La Fibre
Fournisseurs d'accès à Internet fixe en France métropolitaine => Free => Actus Free => Discussion démarrée par: rphx le 14 juin 2021 à 14:03:02
-
Bonjour,
Suite à un récent changement d'opérateur pour Free, je doute clairement de la sécurité de leur système d'information.
Déjà pour commencer, après l'inscription, Free vous fournit le mot de passe de votre espace abonné en clair par e-mail...
Mais ce qui est encore plus incroyable, c'est qu'après avoir changé ce mot de passe immédiatement par un mot de passe plus sécurisé, lors de la réception de ma Freebox et de ma fiche abonné, mon nouveau mot de passe est écrit noir sur blanc sur cette fiche !
Comment peut-on accepter ça en 2021 ? Soit les identifiants ne sont pas chiffrés, soit leur chiffrement est tellement faible que Free peut en récupérer aisément le contenu (et éventuellement toute personne ayant accès à la base de données)...
-
Bonjour,
Suite à un récent changement d'opérateur pour Free, je doute clairement de la sécurité de leur système d'information.
Déjà pour commencer, après l'inscription, Free vous fournit le mot de passe de votre espace abonné en clair par e-mail...
Mais ce qui est encore plus incroyable, c'est qu'après avoir changé ce mot de passe immédiatement par un mot de passe plus sécurisé, lors de la réception de ma Freebox et de ma fiche abonné, mon nouveau mot de passe est écrit noir sur blanc sur cette fiche !
Comment peut-on accepter ça en 2021 ? Soit les identifiants ne sont pas chiffrés, soit leur chiffrement est tellement faible que Free peut en récupérer aisément le contenu (et éventuellement toute personne ayant accès à la base de données)...
Normal, j'ai envie de dire, si il n'y avait que des *** ça serait compliqué pour le connaître.
-
Pour le mail le mdp doit être envoyé au même moment que lors de la création du compte (donc pas de récupération auprès du serveur)
-
Normal, j'ai envie de dire, si il n'y avait que des *** ça serait compliqué pour le connaître.
Envoyer au client un lien permettant de choisir son mot de passe c'est pas bien compliqué non plus.
-
Pour le mail le mdp doit être envoyé au même moment que lors de la création du compte (donc pas de récupération auprès du serveur)
ça je suis d'accord. mais ça n'explique pas comment est-ce que je peux recevoir par courrier mon nouveau mot de passe si les informations étaient bien chiffrées.
-
ça je suis d'accord. mais ça n'explique pas comment est-ce que je peux recevoir par courrier mon nouveau mot de passe si les informations étaient bien chiffrées.
Parfois c'est chiffré dans la DB mais ils interceptent l'information au moment où tu l'envoies.
Mais bon, faut pas tomber des nues non plus, chez cet opérateur toute la configuration de la Freebox est aussi stockée en clair sur leurs serveurs, clés WiFi comprises.
-
Parfois c'est chiffré dans la DB mais ils interceptent l'information au moment où tu l'envoies.
Mais bon, faut pas tomber des nues non plus, chez cet opérateur toute la configuration de la Freebox est aussi stockée en clair sur leurs serveurs, clés WiFi comprises.
Après est-ce que ledits serveurs sont accessibles au reste de l'internet ? peut-être pas non plus
-
ça je suis d'accord. mais ça n'explique pas comment est-ce que je peux recevoir par courrier mon nouveau mot de passe si les informations étaient bien chiffrées.
Tu reçois bien ton code de carte bancaire en clair par courrier !
-
Tu reçois bien ton code de carte bancaire en clair par courrier !
Granted. Et c'est une pratique de merde :)
-
Envoyer au client un lien permettant de choisir son mot de passe c'est pas bien compliqué non plus.
On peut se poser la question si l'envoi du lien par mail est plus sécure, particulièrement dans le cas où le lien est envoyé suite à la "perte" du mot de passe!
Il me semble bien que le lien est alors "open bar" dans pas mal de cas, hormis pour les sites à double authentification... (?!?)
-
Envoyer au client un lien permettant de choisir son mot de passe c'est pas bien compliqué non plus.
Ça revient au même si la boîte de mail est accessible par une personne tierse, elle pourra récupérer/changer le MDP.
Pense a changer de fai dans ton profil si t'es passé chez Free et que tu comptes pas utiliser ton droit de rétractation.
-
Parfois c'est chiffré dans la DB mais ils interceptent l'information au moment où tu l'envoies.
Mais bon, faut pas tomber des nues non plus, chez cet opérateur toute la configuration de la Freebox est aussi stockée en clair sur leurs serveurs, clés WiFi comprises.
Source ?
-
Mais bon, faut pas tomber des nues non plus, chez cet opérateur toute la configuration de la Freebox est aussi stockée en clair sur leurs serveurs, clés WiFi comprises.
Ce serait quand même surprenant que cela ne soit pas chiffré.
Maintenant, si on trouve la clef...
-
Je pense qu'il parle de la conf V5 de l'époque.
Aucun besoin de chiffrer ces informations dans la DB, dès lors qu'on a accès à l'espace client, on y a accès librement en clair et sans double authentification.
-
Source ?
Quelle source ? Tu crois que ça fonctionne comment ? Pour faire le moindre réglage il faut le faire sur leur site.
Donc si tu travailles chez Free, où que t'as accès au VPN tu peux récupérer tout.
-
Quelle source ? Tu crois que ça fonctionne comment ? Pour faire le moindre réglage il faut le faire sur leur site.
Donc si tu travailles chez Free, où que t'as accès au VPN tu peux récupérer tout.
Et si la base est chiffré et que t'a pas la clef?
-
La problématique que j'expose est plus en cas de piratage de la base de données. De nombreuses personnes utilisent quasiment le même mot de passe partout.
-
C'est pour ça que la CIA recommande : 1 site, 1 mot de passe différent 8)
Et changé tout les mois.
-
C'est pour ça que la CIA recommande : 1 site, 1 mot de passe différent 8)
Sans aller outre-flaque, il existe désormais des logiciels qui font les choses très bien concernant la gestion des mots de passe...
J'ai des couples identifiants / mots de passe différents et sécures (autant que les sites le permettent!) sur un peu plus de 250 sites...
Keepass s'occupe parfaitement de la chose, j'ai juste l'indentifiant de la base à me souvenir, il est volontairement "durci", mais comme je le rentre chaque jour, mon deuxième neurone d'en souvient...
En dehors des trucs commerciaux, c'est ce que j'ai trouvé de plus efficace, et comme il semble ne pas déplaire à l'ANSSI, pour moi, c'est bon...
-
Quelle source ? Tu crois que ça fonctionne comment ? Pour faire le moindre réglage il faut le faire sur leur site.
Donc si tu travailles chez Free, où que t'as accès au VPN tu peux récupérer tout.
La configuration se fait de moins en moins sur le site
-
La configuration se fait de moins en moins sur le site
La conf était complètement stockée sur le site avec les Box "Golgoth", présentement la V5 et la Cristal.
Avec les autres box, la conf est locale, avec semble-t-il une réplication partielle sur les serveurs de Free. J'en suis arrivé à cette conclusion parce que lors d'un remplacement de box, une partie de la conf semble récupérée après la première mise en route. Clair que ce qui est du mot de passe administration de la box est local, et ne peut être changé que si on est devant la box!
Mais là, on a quitté le sujet principal du stockage des MDP chez Free...
-
Quelle source ? Tu crois que ça fonctionne comment ? Pour faire le moindre réglage il faut le faire sur leur site.
Donc si tu travailles chez Free, où que t'as accès au VPN tu peux récupérer tout.
Pas du tout, c'est fini vitale site Free. Maintenant, tout se passe sur mafreebox.freebox.fr
Faut vivre dans le présent...
-
Pas du tout, c'est fini vitale site Free. Maintenant, tout se passe sur mafreebox.freebox.fr
Faut vivre dans le présent...
Et Free n'a pas accès à la Freebox bien sûr ?
Ensuite l'année dernière ces Freebox je les voyais encore.
-
Et Free n'a pas accès à la Freebox bien sûr ?
Ensuite l'année dernière ces Freebox je les voyais encore.
Comment ça tu les voyais ? Tu es chez free ?
-
Comment ça tu les voyais ? Tu es chez free ?
Pas besoin de l'être.
-
Et Free n'a pas accès à la Freebox bien sûr ?
Dis moi, dans Freebox, il y a Free ou non ?
-
Dis moi, dans Freebox, il y a Free ou non ?
C'est quoi le rapport dans l'histoire ?
-
ben c'est normal que free ai accès aux confs des freebox, non ? (C'est toi qui a apporté ce sujet)
-
ben c'est normal que free ai accès aux confs des freebox, non ? (C'est toi qui a apporté ce sujet)
La Freebox est installé sur le réseau local et privé de l'utilisateur, donc non.
-
La Freebox est installé sur le réseau local et privé de l'utilisateur, donc non.
Et c'est là l'erreur: le réseau local provient de la freebox, qui a la fonction de "routeur"
L'utilisateur paye un service d'accès à internet, qui se fait grâce aux freebox (et routeur perso si tu t'y connais)
-
Et c'est là l'erreur: le réseau local provient de la freebox, qui a la fonction de "routeur"
Hein ?
-
Heureusement que Free a accès aux confs des Freebox.
Comment tu veux faire un service client efficace sans ça ? Vous avez pas idée du nombre de personnes qui appellent parce que « le mot de passe du wifi il marche plus ».
Gardez bien à l’esprit que nous sommes une niche. Les box ne sont pas conçues pour les power users, même si Free est celui qui ajoute le plus de fonctionnalités avancées dedans.
La Freebox appartient à Free, Free a tous les droits dessus. C’est valable pour tous les FAI proposant des box.
Maintenant, on a quand même le RGPD.
-
Et Free n'a pas accès à la Freebox bien sûr ?
Ensuite l'année dernière ces Freebox je les voyais encore.
Tu n'as jamais mis les pieds dans un service clients. Tous les services clients ont accès aux box de leurs abonnés.
-
Après, un FAI s'en contrefout de votre clé Wifi hein. En plus, vous êtes noyés dans des millions de clients.
-
Heureusement que Free a accès aux confs des Freebox.
Comment tu veux faire un service client efficace sans ça ? Vous avez pas idée du nombre de personnes qui appellent parce que « le mot de passe du wifi il marche plus ».
Ouais hein, on se demande bien comment ils font tous ces opérateurs qui n'ont pas cet accès.
Tu n'as jamais mis les pieds dans un service clients. Tous les services clients ont accès aux box de leurs abonnés.
Faux et non.
Après, un FAI s'en contrefout de votre clé Wifi hein. En plus, vous êtes noyés dans des millions de clients.
C'est bien ça doit rassurer la NSA.
-
C'est bien ça doit rassurer la NSA.
La NSA qui va s'intéresser au mot de passe WiFi de madame Michu !!!??? Ils ont besoin de ce type d'accès aux box pour réussir à craquer un WiFi !!??
-
Je maintiens, tous les FAI parmi les 4 gros en France ont accès à la conf des box de leurs abonnés, voire en lecture/écriture.
https://fr.wikipedia.org/wiki/TR-069 n'est qu'un exemple de comment on peut faire ça.
-
Bref, une tempète dans un verre d'eau.
/me boit le verre.
-
La NSA qui va s'intéresser au mot de passe WiFi de madame Michu !!!??? Ils ont besoin de ce type d'accès aux box pour réussir à craquer un WiFi !!??
Alors pourquoi est-ce qu'ils les récoltent ?
Je maintiens, tous les FAI parmi les 4 gros en France ont accès à la conf des box de leurs abonnés, voire en lecture/écriture.
Voilà, en France et 4 gros.
-
Alors pourquoi est-ce qu'ils les récoltent ?
Voilà, en France et 4 gros.
je suis d'accord avec toi, c'est trop injuste
Lien :
https://www.youtube.com/watch?v=WmzOCtsZTW4
-
Alors pourquoi est-ce qu'ils les récoltent ?
Parce que madame Michu est probablement une menace pour le sol américain !!!
-
Parce que madame Michu est probablement une menace pour le sol américain !!!
Ok.
-
Mais naaaaaaaan ;D ::)
Posted On 16 Juin 2021
https://www.zataz.com/un-pirate-propose-pour-2-000-un-acces-aux-donnees-de-loperateur-free/
Un pirate informatique propose pour 2000$ un présumé accès à un serveur de l’opérateur Free. Le pirate annonce être capable de lire les détails des abonnés. ZATAZ vous explique pourquoi c’est faux !
Le pirate explique que pour 2000$ US, il est capable de fournir l’accès à une injection SQL qui ouvrirait en grand les portes de la filiale d’Iliad.
-
Mais naaaaaaaan ;D ::)
Posted On 16 Juin 2021
https://www.zataz.com/un-pirate-propose-pour-2-000-un-acces-aux-donnees-de-loperateur-free/
Un pirate informatique propose pour 2000$ un présumé accès à un serveur de l’opérateur Free. Le pirate annonce être capable de lire les détails des abonnés. ZATAZ vous explique pourquoi c’est faux !
Le pirate explique que pour 2000$ US, il est capable de fournir l’accès à une injection SQL qui ouvrirait en grand les portes de la filiale d’Iliad.
2000$ pour savoir si l'on est éligible à la fibre !!! C'est moins cher en allant directement sur le site de Free....
-
Aucune données nominatives ou sensibles.
Les informations sensibles annoncées par le pirate ? Des adresses de rues disponibles en opendata. Des données que Free publie aussi via l’ARCEP.
Heureusement que le ridicule ne tue pas.
-
Heureusement que le ridicule ne tue pas.
Y a pas de doute qu'il a du se prendre pour un grand hacker sur le moment 😂
-
Y a pas de doute qu'il a du se prendre pour un grand hacker sur le moment 😂
Et j'y retourne avec un jeu de mot foireux: "Hacker vaillant, rien d'impossible!" - Kidisait! ;)
-
C'est pour ça que la CIA recommande : 1 site, 1 mot de passe différent 8)
Et changé tout les mois.
Non, la CIA ne recommande pas de changer tous les mois. Et c’est même l’inverse, le changement régulier tend à mettre des mots de passe faibles.
-
Oui et puis on les répètes en plus, c'est la tournante des mots de passes :-X
-
Oui et puis on les répètes en plus, c'est la tournante des mots de passes :-X
J'ai connu cela dans une très grosse structure... Du coup, les utilisateurs changaient leur mot de passe tous les mois, en gardant la même racine et en rajoutant l'année et le mois... Génial! :(