Freezone S'inscrire

Free lance enfin un nouveau système de mot de passe sécurisé pour ses abonnés Freebox

Beaucoup de Freenautes l’attendaient depuis des années, Free a changé la procédure de récupération des mots de passe des espaces abonnés. Dorénavant, un lien est envoyé à l’abonné ayant oublié son mot de passe pour le réinitialiser.

L’opérateur de Xavier Niel a enfin chiffré ses mots de passes pour accéder à l’espace abonné Freebox. En effet, auparavant, un abonné ayant oublié son mot de passe et cliquant sur le lien pour le récupérer recevait l’ensemble de ses identifiants en clair par mail, comme ci dessous.

Le mot de passe et les identifiants étaient affichés clairement et c’était un problème au niveau de la sécurité. Cela voulait dire qu’une personne malintentionnée pouvait directement accéder à ces mots de passe si elle pénétrait la base de donnée de Free. L’opérateur a donc changé la donne, en chiffrant les mots de passe dans sa base de données, ce qui change également la manière de récupérer son mot de passe. Dorénavant, un lien unique est envoyé à l’abonné, valable 30 minutes de manière à ce que ce dernier puisse changer son mot de passe.

Free a donc revu en profondeur son système de gestion des mots de passe. Une manière donc de protéger l’abonné et ses identifiants. Une personne s’introduisant dans la base de donnée de Free n’aura ainsi aucun moyen d’accéder aux mots de passe des abonnés Freebox. Le chiffrement de ces données était attendu des Freenautes, c’est maintenant une réalité.

Publié le par
Partager sur Google + Partager sur Twitter Partager sur Facebook Alertes mail Partager
COMMENTAIRES DES LECTEURS (30)
Afficher les 15 premiers commentaires...
Posté le 25 janvier 2020 à 09h31 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter Voter plus un Voter moins un
Hum Hum !!! a écrit

Les identifiants étaient sécurisés sur les serveur de Free, mais c'est la procédure de récupération qui n'était pas bonne.


À partir du moment où lors d'une demande, on te renvoi ton mot de passe existant, plutôt que de t'en créer un nouveau, c'est que les mots de passe ne sont pas sécurisés sur le serveur : ils ne sont pas hashés, puisque le serveur a été capable de retrouver le mot de passe pour te l'envoyer. Ils sont éventuellement chiffrés, mais ça ça ne sert à rien en cas de compromission du serveur : le serveur dispose des informations nécessaires pour le déchiffrer (puisqu'il arrive à le faire !), donc celui qui compromet le serveur pourra probablement lui aussi les déchiffrer.

christophedlr a écrit
Le système 2FA (Double Authentification) n'est pas imposé, c'est conseillé mais non obligatoire et encore heureux : tout le monde n'a pas un smartphone. Chez moi c'est ma mère qui a la ligne, et dans la maison je suis le seul avec un smartphone : ma mère et mon frère n'en ont pas, donc question comment faire alors si on nous impose le 2FA ?

2FA n'implique pas nécessairement smartphone. Le code à usage unique peut par exemple aussi être envoyé par simple SMS, compatible avec n'importe quel téléphone portable, ou même par message vocal, compatible avec tous les téléphones.

Il peut également être généré côté client par une application implémentant la RFC 6238 (Google Authenticator sur smartphone, mais il en existe aussi des implémentations pour tous les autres OS... on pourrait bien sûr aussi envisager une application maison, avec son propre algorithme, mais tant qu'à faire, autant utiliser un truc standard) ou par un générateur physique fourni au client (RSA SecureID et autres appareils du même genre, mais bien sûr cette solution a l'inconvénient d'un coût supérieur).

Et puis finalement, il y a la version super low-cost du 2FA, mais qui marche très bien aussi : on fourni au début une liste de codes au client et quand il y a besoin d'un code, il en pioche un dans la liste, soit n'importe lequel, soit en lui demandant spécifiquement le code à telle position.

Bref, y a plein de solutions sans passer par un smartphone.

Après, je suis d'accord avec toi que pour ce qui est de l'accès à l'espace client de Free, c'est loin d'être indispensable de proposer la 2FA, et encore moins de l'imposer : cet espace client contient peu d'informations critiques en cas de compromission (et non, un RIB ce n'est pas critique). Pour moi, les seules parties qui à la limite nécessiteraient d'utiliser le 2FA, c'est l'accès au paramètres de la Freebox (pouvoir ouvrir des ports à distance comme ça, ça peut compromettre la sécurité d'une machine située derrière la Freebox, et là il peut y avoir des infos plus sensibles) et l'activation d'Internet+ (on pourrait imaginer une attaque où après compromission du compte client l'attaquant active Internet+ puis envoie des mails contenant des liens renvoyant vers des services Internet+...).

Posté le 25 janvier 2020 à 09h34 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter Voter plus un Voter moins un

llopht a écrit

MD5 pour du cryptage ? Ah ok, il faut donc apprendre à coder... en profondeur.

christophedlr a écrit

Le MD5 n'est plus sécurisé depuis des lustres, le SHA1 non plus, maintenant on recommande le bcrypt qui reste encore aujourd'hui le plus sécurisé pour l'instant pour des passwords.

MattS38 a écrit

@mdes1 > Faut te mettre à jour, ça fait très longtemps que md5 est à proscrire pour le hachage des mots de passe.

Désolé pour avoir parlé de MD5, les miens sont bien cryptés/codés/hashés… en bcrypt via password_hash() avec "PASSWORD_DEFAULT - Utilisation de l'algorithme bcrypt (par défaut depuis PHP 5.5.0)".

Posté le 25 janvier 2020 à 09h45 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter Voter plus un Voter moins un
MattS38 a écrit

À partir du moment où lors d'une demande, on te renvoi ton mot de passe existant, plutôt que de t'en créer un nouveau, c'est que les mots de passe ne sont pas sécurisés sur le serveur : ils ne sont pas hashés, puisque le serveur a été capable de retrouver le mot de passe pour te l'envoyer. Ils sont éventuellement chiffrés, mais ça ça ne sert à rien en cas de compromission du serveur : le serveur dispose des informations nécessaires pour le déchiffrer (puisqu'il arrive à le faire !), donc celui qui compromet le serveur pourra probablement lui aussi les déchiffrer.

2FA n'implique pas nécessairement smartphone. Le code à usage unique peut par exemple aussi être envoyé par simple SMS, compatible avec n'importe quel téléphone portable, ou même par message vocal, compatible avec tous les téléphones.

Il peut également être généré côté client par une application implémentant la RFC 6238 (Google Authenticator sur smartphone, mais il en existe aussi des implémentations pour tous les autres OS... on pourrait bien sûr aussi envisager une application maison, avec son propre algorithme, mais tant qu'à faire, autant utiliser un truc standard) ou par un générateur physique fourni au client (RSA SecureID et autres appareils du même genre, mais bien sûr cette solution a l'inconvénient d'un coût supérieur).

Et puis finalement, il y a la version super low-cost du 2FA, mais qui marche très bien aussi : on fourni au début une liste de codes au client et quand il y a besoin d'un code, il en pioche un dans la liste, soit n'importe lequel, soit en lui demandant spécifiquement le code à telle position.

Bref, y a plein de solutions sans passer par un smartphone.

Après, je suis d'accord avec toi que pour ce qui est de l'accès à l'espace client de Free, c'est loin d'être indispensable de proposer la 2FA, et encore moins de l'imposer : cet espace client contient peu d'informations critiques en cas de compromission (et non, un RIB ce n'est pas critique). Pour moi, les seules parties qui à la limite nécessiteraient d'utiliser le 2FA, c'est l'accès au paramètres de la Freebox (pouvoir ouvrir des ports à distance comme ça, ça peut compromettre la sécurité d'une machine située derrière la Freebox, et là il peut y avoir des infos plus sensibles) et l'activation d'Internet+ (on pourrait imaginer une attaque où après compromission du compte client l'attaquant active Internet+ puis envoie des mails contenant des liens renvoyant vers des services Internet+...).

Non, code envoyé par SMS ce n'est pas le 2FA, le principe du 2FA c'est un numéro fournis au client et générer suivant la norme (cf. Google Authenticator qui implémente cette norme), le client doit rentrer alors cet identifiant sur un logiciel qui implémente cette norme, et c'est ce dernier qui va fournir un code qui n'est valide que 30 secondes et une seule fois seulement.

Ainsi, pour pouvoir passer la sécurité il faut que le numéro en question soit compromis et donc utiliser par le pirate pour obtenir le code à usage unique. Pour ton cas du SMS ce n'est pas pareil : c'est simplement un code générer aléatoirement que tu peux très bien générer avec mt_rand, et qui est fournis par SMS, ce code n'est valide par le serveur qu'un temps limité.

Les deux systèmes sont totalement différent, le 2FA est parfaitement sécurisé tan que le numéro permettant au système de générer le code à usage unique n'est pas compromis, dans le second cas le piratage du serveur suffit à outrepasser cette sécurité, alors que dans le premier cas il faut que le numéro 2FA soit compromis (tan qu'il n'est pas en possession du pirate, le compte n'est pas compromis).

Pour ce qui est d'utiliser un logiciel sous Windows par exemple, WinAuth existe mais c'est de toute façon une contrainte : le client doit connaître l'existence d'un tel logiciel, en installer un et apprendre à l'utiliser hors il y en a plusieurs des logiciels ou sites internet qui le permettent, donc il faudrait que Free les listes tous et en fasse des tutos ; de plus si l'ordinateur du client est compromis (plus probable que le smartphone cela dit), le 2FA n'a plus d'utilité ; c'est pourquoi on déconseille ces solutions là justement.

Dans tout les cas, une procédure de sécurité supplémentaire, que se soit avec le code par SMS ou le 2FA, n'a pas à être obligatoire sauf pour certaines choses comme par exemple quand on achète par internet avec la CB, tout les sites marchands n'utilisent pas l'API qui permet de demander une validation au client ; beaucoup utilise l'ancienne version du protocole et du coup on a aucune sécurité : la CB est compromise donc les paiements sont possible. Si la nouvelle version du protocole est utilisée, alors automatiquement le système de paiement demandera au client un code fournis par SMS ou directement de valider sur l'application de la banque.

Je précise que cette sécurité est interne à la banque : si usage du nouveau protocole de paiement, automatiquement l'API appel le système de la banque, c'est donc une page de la banque qui demande confirmation du paiement avec le code par SMS ou la validation directement sur l'appli de la banque.

Par exemple moi avec la BNP, comme j'ai l'application et activé la clé digitale, automatiquement ce n'est pas un SMS que je reçois mais une demande de validation par l'application, ma mère qui n'a pas de smartphone c'est un SMS qu'elle reçoit.

Là oui se sont des procédures qui devraient pour moi être obligatoire, car c'est critique, mais en dehors de ça, SMS, 2FA ou une application spécifique, ça doit rester de l'ordre de l'option recommandée mais non obligatoire.

Posté le 25 janvier 2020 à 10h51 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter Voter plus un Voter moins un
christophedlr a écrit

Non, code envoyé par SMS ce n'est pas le 2FA, le principe du 2FA c'est un numéro fournis au client et générer suivant la norme (cf. Google Authenticator qui implémente cette norme), le client doit rentrer alors cet identifiant sur un logiciel qui implémente cette norme, et c'est ce dernier qui va fournir un code qui n'est valide que 30 secondes et une seule fois seulement.

Non. 2FA ça ne veut pas dire RFC 6238 (la norme utilisée pour GAuth). 2FA, ça veut juste dire two-factor authentication, donc authentification utilisant deux facteurs d'authentification différent, parmi les 3 facteurs qui existent : ce que l'utilisateur sait (donc là dedans, il y a les logins, mot de passe, etc...), ce que l'utilisateur possède (c'est là qu'on trouve GAuth, ou encore les SMS), qui l'utilisateur est (là c'est tout ce qui est biométrie) et, plus rare, où l'utilisateur se trouve (c'est un mode de 2FA qui est utilisé par Free pour certaines fonctionnalités : certains réglages dans l'espace client ne peuvent se faire que depuis la ligne de l'abonné, par vérification de l'IP, et d'autres nécessitent la saisie d'un code s'affichant sur la Freebox, ce qui peut être considéré à la fois comme de la possession et de la localisation, puisque contrairement à d'autres appareils affichant des codes à usage unique, la Freebox ne fonctionne que dans un emplacement donné).

Dès lors qu'on utilise une combinaison de deux de ces facteurs, on fait du 2FA (ce qui d'ailleurs peut se faire même sans mot de passe, par exemple un code SMS ou GAuth et une empreinte digitale, c'est du 2FA).

Le SMS, la liste de codes pré-générés, les dongle de sécurité (FIDO, U2F, etc...), le TOTP RFC 6238, etc... tout ça c'est du 2FA quand c'est combiné avec un identifiant connu de l'utilisateur ou avec de la biométrie (par contre, un code GAuth et un dongle de sécurité par exemple, ce n'est plus du 2FA : on a deux méthodes d'authentification différentes, mais elles sont de même type).

Un peu de lecture : https://en.wikipedia.org/wiki/Multi-factor_authentication

christophedlr a écrit

Ainsi, pour pouvoir passer la sécurité il faut que le numéro en question soit compromis et donc utiliser par le pirate pour obtenir le code à usage unique. Pour ton cas du SMS ce n'est pas pareil : c'est simplement un code générer aléatoirement que tu peux très bien générer avec mt_rand, et qui est fournis par SMS, ce code n'est valide par le serveur qu'un temps limité.

Non, pas nécessairement. Le système par SMS peut tout a fait également fonctionner avec la RFC 6238 ou tout autre système, ce n'est pas nécessairement aléatoire. Dans les deux dernières boîtes où j'ai bossé, on avait un système par SMS pour l'accès distant au VPN, et dans les deux cas ce n'était pas de l'aléatoire. La première, c'était un système fourni par RSA, fonctionnant de la même façon que les clés SecureID. La deuxième, c'était du RFC 6238. Et dans les deux cas, le serveur gérant les SMS n'était bien entendu pas le même que celui gérant le VPN.

christophedlr a écrit
Les deux systèmes sont totalement différent, le 2FA est parfaitement sécurisé tan que le numéro permettant au système de générer le code à usage unique n'est pas compromis, dans le second cas le piratage du serveur suffit à outrepasser cette sécurité, alors que dans le premier cas il faut que le numéro 2FA soit compromis (tan qu'il n'est pas en possession du pirate, le compte n'est pas compromis).

Dans le cas de GAuth, il peut aussi y avoir accès si le serveur est compromis : l'attaquant peut remplacer la clé de vérification de l'OTP sur le serveur par une nouvelle clé, pour laquelle il connait la clé de génération, et hop, il peut générer des codes. De toute façon, quelque soit la méthode de 2FA utilisé, à partir du moment où le serveur d'authentification est compromis, le compte est compromis. Le 2FA sert uniquement pour palier à la compromission la plus probable : celle du mot de passe de l'utilisateur.

Et accessoirement, dans le cas de GAuth, j'aurais tendance à considérer que le smartphone, qui contient la clé de génération, a plus de risque de se faire compromettre que le serveur d'authentification. Quand on voit que même un Jeff Bezos arrive à se faire compromettre son smartphone...

Avatar du membre
sebc22
Envoyer message
 
2711 points
Posté le 27 janvier 2020 à 10h37 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter Voter plus un Voter moins un
MattS38 a écrit

Non. 2FA ça ne veut pas dire RFC 6238 (la norme utilisée pour GAuth). 2FA, ça veut juste dire two-factor authentication, donc authentification utilisant deux facteurs d'authentification différent, parmi les 3 facteurs qui existent : ce que l'utilisateur sait (donc là dedans, il y a les logins, mot de passe, etc...), ce que l'utilisateur possède (c'est là qu'on trouve GAuth, ou encore les SMS), qui l'utilisateur est (là c'est tout ce qui est biométrie) et, plus rare, où l'utilisateur se trouve (c'est un mode de 2FA qui est utilisé par Free pour certaines fonctionnalités : certains réglages dans l'espace client ne peuvent se faire que depuis la ligne de l'abonné, par vérification de l'IP, et d'autres nécessitent la saisie d'un code s'affichant sur la Freebox, ce qui peut être considéré à la fois comme de la possession et de la localisation, puisque contrairement à d'autres appareils affichant des codes à usage unique, la Freebox ne fonctionne que dans un emplacement donné).

Dès lors qu'on utilise une combinaison de deux de ces facteurs, on fait du 2FA (ce qui d'ailleurs peut se faire même sans mot de passe, par exemple un code SMS ou GAuth et une empreinte digitale, c'est du 2FA).

Le SMS, la liste de codes pré-générés, les dongle de sécurité (FIDO, U2F, etc...), le TOTP RFC 6238, etc... tout ça c'est du 2FA quand c'est combiné avec un identifiant connu de l'utilisateur ou avec de la biométrie (par contre, un code GAuth et un dongle de sécurité par exemple, ce n'est plus du 2FA : on a deux méthodes d'authentification différentes, mais elles sont de même type).

Un peu de lecture : https://en.wikipedia.org/wiki/Multi-factor_authentication

Non, pas nécessairement. Le système par SMS peut tout a fait également fonctionner avec la RFC 6238 ou tout autre système, ce n'est pas nécessairement aléatoire. Dans les deux dernières boîtes où j'ai bossé, on avait un système par SMS pour l'accès distant au VPN, et dans les deux cas ce n'était pas de l'aléatoire. La première, c'était un système fourni par RSA, fonctionnant de la même façon que les clés SecureID. La deuxième, c'était du RFC 6238. Et dans les deux cas, le serveur gérant les SMS n'était bien entendu pas le même que celui gérant le VPN.

Dans le cas de GAuth, il peut aussi y avoir accès si le serveur est compromis : l'attaquant peut remplacer la clé de vérification de l'OTP sur le serveur par une nouvelle clé, pour laquelle il connait la clé de génération, et hop, il peut générer des codes. De toute façon, quelque soit la méthode de 2FA utilisé, à partir du moment où le serveur d'authentification est compromis, le compte est compromis. Le 2FA sert uniquement pour palier à la compromission la plus probable : celle du mot de passe de l'utilisateur.

Et accessoirement, dans le cas de GAuth, j'aurais tendance à considérer que le smartphone, qui contient la clé de génération, a plus de risque de se faire compromettre que le serveur d'authentification. Quand on voit que même un Jeff Bezos arrive à se faire compromettre son smartphone...

Oui, christyophedlr est un peu à l'ouest sur le sujet : 2 FA = 2 Facteur Authentication, ie 2 facteurs parmi les suivants :

- ce que je connais (ex: mot de passe)

- ce que je possède (smartphone (=RFC6228), dongle, SIM(=SMS)), etc...

- ce que je suis (biomètrie type empreinte digitale , facetime, etc...)

A Noter que les SMS sont sur la sellette, puisque le protocole de routage des SMS chez les opérateurs est un peu fragile niveau sécu (le NIST le déconseille, l'ANSSI également).

Je mitigerai tout de même l'histoire du serveur compromis : Si effectivement le serveur est compromis, tu as accès à tout et le hash des mdp peut sauver tes comptes, mais quel intéret de voler les comptes si tu a accès à toutes les infos via le serveur ?

Une part non négligeable des attaques externes permettant de voler des bases ne se font pas nécessairement en compromettant le serveur (ce qui est souvent un peu plus compliqué - sauf si tu fais du php et que tu as merdé ton install ou ton code-), mais plutôt par injection SQL. Et là, meme si ton mdp de compromis, l'OTP peut avoir un sens et te sauver la mise (si évidemment tu ne stockes pas le seed de l'OTp en clair à coté de ton mdp, ça va de soi).

Pour ce qui est de la sécurité de tes OTP sur smartphone, je ne peux que te conseiller d'utiliser une alternative à Google Authenticator, qui demande un code à l'ouverture de l'appli et qui stocke les données de manière chiffrées (idéalement, la clé dérive du code, ce qui fait que meme si ton smartphone est volé, il va être compliqué de déchiffrer la base des seed). LastPass en propose un, il y a sans doute d'autres alternatives, mais je n'ai pas creusé.

Avatar du membre
sebc22
Envoyer message
 
2711 points
Posté le 27 janvier 2020 à 11h21 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter Voter plus un Voter moins un
prométhé a écrit

Que le lien mène à une page demandant le mot de pasde ou pas. Cela ne change rien au fait que cette méthode n'est pas plus sécurisée que l'ancienne. Ce lien peut mener à n'importe quoi. Il peut télécharger un virus et l'installer ou bien mener à une page permettant d'utiliser la puissance de votre ordinateur pour faire du minage de crypto monnaie. Les attaques MIM (Man In the Middle) cela n'est pas une légende.

Et puis encore faut-il que le courriel ouvert soit bien envoyé par Free. Bref Free n'a pas plus sécurisé sa procédure qu'elle ne l'était avant. Certes, les identifiants ne sont pas directement accessibles. Mais il reste des moyens pour un attaquant d'obtenir l'accès à votre compte. Et les attaques permettant de contourner les procédures de double authentification montrent bien que tout est possible.

Donc non, cette nouvelle méthode n'est pas une garantie de sécurité et encourage les gens à avoir un comportement dangereux en cliquant sur des liens dans des courriels.

Tu mélanges 2 choses : le système d'authentification dans son ensemble, qui correspond maintenant mieux aux standrads actuels, et le fait de ne plus conserver le mot de passe en clair ou selon une méthode de chiffrement réversible est clairement une avancée en terme de sécurité, car cela permet de se prémunir d'un certain nombre de scénarios d'attaques.

Par contre, rien de ce que Free peut faire ne peut éduquer les utilisateurs à ne pas cliquer sur des liens de phishing divers et variés, c'est un cas commun de PBKAC... Après, il y a tout de même une différence entre cliquer sur un email que tu as demandé via le lien "mot de passe oublié", et cliquer sur un email non sollicité, ce qui devrait permettre de limiter la casse.

Avatar du membre
sebc22
Envoyer message
 
2711 points
Posté le 27 janvier 2020 à 11h26 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter Voter plus un Voter moins un
Hum Hum !!! a écrit

[...]En effet, en cas de boite mail hackée, ce qui est sommes toute monnaie courante avec les utlisateurs moyens, le hackeur récupère facilement le mot de passe juste en lisant les mail

Ici le lien n'a qu'une validité temporaire... c'est mieux mais sincèrement .... Free continue à se foutre de notre gueule, ça ne correspond plus aux standards d'aujourd'hui.

Encore une fois, dans l'hypothèse d'une boite mail hackée CE QUI EST TRES COURANT DE NOS JOURS, n'importe quel hacker peut donc demander le mot de passe puis le modifier.

FREE FERA VRAIMENT UN PAS EN AVANT EN IMPOSANT LE DOUBLE FACTEUR D'AUTHENTIIFCATION comme le font depuis des années maintenant Google, Microsoft, OVH, Amazon, Paypal....

Il est clair que peu de gens mettent en place le double facteur sur leur boite email, alors que c'est clairement là que c'est le plus important... Et globalement, si un site tiers a mis en place la double authent, tu peux être à peu prêt sur qu'il a prévu une méthode de récupération (ben oui, si tu perds ton OTP), qui s'appuie sur la boite mail...

Quant à l'imposer, c'est vite compliqué : nombre de personnes vont avoir du mal , ne pas comprendre l'interet et "raler" systématiquement (alors que c'est pour leur bien). Par contre, le proposer à ceux qui en comprenne l'intérêt, ce serait effectivement une vraie avancée...

Avatar du membre
sebc22
Envoyer message
 
2711 points
Posté le 27 janvier 2020 à 11h45 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter Voter plus un Voter moins un
MattS38 a écrit

cet espace client contient peu d'informations critiques en cas de compromission (et non, un RIB ce n'est pas critique). Pour moi, les seules parties qui à la limite nécessiteraient d'utiliser le 2FA, c'est l'accès au paramètres de la Freebox (pouvoir ouvrir des ports à distance comme ça, ça peut compromettre la sécurité d'une machine située derrière la Freebox, et là il peut y avoir des infos plus sensibles) et l'activation d'Internet+ (on pourrait imaginer une attaque où après compromission du compte client l'attaquant active Internet+ puis envoie des mails contenant des liens renvoyant vers des services Internet+...).

Je pense que tu sous-estimes le pouvoir de ce que l'on trouve sur cet espace. Tu disposes déjà d'informations personnelles assez confidentielles (comme par exemple, le RIB) qui te permettent d'améliorer grandement tes chances de réussite dans des attaques de type spear-phishing ou plus généralement en utilisant les techniques d'ingénieurie sociale.

Tu peux acheter un certain nombre de choses sur le compte d'un tiers ou lui modifier son abonnement, lui déménager par exemple (tu ne pourras pas forcément directement profiter des achats, mais on peut toujours profiter d'une nuisance - chantage, extorsion, etc...-)

 Tu peux, et là ça peut générer de l'argent, programmer un transfert inconditionnel des appels :  une organisation ayant la capacité à monter un numéro surtaxé , fait que tous les appels que tu reçois sont reroutés sur ce numéro (les 08 ne marchent pas, mais je ne suis pas sur qu'il n'existe pas de numéro surtaxé en numérotation banalisée), au frais du compte (et l'organisation est rémunérée sur ce 08 :) ). Sinon, tu peux simplement vendre le service pour des appels à l'étranger à moindre frais (sauf pour le titulaire). Tu peux également simplement t'en servir pour choper les appels au titulaire pour étoffer une arnaque par ingénieurie sociale (la victime étant le titulaire ou un tiers qu'on arnaque en usurpant l'identité du titulaire)...

Bref, y'en plein de trucs "marrants" (choix d'adjectif hazardeux s'il en est :)) à faire, pour peu qu'on ait le temps, les ressources , le talent (l'ingénieurie sociale demande une certaine dextérité pour réussir), et pas froid aux yeux...

Avatar du membre
sebc22
Envoyer message
 
2711 points
Posté le 27 janvier 2020 à 11h55 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter Voter plus un Voter moins un
DG33600 a écrit

Dites, si vous pensiez que votre compte, abonnement, mot de passe, données, RIB, etc n'était pas assez sécurisé...

Pourquoi ne vous en êtes-vous pas ému auparavant ?

Pourquoi n'avez-vous pas fait de signalement à la CNIL ?

Pourquoi n'avez-vous pas porté plainte ?

Pourquoi êtes-vous resté chez Free avec le risque énoooorme auquel vous étiez exposé malgré-vous ?

Avez-vous enquêté pour découvrir d'autres failles ? des failles chez les autres FAI ?

Viiiite on compte sur vous !

Personnellement, n'oubliant pas mon mot de passe, je ne l'avais pas vu. Sans quoi, je l'aurais signalé, y compris à la CNIL en cas de mauvaise foi, c'est vraiment clairement un souci et c'est inacceptable par les temps qui courent. Cela souligne surtout un défaut dans la gestion de la sécurité chez Free et soulève d'autres question sur cette gestion.

On ne porte plainte qu'en cas de dommage, donc tant qu'il n'est pas prouvé qu'il y a eu vol et dommage, l'usger n'est pas en capacité de porter plainte. La CNIL peut par contre infliger des amendes en cas de manquements ou négligences, d'autant plus élevées si ces manquements ont donné lieu à des incidents.

Rester chez Free, essentiellement parce que les autres ne sont pas mieux lotis, ce n'est donc pas un critère différenciant. Orange ou SFR, notamment, avec leurs SSO respectifs très mal codés et utilisés sans discernement sur des sites de niveaux de sécurité disparates sont sans doute pire en terme de protection des comptes clients.

Maintenant, cela ne dispense pas Free de faire un effort sur ces sujets. Quand on voit que la gestion de compte est gérée par un CGI Perl, on se doute que ce serait sans doute une bonne chose qu'ils lui fassent de ravalement de façade ; ça n'inspire en tous cas pas vraiment la confiance, de prime abord.

Pour finir, je ne peux qu'encourager tout le monde à MODIFIER son mot de passe, parce sque ce dernier ayant été stocké en clair, il a été accessible à tout un tas de gens, qui sont peut-être parti de chez Free maintenant, qui potentiellement les garde pour s'en servir "plus tard", et ils restent encore en clair, au moins au niveau des backup de la base de donnée. Donc, changez vos mots de passe, vous serez, comme ça, plus tranquille...

Posté le 27 janvier 2020 à 11h58 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter Voter plus un Voter moins un
sebc22 a écrit

Je pense que tu sous-estimes le pouvoir de ce que l'on trouve sur cet espace. Tu disposes déjà d'informations personnelles assez confidentielles (comme par exemple, le RIB) qui te permettent d'améliorer grandement tes chances de réussite dans des attaques de type spear-phishing ou plus généralement en utilisant les techniques d'ingénieurie sociale.

Tu peux acheter un certain nombre de choses sur le compte d'un tiers ou lui modifier son abonnement, lui déménager par exemple (tu ne pourras pas forcément directement profiter des achats, mais on peut toujours profiter d'une nuisance - chantage, extorsion, etc...-)

 Tu peux, et là ça peut générer de l'argent, programmer un transfert inconditionnel des appels :  une organisation ayant la capacité à monter un numéro surtaxé , fait que tous les appels que tu reçois sont reroutés sur ce numéro (les 08 ne marchent pas, mais je ne suis pas sur qu'il n'existe pas de numéro surtaxé en numérotation banalisée), au frais du compte (et l'organisation est rémunérée sur ce 08 :) ). Sinon, tu peux simplement vendre le service pour des appels à l'étranger à moindre frais (sauf pour le titulaire). Tu peux également simplement t'en servir pour choper les appels au titulaire pour étoffer une arnaque par ingénieurie sociale (la victime étant le titulaire ou un tiers qu'on arnaque en usurpant l'identité du titulaire)...

Bref, y'en plein de trucs "marrants" (choix d'adjectif hazardeux s'il en est :)) à faire, pour peu qu'on ait le temps, les ressources , le talent (l'ingénieurie sociale demande une certaine dextérité pour réussir), et pas froid aux yeux...

Effectivement, je sous-estime sans doute un peu le pouvoir indirect des données pour du social engineering.

Par contre, de ton côté tu sur-estimes un peu les possibilités : certains réglages un peu "sensibles" ne sont pas possibles quand on se connecte à l'espace client depuis une autre connexion que sa propre connexion Freebox. Typiquement, un renvoi d'appel, c'est impossible (j'en sais quelque chose, ça m'avait bien fait chier quand ma connexion est restée en rade 3 semaines et que je n'ai pas pu activer le renvoi vers mon mobile pour pouvoir continuer à recevoir des appels...).

Voilà le message qui s'affiche quand on essaye d'y toucher depuis une autre connexion :

Erreur : Adresse IP origine invalide
Pour des raisons de sécurité les modifications concernant votre compte téléphonie ne sont possible que depuis votre Freebox

Et je précise également qu'un numéro surtaxé est forcément un numéro en 08. La surtaxe est interdite sur les numéros qui ne sont pas facilement identifiables comme surtaxés.

Avatar du membre
sebc22
Envoyer message
 
2711 points
Posté le 27 janvier 2020 à 11h58 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter Voter plus un Voter moins un

PS : tant qu'il y étaient, ils auraient pu autoriser les caractères spéciaux, le stockage ne doit plus poser de problèmes... Ou alors c'est leur perl qui est tout moisi (aussi)

Avatar du membre
sebc22
Envoyer message
 
2711 points
Posté le 27 janvier 2020 à 12h10 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter Voter plus un Voter moins un
MattS38 a écrit

Effectivement, je sous-estime sans doute un peu le pouvoir indirect des données pour du social engineering.

Par contre, de ton côté tu sur-estimes un peu les possibilités : certains réglages un peu "sensibles" ne sont pas possibles quand on se connecte à l'espace client depuis une autre connexion que sa propre connexion Freebox. Typiquement, un renvoi d'appel, c'est impossible (j'en sais quelque chose, ça m'avait bien fait chier quand ma connexion est restée en rade 3 semaines et que je n'ai pas pu activer le renvoi vers mon mobile pour pouvoir continuer à recevoir des appels...).

Voilà le message qui s'affiche quand on essaye d'y toucher depuis une autre connexion :

Erreur : Adresse IP origine invalide
Pour des raisons de sécurité les modifications concernant votre compte téléphonie ne sont possible que depuis votre Freebox

Et je précise également qu'un numéro surtaxé est forcément un numéro en 08. La surtaxe est interdite sur les numéros qui ne sont pas facilement identifiables comme surtaxés.

Effectivement, j'ai regardé depuis chez moi... Reste à modifier le Wifi (accessible de l'interface) et aller sur place (on a l'adresse) pour bouger le transfert.

Je n'ai effectivement pas poussé les proof of concept au bout, mais on voit bien qu'il y a des choses à faire, et qui auront des conséquences plus génantes que d'avoir son nom dans un fichier sur le black market, et c'était surtout ça l'idée.

Merci pour les infos :)

Avatar du membre
sebc22
Envoyer message
 
2711 points
Posté le 27 janvier 2020 à 12h12 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter Voter plus un Voter moins un
MattS38 a écrit

Effectivement, je sous-estime sans doute un peu le pouvoir indirect des données pour du social engineering.

Si tu as un peu de temps, un chouilla d'argent et que le domaine t'interesse, je t'invite à lire le bouquin de Mitnick. Les attaques techniques s'appuient sur une technologie aujourd'hui dépassée, mais sont transposables en techno actuelle, et la partie humaine qui est finalement le coeur du sujet est vraiment édifiante...

Posté le 27 janvier 2020 à 12h34 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter Voter plus un Voter moins un
sebc22 a écrit

Si tu as un peu de temps, un chouilla d'argent et que le domaine t'interesse, je t'invite à lire le bouquin de Mitnick. Les attaques techniques s'appuient sur une technologie aujourd'hui dépassée, mais sont transposables en techno actuelle, et la partie humaine qui est finalement le coeur du sujet est vraiment édifiante...

J'ai lu le premier, mais il y a longtemps :) Pas encore eu le temps de lire les trois suivants.

Posté le 29 janvier 2020 à 18h10 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter

CORRECTIONS à certains commentaires désopilants et parfois à limite de l'insultant

1) Second facteur d'authentification 2FA n'est pas en soit synonyme de TOTP (ou sceau d'authentification).
Le TOTP est juste un exemple de 2FA... lorsqu'il est utilisé conjointement à un autre système, mais la reconnaissance faciale, le lecteur d'empreinte peuvent être utlisés comme 2FA toujours s'ils sont requis cumulativement avec un premier procédé.
On parle aussi de trois facteurs d'authentification lorsque la procédure cumule 3 systèmes obligatoires

2) SMS et TOTP (sceau d'authentifcation à durée de vie temporaire... 30 secondes en général) ?
Code par SMS ou TOTP... c'est la même chose.
Lorsque vous paramétrez votre compte Google, Google vous donne le choix.

- soit le TOTP sera envoyé par SMS
- soit le TOTP sera générée par une application sépcialisée.
Google Authenticator sur Android et iOS, des équivalents compatibles existent dans le Windows Store, des applis comme Keepass, KeepassXC sont aussi capables de générer ces codes
Il y a une clé à copier et à renseigner dans les applis concernés...étant entendu qu'il faut veiller à ce que cette fameuse clé soit mise en lieu sûr

Par exemple Paypal offre le TOTP via SMS... mais n'autorise pas le TOTP via une application car cela nécessite de dévoiler la fameuse clé servant à paramétrer l'application.
Paypal estime que c'est un danger, car l'uttilisateur moyen risquerait de la stocker dans un endroit peu sécurisé, il est donc préférable de ne pas révéler cette clé à l'utilisateur.

Google et Microsoft font eux le choix de donner une option à l'utlisateur. MAIS cette fameuse clé n'apparaitra qu'une seule et unique fois lors du processus d'initialisation.
Il sera impossible de la récupérer utlérieurement... il sera juste possible de la réinitialiser

L'utilisateur porte la respnsablité de la stocker en lieu sur.... ou de complètement l'oublier une fois son générateur paramétré.   


3) Imposer le TOTP ?

Mon Dieu... à entendre certains sur ce forum ce serait un crime
Mais vous arrive-til de réfléchir 30 secondes ?

- Si votre assureur apprend que votre portes d'entrée ne possède pas un minimum de sécurité, pensez-vous que vous serez remborusé contre un cambriolage ?
En région parisienne par exemple, les portes doivent posséder au minimum 2 verrous et il me semble que l'un au moins doit être une serrure dite "incrochetable" (ou disons plus difficilement crochetable)
Si votre assureur s'aperçoit que votre porte ne répondait pas à cette norme.... vous pouvez avoir des problèmes.

A-t-on vu des gens porter plainte contre les assureurs qui vous imposent un standard minimum de sécurité ?
J'aimerais que ces abrutis qui trouvent l'idée d'imposer le 2FA (TOTP ou autre.... ) si stupide répondent à cette question ?
J'ai pas de mobile.... lisez un peu plus bas dans la section Google.... on peut recevoir le TOTP même sur une ligne fixe

- Lorsque vous utilisez votre carte bancaire, il y a un code à entrer... a-t-on vu des gens porter plainte comme quoi ce serait une atteinte à leur liberté ?

- Lorsque vous vous connectez en ligne sur votre sites bancaires, votre banque impose un procédé de sécurité : ce peut être un pavé visuel, un TOTP... a-t-on vu des gens portez plainte ?

- Microsoft a chié dans son froc en refusant d'implémenter la séparation stricte compte utlisateur/administrateur à la demande de certains CONS d'utilisateurs.
Donc depuis Windows 8, Windows créé par défaut un compte hybride où le simple passage en mode admin requiert un clic sur une alerte.
(Il reste malgré tout possible pour les gens qui le souhaite de crééer un compte utlisateur pur)
Ce faisant ça ne protège pas le compte contre une simple erreur de manip d'un enfant qui peut cliquer sur un message qu'il ne comprend pas.

Apple n'a pas chié dans son froc et a refusé TOUTE COMPROMISSION et maintient le système séparé propre aux PCs en environnement professionnel.
Sous Mac OS, comme sous Linux, BSD.... les comptes hybrides à la sauce Microsoft, de toutes les façons CA N'EXISTE PAS
A-t-on vu des utlisateurs Apple porter plainte comme quoi ce serait enfreindre leur liberté ?

Dans la plupart des cas, les utilisateurs Apple sont d'anciens utlisateurs Windows doués d'une mauvaise foi singulière.
Sous Windows si vous leur dite de crééer des comptes strictement séparées et de n'utliser que le compte utilisateur, ces de CONS vous crient Oh scandale !!!!
Mais quand ils passent sous Apple... curieusement ils ferment leur gueule et vous expliquent que Windows c'est de la daube... sauf qu'à la base c'est l'utlisateur qui refusait de se discipliner sous Windows et qui est à la source de nombreux problèmes

Apple EN IMPOSANT des règles de sécurité strictes a rendu DE FACTO son OS plus sûr et au final... l'abruti d'utilisateur se rend compte de l'intérêt de suivre cette discipline qui ne lui coute pas un radis de plus.

C'est donc un faux débat... le vrai débat C'EST LA KONNERIE DE CERTAINS UTILISATEURS

4) Implémentation Google

A entendre certains abrutis, le TOTP ne servirait à rien car de toutes les façons la procédure de récup utilisera l'email
Vous n'y connaissez rien, mais abolument rien, les implémentation Google et Microsoft sont des modèles du genre

- Avant d'enclencher la procédure de récupération IL FAUT RENTRER un sceau d'identification initiale

VOILA l'INTERET MAJEUR DU TOTP

Donc un hacker qui a le controle de la boite mail ne pourra rien faire s'il ne possède pas le téléphone de l'utilisateur
A l'inverse si vous vous faites voler votre téléphone... il faudra que le hacker ait accès à votre boite mail

Vous me direz.... bien souvent le compte email est paramétré sur le téléphone donc .....

Mais il appartient à l'ulisateur de verrouiller son téléphone... si il veut restef KON qu'il reste KON
Pour rappel... un PIN code ne peut être entré qu'un nombre limité de fois
Si le téléphone se bloque, il faut entrer un second PIN, ou le code PUK
Si on bloque le code PUK, le téléphone est définitivement verrouillé.
Le voleur ne peut qu'effectuer un hard RESET sous Android... mais le Hard Reset efface alors toute connexion à votre boite mail.
Donc le voleur pourra toujours initialiser une demande.... il n'aura jamais le mail

Personnellement même j'utlise un procédé de réplication
Je possède une adresse mail base et offcielle que je en consulte que de chez moi ou de PC que ej jugent hyper sécurisés
Sur mon téléphone je paramètre un autre compte Gmail qui sert aux échanges de tous les jours sans importance critique

Pour tout échange critique.... j'invite mon correspondant à me contacter sur mon adresse mail de base
Sur le compte GMAIL de base je sélectionne via des règles de renvoie de message des expéditeurs pour lequels je désire recevoir une copie sur mon adresse secondaire

De ce fait... je limite l'apparition sur mon téléphone de messages trop sensibles
Au pire des cas, si le voleur a réussi à avoir accès au téléphone par exemple parce qu'il vous l'arrache alors que voue l'utilisez... il ne pourra compromettre au pire que mon adresse mail secondaire (c'est un moindre mal)
Mais dans les faits... en agissant rapidement vous pourrez avoir accès à votre compte secondaire, modifier son mot de passe et désactiver au moins temporairement, le numéro de téléphone volé

Car ...

- On peut renseigner plusieurs numéros de téléphone (comme celui de sa compagne), chaque numéro faisant l'objet bien sur d'une validation initiale
Si on perd son téléphone, lors de la procédure de récup Google vous donnera le choix du numéro de téléphone où envoyer le SMS
Vous pouvez même renseigner un numéro de téléphone FIXE (Google uniquement).
Dans ce cas Google envoie un message vocale sur le téléphone fixe qui énumère les chiffres... oui c'est vrai CA MARCHE

J'ai analysé cette question bien avant certain d'entre vous... je pratique l'info depuis plus de 30 ans, donc certains messages me font bien rire

- Google comme Microsoft vous permettent aussi de parémétrer plusieurs adresses mails de récup.
Si vous soupconnez votre boite mail d'être hacké, il suffit alors de demander à Google d'envoyer le lien de réinitialisation sur l'autre adresse mail... tout simplement (par exemple l'adresse mail de votre compagne)

- Google comme Microsoft ont prévus un controle complémentaire pour s'assurer de la légitimité d'une demande de réinitialisation... la fameuse réponse à une question du type : Quel est ne nom de jeune fille de votre mère.

- Tout changement d'infos sensibles dans le compte Google (comme le retrait d'un numéro de téléphone, adresse...) enclenche au préalable une procédure de double authentifcation, ce qui dans les faits rendra difficile les modifications de données

- Il y a une procédure de récupération lié au TOTP qui sont les fameux codes de récup... il appartient à l'utlisateur de les garder en lieu sur

Ca ne fait pas des comoptes Google et Microft des comptes inviolables dans tous les scénarios.... simple cas extreme, si votre agresseur vous met un couteau sous la gorge vous lui fournirez tous les codes nécessaires...
Mais ces comptes, contrairement à UNE MASSE DE KONNERIES racontées sur ce fil, ont une sécurité très bien pensée et Free, comme Orange, SFR, Bouygues pourraient très bien s'en inspirer

Je n'utilise plus les comptes mail opérateurs depuis longtemps.... pas parce que j'adore Google (et je suis conscient qu'ils utilisent mes données), mais parce que je suis consterné par l'amateuriseme des opérateurs français en terme de sécurité.
Et puis.... niveau disponibilité, les comptes gmail c'est de la grande classe... très rarement des problèmes

AVANT DE BALANCER DES COMMENTAIRES INSULTANTS TOURNEZ 50 FOIS LA LANGUE DANS VOS BOUCHES

Et encore une fois pour revenir au sujet, penser que Free stockait vos mots de passe en clair... c'est juste une grossière bêtise, ça ne se fait plus depuis 30 ans
C'est la procédure de récupération qui pose question.

RUBRIQUE COMMENTAIRE
Bonjour, avant de poster, veuillez vous assurer d'avoir pris connaissance des règles.

X

Quatre consignes avant de réagir :

  • Rester dans le cadre de l'article. Pour des discussions plus générales, vous pouvez utiliser nos forums.
  • Développer son argumentation. Les messages dont le seul but est de mettre de l'huile sur le feu seront modifiés ou effacés sans préavis par la rédaction.
  • Respecter les acteurs de l'informatique et les autres lecteurs. Les messages agressifs, vulgaires, haineux, etc. seront modifiés ou effacés sans préavis par la rédaction.
  • Pour toute remarque concernant une faute dans l'article, merci de nous contacter exclusivement par le formulaire "signaler une erreur" lors de la sélection du texte de l'article (les commentaires portants sur ce sujet seront systématiquement supprimés).

Vous devez créer un compte Freezone et être connecté afin de pouvoir poster un commentaire.

Si vous attendiez une évolution de la boutique Free Mobile, ce serait :
Image vide