La Fibre
Fournisseurs d'accès à Internet fixe en France métropolitaine => Orange / Sosh => 
Actus Orange => Discussion démarrée par: scope le 02 novembre 2014 à 18:18:35
-
Bonjour,
Cela concerne la non sécurité chez Orange:
Lors de la connexion sur lafibre.orange.fr
la phase d'identification utilisateur/mot de passe
se déroule en HTTP non sécurisé.
utilisateur et mot de passe passent "en clair" sur le réseau.
étonnant non ?
-
Non.
C'est "Internet par Orange".
-
Même certains paiements se faisaient en HTTP sur le site d'Orange et ça n'était qu'il y a 2/3 ans que je l'avais remarqué et signalé, je ne sais pas si ça a été corrigé depuis.
-
Il y a pas très longtemps, l'authentification du mail se faisait juste avec l'IP, sans aucun mot de passe.
Du coup au boulot (connexion orange partagée par 50 gars), suffisait de se rendre sur le site orange pour voir le compte mail de la boite...
-
C'est toujours en vigueur cette authentification par IP.
Il y'a 2 semaines je me connecte au wifi de mes beaux-parents et vais sur le site Orange pour consulter les offres. Je me suis retrouvé directement connecté sur le compte Orange de mon beau-père.
J'avais accès aux infos de connexion, aux options de l'abonnement, etc.
C'est vraiment limite.
-
Je confirme, chez moi, il suffit d'aller sur le site Orange pour être automatiquement redirigé vers le site fibre d'Orange avec l'accès à l'ensemble de mes infos (je n'ai pas trouvé comment bloquer ça).
-
Bonsoir,
pour "bloquer" la connexion automatique sur son compte Orange,
il faut juste créer un deuxième utilisateur.
Il y aura alors demande d'utilisateur et mot de passe pour se connecter.
(decochez aussi la mémorisation du mot de passe)
Ne pas oublier de se déconnecter avant la sortie.
Mais je suis quand même inquiet pour la non sécurité de
l'identification Orange qui se fait en HTTP et non en HTTPS.
-
Merci pour la solution qui me paraît (comme souvent avec Orange) aberrante...
-
L'aberrante authentification par IP est effectivement toujours présente. Ma famille et mes potes a qui je file un accès wifi invité on tout le loisirs de modifier ma formule comme ils veulent.
J'aimerai d'ailleurs connaître la réponse d'Orange si demain je souscris à tous les packs TV et que dans 10 jours j'affirme n'y être pour rien et que c'est lié à leur stupide auth par IP ?
-
Je pense que c'est une prise de risque assumée par Orange : Cela coûte moins cher de ne pas avoir d'appel de Mme michu qui n'arrive pas a accéder a ses mails que de rembourser quelques clients.
C'est le même chose pour le paiement de consommation Internet sur facture du FAI (Internet+, Google Play pour certains FAi, ect...),
-
Ce connecter par l'intermédiaire d'un bac à sable d'une suite de sécurité ?
-
Chiche ! Je souscris à Canal+ dès que les programmes m'intéressent et je pète une gueulante à la première facture en disant que ce n'était pas moi !
-
Bonjour,
Il ne fait alors pas bon de s'identifier avec son compte Orange!
Sur internet, la capture par sniffer doit être élaborée,
je n'en ai pas d'idée;
mais,
en réseau local d'entreprise, d'un lieu public ou privé, il n'est vraiment pas
compliqué de capturer les trames d'identification;
celles qui ne sont pas sécurisées encore plus facilement que les autres.
Tout y est en clair.
-
Bonjour,
Cela concerne la non sécurité chez Orange:
Lors de la connexion sur lafibre.orange.fr
la phase d'identification utilisateur/mot de passe
se déroule en HTTP non sécurisé.
utilisateur et mot de passe passent "en clair" sur le réseau.
étonnant non ?
Je ne vois pas à quel moment les informations login/password passent en clair sur le réseau.
D'accord la page d'authentification est en HTTP : http://id.orange.fr/auth_user/bin/authNuser.cgi?date=1415........ (http://id.orange.fr/auth_user/bin/authNuser.cgi?date=1415........)
Mais la requête POST contenant les infos d'authentifications est envoyée en https.
-
Bonjour,
Alors, tant mieux!
Merci pour cette précision du https du post d'identification envoyé.
Alors,j'ai associé, à tort, http et non sécurité!
ne voyant pas la mécanique interne du post https sécurisé.
ce fil peut être fermé.
-
En admettant que les données sont envoyées chiffrées, comment l'utilisateur est censé le savoir? Est-ce que ça change quoi que ce soit sur le fond?
-
Bonjour à tous,
Pour ne pas être authentifié automatiquement en arrivant sur le site orange (orange.fr) depuis votre connexion voici la solution et qui fonctionne en plus !!!
http://communaute.orange.fr/t5/prot%C3%A9ger-mes-donn%C3%A9es-et-mon/Acces-automatique-a-l-espace-client/m-p/11874#M202 (http://communaute.orange.fr/t5/prot%C3%A9ger-mes-donn%C3%A9es-et-mon/Acces-automatique-a-l-espace-client/m-p/11874#M202)
-
La solution a été donnée + haut mais il n'est pas normal de devoir faire ça pour être tranquille.
-
La solution a été donnée + haut mais il n'est pas normal de devoir faire ça pour être tranquille.
Oui (https://lafibre.info/orange-debit/migration-free-adsl-vers-livebox-play-fibre-orange/msg172273/#msg172273) ;)