La Fibre
Fournisseurs d'accès à Internet mobile et 5G/4G fixe => 5G/4G Free Mobile => Actu Free Mobile => Discussion démarrée par: yvesd92 le 15 décembre 2018 à 16:50:56
-
Bonjour,
Je viens de réaliser et (de tester) que l'espace abonné Free Mobile est accessible sans la moindre identification lorsque l'on accède à https://mobile.free.fr/moncompte , aussi bien depuis le téléphone que depuis un appareil connecté si l'on partage sa connexion.
Cela veut dire que n'importe quelle application malveillante ou utilisateur à qui on partagerait sa connexion a accès à toutes les infos visibles dans l'espace abonné :
- Nom, prénom
- Consommation
- toutes les précédentes factures, détaillées
- Adresse
- RIB !
- e-mail
- Code PUK
- Tous les messages vocaux !
Suis-je le seul à tiquer ? Et surtout, peut-on couper ce comportement ?
J'ai déjà essayé de cliquer sur Déconnexion, ça ne change rien, on est à nouveau identifié si l'on efface les cookies
Merci
-
Pas de problème de mon coté, l'id et mot de passe sont bien demandés, et pas de problème pour se déconnecter.
-
Je n'ai pas spécialement d'info sur ce sujet, mais je voudrais quand même préciser que tu t'exposes à des choses plus graves que ça en cas d'utilisation malveillante de la connexion que tu partagerais.
-
Tu arrives a récupérer le RIB depuis un navigateur en mode "navigation privé" sans rentrer d'identifiant / mot de passe ?
Tu nous ferais une vidéo (par exemple en filmant ton PC connecté en partage de connexion sur ton mobile ou en utilisant un outil pour faire une capture vidéo + floutage des info perso)
Pour que cela soit convaincant, il faut que tu démarre la vidéo avant de lancer le navigateur en mode privé.
-
Bonjour,
@Myck205 Pouvez vous essayer en mode navigation privée ? Je suis sûr de mon test, car j'ai essayé avec plusieurs navigateurs et plusieurs reprises. A chaque fois, en mode navigation privée, le ID + Mdp ne m'ont pas été demandés.
@Nico Ce ne sont pas les gens à qui je partage qui me font peur, plutôt les apps installées sur mon téléphone :) à l'heure où on parle des multiples trackers installés dans toutes les applis. Ceci dit je pense que l'info pourrait surprendre des gens qui partageraient facilement leur connexion
https://lafibre.info/videos/free/201812_espaceclient_freemobile_sans_connexion.mp4
Je ne clique volontairement pas sur "Version classique" (0:27) car cela afficherait toutes les infos mentionnées, et je n'ai pas le temps/envie/connaissances pour cacher des éléments sur une vidéo. Tout Free-mobi-naute pourra refaire le test
-
Merci, c'est impressionnant.
-
En même temps, qui partage sa connexion avec n'importe qui?
-
Pas moi (relisez svp). En revanche, je ne connais exactement ce que fait chaque appli installée dans mon téléphone, et malgré les permissions d'Android/iOS, je ne voudrais pas que les infos mentionnées ci dessus soient accessible sur un plateau doré à l'importe quelle appli
-
Merci, c'est impressionnant.
Mouais, orange.fr faisait mieux quand même.
Avec Orange on pouvait lire les mails et faire des achats.
-
J'ai testé depuis mon portable, et effectivement ça se log automatiquement, probablement via le numéro de tel
-
Bonjour,
ça a été toujours ça depuis le début de free mobile je crois. J'aime pas cette façon de faire et je connais même des personnes qui utilisent la 4G free a titre "plus ou moins pro" et qui partagent donc l'accès à leur compte abonné.
-
C'est peut-être pour éviter ce genre d'usages "plus ou moins pro" que Free mobile ne permet pas de désactiver ça...
-
je vois pas ce que ca a de 'pro' de filer un pass sur un partage de connection sur une sim....
-
Je pense que c'est surtout parce que ça a dû paraître pratique à la personne qui a développé cette fonctionnalité.
-
Derrière un proxy ça fonctionne de la même manière ?
Si c'est le cas, j'imagine les conséquences sur un proxy d'entreprise partagé par des milliers de personnes...
-
je vois pas ce que ca a de 'pro' de filer un pass sur un partage de connection sur une sim....
J'avais croisé ça pour un pro qui utilisait une sim free pour partager la connexion pour un camping. Effectivement, c'est pas du tout pro...
Mais même pour un particulier, que ça soit au niveau des logiciels potentiellement malveillants pour une victime, ou un partage de connexion avec d'autres personnes sur un mobile android, ou un routeur 4G, c'est pas fou.
-
Cela permet à n'importe quelle application installée sur votre téléphone de récupérer votre RIB, en se connectant discrètement sur le site Free Mobile.
-
Cela permet à n'importe quelle application installée sur votre téléphone de récupérer votre RIB, en se connectant discrètement sur le site Free Mobile.
Le faite que l'on soit en navigation privée et HTTPS n'empêcherait pas justement ce risque ?
-
ca changera pas grand chose puisque c'est le serveur en face qui te reconnait et considere que tu es authentifié.
-
L'authentification se fait uniquement sur l'IP source ou autre chose ?
-
L'authentification se fait uniquement sur l'IP source ou autre chose ?
En principe, ça ne doit pas être l'IP fixe vu que Free Mobile utilise normalement du CG-NAT (de nombreux internautes derrière une même adresse IP). Je pense que les paquets sont marqués quand ils sortent du cœur de réseau (du GGSN en 3G/du PGW en 4G), peut-être avec un protocole comme MPLS.
Quoi qu'il en soit, ça doit être une méthode semblable à ce qu'utilisent la plupart des opérateurs pour te proposer une page ou une application qui t'affiche ta consommation de données, et/ou un portail captif le cas échéant.
J'avais entendu parler de fournisseurs d'accès qui marquaient les paquets HTTP sortants avec des en-têtes propriétaires, mais à l'heure du chiffrement j'espère bien que ce n'est plus possible.
-
Ok, je n'avais pas saisi que le problème se manifestait depuis une connexion data d'un abonnement Free Mobile.
-
Ok, je n'avais pas saisi que le problème se manifestait depuis une connexion data d'un abonnement Free Mobile.
Et en navigation privée, en navigation simple, l'id est demandé.
-
Cela permet à n'importe quelle application installée sur votre téléphone de récupérer votre RIB, en se connectant discrètement sur le site Free Mobile.
Et qu'est-ce que tu veux qu'elle en fasse du RIB?
-
Mettre en place des prélèvements ? Depuis SEPA, la plupart des banques acceptent automatiquement tous les prélèvements.
-
Pas sans ton accord...
-
Sur mes 2 banques, je n'ai jamais donné mon accord pour que les différents organismes me prélèvent, pourtant ça fonctionne (acceptation automatique par défaut depuis SEPA).
-
En effet, l'accord est par défaut pour les particuliers.
-
Je viens d'essayer
Pas possible
-
Parfois la connexion se fait automatiquement, parfois non.
-
J’ai pu récupérer le numéro de deux filles grâce a l’espace client non sécurisé. 8)
Et avec un point d’accès WIFI ou elles avaient enlevé le mot de passe bien entendu ;)
-
J’ai pu récupérer le numéro de deux filles grâce a l’espace client non sécurisé. 8)
Et avec un point d’accès WIFI ou elles avaient enlevé le mot de passe bien entendu ;)
Petit voyou 😂
-
Je leur ai appris un début de sécurité, c’est différent ;D