Auteur Sujet: Espace client Free Mobile accessible sans connexion = grosse faille sécurité ?  (Lu 15353 fois)

0 Membres et 1 Invité sur ce sujet

Free_me

  • Abonné Free fibre
  • *
  • Messages: 3 075
  • Marseille
Espace client Free Mobile accessible sans connexion = grosse faille sécurité ?
« Réponse #12 le: 17 décembre 2018 à 08:23:43 »
je vois pas ce que ca a de 'pro' de filer un pass sur un partage de connection sur une sim....

underground78

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 7 434
  • Orsay (91)
    • FreePON : suivi géographique du déploiement fibre EPON chez Free
Espace client Free Mobile accessible sans connexion = grosse faille sécurité ?
« Réponse #13 le: 17 décembre 2018 à 10:27:14 »
Je pense que c'est surtout parce que ça a dû paraître pratique à la personne qui a développé cette fonctionnalité.

Thornhill

  • Abonné SFR fibre FttH
  • *
  • Messages: 3 976
  • Saint-Médard-en-Jalles (33)
Espace client Free Mobile accessible sans connexion = grosse faille sécurité ?
« Réponse #14 le: 17 décembre 2018 à 10:36:23 »
Derrière un proxy ça fonctionne de la même manière ?
Si c'est le cas, j'imagine les conséquences sur un proxy d'entreprise partagé par des milliers de personnes...


coco

  • Abonné Sosh fibre
  • *
  • Messages: 1 550
Espace client Free Mobile accessible sans connexion = grosse faille sécurité ?
« Réponse #15 le: 17 décembre 2018 à 11:48:41 »
je vois pas ce que ca a de 'pro' de filer un pass sur un partage de connection sur une sim....

J'avais croisé ça pour un pro qui utilisait une sim free pour partager la connexion pour un camping. Effectivement, c'est pas du tout pro...

Mais même pour un particulier, que ça soit au niveau des logiciels potentiellement malveillants pour une victime, ou un partage de connexion avec d'autres personnes sur un mobile android, ou un routeur 4G, c'est pas fou.

vivien

  • Administrateur
  • *
  • Messages: 47 081
    • Twitter LaFibre.info
Espace client Free Mobile accessible sans connexion = grosse faille sécurité ?
« Réponse #16 le: 17 décembre 2018 à 13:02:13 »
Cela permet à n'importe quelle application installée sur votre téléphone de récupérer votre RIB, en se connectant discrètement sur le site Free Mobile.

Myck205

  • Abonné Orange / Sosh 4G/5G
  • *
  • Messages: 6 253
  • Free FTTH 10G/SFR Box 9 8Gpartagé/Orange 5XGSPON
Espace client Free Mobile accessible sans connexion = grosse faille sécurité ?
« Réponse #17 le: 17 décembre 2018 à 13:32:47 »
Cela permet à n'importe quelle application installée sur votre téléphone de récupérer votre RIB, en se connectant discrètement sur le site Free Mobile.

Le faite que l'on soit en navigation privée et HTTPS n'empêcherait pas justement ce risque ?

Free_me

  • Abonné Free fibre
  • *
  • Messages: 3 075
  • Marseille
Espace client Free Mobile accessible sans connexion = grosse faille sécurité ?
« Réponse #18 le: 17 décembre 2018 à 13:36:23 »
ca changera pas grand chose puisque c'est le serveur en face qui te reconnait et considere que tu es authentifié.


Thornhill

  • Abonné SFR fibre FttH
  • *
  • Messages: 3 976
  • Saint-Médard-en-Jalles (33)
Espace client Free Mobile accessible sans connexion = grosse faille sécurité ?
« Réponse #19 le: 17 décembre 2018 à 13:39:38 »
L'authentification se fait uniquement sur l'IP source ou autre chose ?

Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 804
  • 73
Espace client Free Mobile accessible sans connexion = grosse faille sécurité ?
« Réponse #20 le: 17 décembre 2018 à 13:51:27 »
L'authentification se fait uniquement sur l'IP source ou autre chose ?

En principe, ça ne doit pas être l'IP fixe vu que Free Mobile utilise normalement du CG-NAT (de nombreux internautes derrière une même adresse IP). Je pense que les paquets sont marqués quand ils sortent du cœur de réseau (du GGSN en 3G/du PGW en 4G), peut-être avec un protocole comme MPLS.

Quoi qu'il en soit, ça doit être une méthode semblable à ce qu'utilisent la plupart des opérateurs pour te proposer une page ou une application qui t'affiche ta consommation de données, et/ou un portail captif le cas échéant.

J'avais entendu parler de fournisseurs d'accès qui marquaient les paquets HTTP sortants avec des en-têtes propriétaires, mais à l'heure du chiffrement j'espère bien que ce n'est plus possible.

Thornhill

  • Abonné SFR fibre FttH
  • *
  • Messages: 3 976
  • Saint-Médard-en-Jalles (33)
Espace client Free Mobile accessible sans connexion = grosse faille sécurité ?
« Réponse #21 le: 17 décembre 2018 à 13:59:02 »
Ok, je n'avais pas saisi que le problème se manifestait depuis une connexion data d'un abonnement Free Mobile.

Myck205

  • Abonné Orange / Sosh 4G/5G
  • *
  • Messages: 6 253
  • Free FTTH 10G/SFR Box 9 8Gpartagé/Orange 5XGSPON
Espace client Free Mobile accessible sans connexion = grosse faille sécurité ?
« Réponse #22 le: 17 décembre 2018 à 14:12:00 »
Ok, je n'avais pas saisi que le problème se manifestait depuis une connexion data d'un abonnement Free Mobile.

Et en navigation privée, en navigation simple, l'id est demandé.

Freedor

  • Abonné Free adsl
  • *
  • Messages: 1 505
Espace client Free Mobile accessible sans connexion = grosse faille sécurité ?
« Réponse #23 le: 18 décembre 2018 à 00:45:53 »
Cela permet à n'importe quelle application installée sur votre téléphone de récupérer votre RIB, en se connectant discrètement sur le site Free Mobile.
Et qu'est-ce que tu veux qu'elle en fasse du RIB?