La Fibre
Fournisseurs d'accès à Internet mobile et 5G/4G fixe => 5G/4G SFR / RED => 
5G/4G SFR => Discussion démarrée par: G0G0 le 03 février 2014 à 07:25:36
-
SFR diffuserait trop d'informations via SFR Femto
Le système de partage de réseau téléphonique de SFR, SFR Femto, diffuserait un peu trop d'informations sur ses clients. C'est Christophe Casalegno, de chez Digital Network, qui a levé le liévre. L'opérateur SFR propose à ses clients un boîtier baptisé SFR Femto. Il permet, une fois relié au modem ADSL de la famille, de partager sa connexion locale avec neuf autres personnes. Il suffit juste d'inscrire ces personnes sur le site Web de SFR. Le FAI vérifie si les appareils sont compatible et le tour est joué. Sauf qu'il a été découvert que SFR indiquait en clair les modèles des téléphones portables utilisés. "Connaître sa référence peut servir à des pirates pour cibler une attaque, par exemple certains appareils sont sensibles à des SMS malveillants spécifiques" indique ACBM qui relate l'information.
Source : Zataz (http://www.zataz.com/news/23274/sfr.html)
-
enfin c'est pas encore : Les données personnelles de 800 000 clients Orange ont été dérobées (http://www.universfreebox.com/article/24058/Les-donnees-personnelles-de-800-000-clients-Orange-ont-ete-derobees)
-
Sauf qu'il a été découvert que SFR indiquait en clair les modèles des téléphones portables utilisés.
Source : Zataz (http://www.zataz.com/news/23274/sfr.html)
J'ai pas compris : les informations sont diffusées en clair où?
-
enfin c'est pas encore : Les données personnelles de 800 000 clients Orange ont été dérobées (http://www.universfreebox.com/article/24058/Les-donnees-personnelles-de-800-000-clients-Orange-ont-ete-derobees)
On m'indique le rapport entre le Femto et ce problème Web?
Cdt
Bensay
-
Eh bien le Femto, ne permet-il pas non plus des accès web ? donc une porte ouverte au informations contenu dans nos machine
et le Femto ne sont-elle pas dépendante des box ?
Je dirais donc que j'ai vu le rapport dans la fuite d'informations permettant l'exploitation de faille afin d'atteindre nos données personnels, les moyens sont différents c'est sur mais les risques sont les même.
-
Ce qui est rapporté par Zataz : n'importe quel client SFR femto peut connaître le modèle de téléphone portable d'un autre client SFR mobile. Ça n'a rien à voir avec une « porte ouverte au informations contenu dans nos machine ».
Concernant la faille Orange : ça n'a rien à voir non plus. Une partie des clients Orange (moins de 3 %) ont eu des données personnelles dérobées par des attaquants anonymes et probablement malveillants (« noms, prénoms, adresse postale, mails, numéro de téléphone fixe et mobile, ainsi que des informations supplèmentaires que vous auriez pu préciser : composition du foyer et nombre d'abonnements Orange ou concurrents par exemple »).
-
Pour des gens biens intentionné ces informations n'ont peu de valeurs... Pour les autres ce sont des indications complèmentaire fournis par un tiers permettant de peut-être mal agir.
Au même point que d'indiqué sur Facebook nos dates de congés... pourquoi pas la marque de la serrure et le modèle...
-
Eh bien le Femto, ne permet-il pas non plus des accès web ? donc une porte ouverte au informations contenu dans nos machine
et le Femto ne sont-elle pas dépendante des box ?
Rien compris.
C'est quoi des accès Web? Des accès Internet?
Quelles informations contenues dans nos machines?
-
j'ai pas compris grand chose sur ce topic...
aucune idée de ce que le femto envoi qu'il ne devrait pas
et comme corrector je ne vois pas le rapport avec l'attaque du site d'orange.
-
On est d'accord que cette info date de quelques années maintenant ?
En rentrant un numéro de tel dans l'interface du site web SFR permettant d'ajouter/retirer des accès à la femto on récupère le modèle de téléphone en effet (surement valable qu'avec des clients SFR).
-
sachant que de toutes façon si on donne l'accès au femto c'est qu'on connait la personne je ne vois pas trop le souci?
-
On est d'accord que cette info date de quelques années maintenant ?
Oui, je le savais depuis un bon moment et ça ne m'avait pas tellement choqué (moins que les diverses données personnelles qui peuvent être récupérées depuis les tests d'éligibilité).
-
On est d'accord que cette info date de quelques années maintenant ?
En rentrant un numéro de tel dans l'interface du site web SFR permettant d'ajouter/retirer des accès à la femto on récupère le modèle de téléphone en effet (surement valable qu'avec des clients SFR).
Disons que c'est une violation de confidentialité et de vie privée (au sens large) alors, plutôt que de parler de faille de sécu exploitable.
Une information qui ne devrait pas être communiquée à un tiers l'est. Moi je trouve ça préoccupant, même si ça n'a aucune autre conséquence : ça veut dire que la confidentialité n'est pas la priorité chez cet opérateur, et le respect des clients non plus (bon ça on le savait déjà).
-
Oui, je le savais depuis un bon moment et ça ne m'avait pas tellement choqué (moins que les diverses données personnelles qui peuvent être récupérées depuis les tests d'éligibilité).
Je donne plutôt mon numéro en 09 pour qu'on ne connaisse pas mon éligibilité.
-
sachant que de toutes façon si on donne l'accès au femto c'est qu'on connait la personne je ne vois pas trop le souci?
Justement là tu peux prendre un numéro au hasard et ça te donne le téléphone utilisé avec.
Une information qui ne devrait pas être communiquée à un tiers l'est. Moi je trouve ça préoccupant, même si ça n'a aucune autre conséquence : ça veut dire que la confidentialité n'est pas la priorité chez cet opérateur, et le respect des clients non plus (bon ça on le savait déjà).
Surtout qu'afficher le modèle de téléphone n'est pas vraiment indispensable en soit...
-
ah ok! je comprend mieux le souci!
c'est vrai que c'est pas terrible!