Auteur Sujet: Espace client Free Mobile accessible sans connexion = grosse faille sécurité ?  (Lu 15354 fois)

0 Membres et 1 Invité sur ce sujet

yvesd92

  • Abonné Free adsl
  • *
  • Messages: 14
Bonjour,

Je viens de réaliser et (de tester) que l'espace abonné Free Mobile est accessible sans la moindre identification lorsque l'on accède à https://mobile.free.fr/moncompte , aussi bien depuis le téléphone que depuis un appareil connecté si l'on partage sa connexion.

Cela veut dire que n'importe quelle application malveillante ou utilisateur à qui on partagerait sa connexion a accès à toutes les infos visibles dans l'espace abonné :
  • Nom, prénom
  • Consommation
  • toutes les précédentes factures, détaillées
  • Adresse
  • RIB !
  • e-mail
  • Code PUK
  • Tous les messages vocaux !

Suis-je le seul à tiquer ? Et surtout, peut-on couper ce comportement ?

J'ai déjà essayé de cliquer sur Déconnexion, ça ne change rien, on est à nouveau identifié si l'on efface les cookies

Merci

Myck205

  • Abonné Orange / Sosh 4G/5G
  • *
  • Messages: 6 253
  • Free FTTH 10G/SFR Box 9 8Gpartagé/Orange 5XGSPON
Espace client Free Mobile accessible sans connexion = grosse faille sécurité ?
« Réponse #1 le: 15 décembre 2018 à 17:00:30 »
Pas de problème de mon coté, l'id et mot de passe sont bien demandés, et pas de problème pour se déconnecter.

Nico

  • Modérateur
  • *
  • Messages: 44 450
  • FTTH 1000/500 sur Paris 15ème (75)
    • @_GaLaK_
Espace client Free Mobile accessible sans connexion = grosse faille sécurité ?
« Réponse #2 le: 15 décembre 2018 à 17:01:06 »
Je n'ai pas spécialement d'info sur ce sujet, mais je voudrais quand même préciser que tu t'exposes à des choses plus graves que ça en cas d'utilisation malveillante de la connexion que tu partagerais.

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
Espace client Free Mobile accessible sans connexion = grosse faille sécurité ?
« Réponse #3 le: 15 décembre 2018 à 17:06:04 »
Tu arrives a récupérer le RIB depuis un navigateur en mode "navigation privé" sans rentrer d'identifiant / mot de passe ?

Tu nous ferais une vidéo (par exemple en filmant ton PC connecté en partage de connexion sur ton mobile ou en utilisant un outil pour faire une capture vidéo + floutage des info perso)

Pour que cela soit convaincant, il faut que tu démarre la vidéo avant de lancer le navigateur en mode privé.

yvesd92

  • Abonné Free adsl
  • *
  • Messages: 14
Espace client Free Mobile accessible sans connexion = grosse faille sécurité ?
« Réponse #4 le: 15 décembre 2018 à 19:39:15 »
Bonjour,

@Myck205 Pouvez vous essayer en mode navigation privée ? Je suis sûr de mon test, car j'ai essayé avec plusieurs navigateurs et plusieurs reprises. A chaque fois, en mode navigation privée, le ID + Mdp ne m'ont pas été demandés.

@Nico Ce ne sont pas les gens à qui je partage qui me font peur, plutôt les apps installées sur mon téléphone :) à l'heure où on parle des multiples trackers installés dans toutes les applis. Ceci dit je pense que l'info pourrait surprendre des gens qui partageraient facilement leur connexion



Je ne clique volontairement pas sur "Version classique" (0:27) car cela afficherait toutes les infos mentionnées, et je n'ai pas le temps/envie/connaissances pour cacher des éléments sur une vidéo. Tout Free-mobi-naute pourra refaire le test

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
Espace client Free Mobile accessible sans connexion = grosse faille sécurité ?
« Réponse #5 le: 15 décembre 2018 à 21:32:43 »
Merci, c'est impressionnant.

Freedor

  • Abonné Free adsl
  • *
  • Messages: 1 505
Espace client Free Mobile accessible sans connexion = grosse faille sécurité ?
« Réponse #6 le: 15 décembre 2018 à 23:49:16 »
En même temps, qui partage sa connexion avec n'importe qui?

yvesd92

  • Abonné Free adsl
  • *
  • Messages: 14
Espace client Free Mobile accessible sans connexion = grosse faille sécurité ?
« Réponse #7 le: 15 décembre 2018 à 23:53:09 »
Pas moi (relisez svp). En revanche, je ne connais exactement ce que fait chaque appli installée dans mon téléphone, et malgré les permissions d'Android/iOS, je ne voudrais pas que les infos mentionnées ci dessus soient accessible sur un plateau doré à l'importe quelle appli

cali

  • Officiel Ukrainian Resilient Data Network
  • Fédération FDN
  • *
  • Messages: 2 401
    • Ukrainian Resilient Data Network
Espace client Free Mobile accessible sans connexion = grosse faille sécurité ?
« Réponse #8 le: 16 décembre 2018 à 01:43:17 »
Merci, c'est impressionnant.

Mouais, orange.fr faisait mieux quand même.

Avec Orange on pouvait lire les mails et faire des achats.

Myck205

  • Abonné Orange / Sosh 4G/5G
  • *
  • Messages: 6 253
  • Free FTTH 10G/SFR Box 9 8Gpartagé/Orange 5XGSPON
Espace client Free Mobile accessible sans connexion = grosse faille sécurité ?
« Réponse #9 le: 16 décembre 2018 à 10:54:13 »
J'ai testé depuis mon portable, et effectivement ça se log automatiquement, probablement via le numéro de tel

coco

  • Abonné Sosh fibre
  • *
  • Messages: 1 551
Espace client Free Mobile accessible sans connexion = grosse faille sécurité ?
« Réponse #10 le: 16 décembre 2018 à 17:42:00 »
Bonjour,
ça a été toujours ça depuis le début de free mobile je crois. J'aime pas cette façon de faire et je connais même des personnes qui utilisent la 4G free a titre "plus ou moins pro" et qui partagent donc l'accès à leur compte abonné.

Freedor

  • Abonné Free adsl
  • *
  • Messages: 1 505
Espace client Free Mobile accessible sans connexion = grosse faille sécurité ?
« Réponse #11 le: 17 décembre 2018 à 00:48:59 »
C'est peut-être pour éviter ce genre d'usages "plus ou moins pro" que Free mobile ne permet pas de désactiver ça...