votre propre problème dans le topic d'un autre membre
[3] Si votre problème est résolu, modifiez le statut de votre topic en bas de la page |
|
|
|
Posté le: Lundi 18 Septembre 2006 22:11:35
Aucun numéro de ligne indiqué dans le profil
| |
|
|
free_security (Auteur du topic)
Nouveau
Hors-ligne
Inscrit le : 03 Sep 2006 Messages : 38
Sexe :
Forfait : Freebox Dégroupage Partiel
|
|
|
|
|
|
|
freemat a écrit: | free_security a écrit: | Ce n'est pas "sa faute", lorsqu'on utilise des requêtes SQL dans le code PHP, la syntaxe de la requête inclut la fourniture des mots de passe et login qui sont donc en clair dans les fichiers sources du site. |
Et alors, ça se protège (mot de passe dans un fichier à part, avec htaccess, ...) |
Oui, effectivement cela se protège et toutes ces techniques de protection sont totalement vaines si on se fait intercepter son mot de passe par ailleurs en s'identifiant sur son compte Free.
Mais le sujet du topic n'est pas là, la question est : Quid des conséquences si les identifiants SIP sont interceptés à cause des failles majeures que présente le système d'identification Free ?
Cordialement. |
|
|
|
|
Posté le: Lundi 25 Septembre 2006 19:02:42
Aucun numéro de ligne indiqué dans le profil
| |
|
|
MARI
Nouveau
Hors-ligne
Inscrit le : 25 Sep 2006 Messages : 1
Sexe :
Forfait : Freebox Dégroupage Total sur ligne inactive (NDI)
|
|
|
|
|
|
|
Le Lièvre que soulève free_security est très interressant;
Le protocole d'identification à son compte Free n'étant pas sécurisé, il y à d'autres conséquences que l'utilisation frauduleuse de sa ligne téléphonique!
En effet, as tu pensé que n'importe qui ayant récupéré ton mdp a acces à ta facturation détaillée
et s'initie ainsi dans ta vie privée!
L'intru peut connaitre tes habitudes, tes contacts, les moments ou tu es chez toi ou non
et s'interresser de pres à qui tu téléphones!
En bref, se constituer un dossier sur toi!
La CNIL ne garanti-t'elle pas un droit de confidentialité des données personnelles?
Comment alors est-il possible que n'importe quel bidouilleur ait acces à ces données...?
Comment nous, utilisateur, pouvons nous nous défendre...?
Nous ne le pouvons pas! Il nous ait même impossible de refuser la facturation détaillée!
Si je ne désire pas bénéficier de la facturation détaillée, pourquoi Free ne nous permet pas de masquer nos numéros par des étoiles, comme le font les autres opérateurs: orange, etc... !
Que pouvons nous faire face à cela?
Comment pouvons nous préserver nos libertés? |
|
_________________ Pour un service Free et sécurisé... |
|
|
|
Posté le: Lundi 25 Septembre 2006 22:59:45
Aucun numéro de ligne indiqué dans le profil
| |
|
|
free_security (Auteur du topic)
Nouveau
Hors-ligne
Inscrit le : 03 Sep 2006 Messages : 38
Sexe :
Forfait : Freebox Dégroupage Partiel
|
|
|
|
|
|
|
Bonsoir,
Merci pour votre commentaire et soutien,
Effectivement, les conséquences d'un piratage du compte sont vraiment incalculables tout comme la note de téléphone que le pirate peut dépenser sur le dos d'un utilisateur grâce aux identifiants SIP ainsi subtilisés.
Mais il est sûr qu'en cas de soucis, les problèmes vont rapidement converger vers Free dont la négligence envers ses utilisateurs sera inéluctablement reconnue coupable.
Si vous voulez voter sur le sondage du topic forum ADUF "Vos coordonnées bancaires circulent en clair sur internet." : https://www.aduf.org/viewtopic.php?t=68887 et votre commentaire y est le bienvenu.
En attendant des démarches auprès de Free sont engagées. |
|
Dernière édition par free_security le Lundi 25 Septembre 2006 23:02:03; édité 1 fois |
|
|
|
Posté le: Mardi 9 Octobre 2007 08:51:57
Numéro présent dans le profil, mais problème de récupération des caractéristiques de la ligne
| |
|
|
sbarbier
Nouveau
Hors-ligne
Inscrit le : 05 Jan 2006 Messages : 8
Sexe :
Ville : paris
Forfait : Freebox Dégroupage Partiel
|
|
|
|
|
|
|
Bonjour,
vos débats sont très interessants surtout le début ! "il ne faut pas céder à la paranoïa" ! Idée que pour ma part j'aurais en d'autres temps souscrit (il y a 1 mois !.
Je vous invite à parcourir un post que j'ai déposé le 18 sept dans le dossier téléphonie et fax " : [En cours] Utilisation frauduleuse du service SIP". https://www.aduf.org/viewtopic.php?t=96919&highlight=
Ce qui parait fiction pour certains est une réalité.
En gros plus de 200 appels frauduleux au Maroc sur mon compte et une note globale sur le mois d'aout et septembre de 1000 €. Passons sur les conséquences juridiques et pratiques : plaintes contre X et services Free coupés depuis 10 jours. Dans ce cas la victimes subit la double peine ! (pour l'instant).
En gros les questions sont bien posées et les solutions simples :
- pourquoi mon FAI préféré serait il le seul à faire du commerce electronique sans chiffrer sa page de configuration ?
- Pourquoi ensuite le mot de passe SIP reste t'il en clair ?
Si un interne de Free du meilleur niveau passe sur ce post j'aimerais avoir une discussion avec lui sur le sujet.
Je suis client Free depuis 8 ans, ma confiance était à un bon niveau jusqu'à présent.
Bien à vous.
Steph. |
|
|
|
|
Posté le: Mardi 9 Octobre 2007 10:55:23
Aucun numéro de ligne indiqué dans le profil
| |
|
|
Kami78
Connaisseur
Hors-ligne
Inscrit le : 21 Jan 2005 Messages : 6860
Sexe :
Ville : Le vésinet
Forfait : Accès libre
|
|
|
|
|
|
|
Il existe aussi un grave problème de sécurité que Free se refuse à régler : le mot de passe attribué au compte doit impérativement être personnalisé dès réception.
En effet la réattribution à un nouveau client Free du numéro d'un ancien conduit à l'émission du même mot de passe : si aucun des deux clients ne le change, l'ancien client - qui a une nouvelle ligne - peut avoir conservé ses anciens identifiants et accéder ainsi au compte du nouveau, avec les dérives citées dans les messages ci-dessus. |
|
_________________ Freemobile 2 euros
Imac Core 2 Duo 3.06 GHz - RAM 4 - OS X.8.2
Connexion Fibre Docsis3 - DL 30 mbps UL 1 mbps ping 5 |
|
|
|
|
|