[free_security]

Bonsoir,


La mise à disposition par free de formulaires non sécurisés expose les mots de passe d'administration de compte et webmail.
Ceux-ci circulant en clair, entre l'endroit où vous êtes connectés et les serveurs de free, peuvent être interceptés par n'importe quel sniffeur.

Des comptes ont été dèjà été piratés, qui oserait le contester, ce n'est pas de la science fiction.
Naturellement, cela veut dire que une fois vos mots de passe connus, toutes les informations accessibles depuis vos interfaces de gestion peuvent être lues et bien sûr modifiées.
C'est à dire : Tous vos webmails, vos coordonnées, jusqu'au numéro de compte en banque du RIB qui sert au prélèvement automatique.
Ca vous paraît acceptable comme niveau de sécurité ?

Mais ça, il faut pas le dire, c'est pas bien.

Un débat hallucinant a lieu en ce moment sur le forum de l'aduf.
Un internaute qui a été victime d'une escroquerie pour 3000€ (sur ebay) et auquel tout recours est interdit car on lui oppose de ne pas utilisé de formulaire sécurisé se voit gentiment dire (par un connaisseur !!! ) sur ce forum que non ce n'est vraiment pas possible qu'il se soit fait piraté ! Mais bien-sûr !

Si la sécurité sur free est une vraie passoire, elle a ses défenseurs.
Et si tu critiques pour améliorer, le diagnostic est facile tu es rangé dans la catégorie parano et t'as quà partir.

Les Ayatollahs de la passoire sont au pouvoir !

N'acceptons pas cette médiocrité des amis qui veulent notre bien, exigeons que nos données soient mieux sécurisées, merci de soutenir le post suivant : http://www.aduf.org/viewtopic.php?t=68887&start=42

Votez et faites le savoir !

Merci.

[free_security]

Bonsoir,

Un update sur la discussion de l'ADUF et la sécurité de free.

Un témoignage clef illustre tout l'enjeu de fournir des formulaires sécurisés pour s'identifier sur free.

Il s'agit d'une personne qui s'est faite escroquée sur ebay de 3000€
Au final, il n'a pas pu se faire rembourser de la différence, tout simplement car il avait utilisé un formulaire non sécurisé (analogue au seul formulaire aujourd'hui disponible pour s'identifier sur free).

Utiliser http pour protéger ses données est donc considéré comme de la négligence, et engage donc la responsabilité des gens en cas d'utilisation frauduleuse de leur données (coordonnées bancaires, utilisation frauduleuse du webmail, publication de contenu illicite sur les pages persos). Ce n'est pas plus compliqué que ça.

Free prend la responsabilité de mettre en ligne toutes les infos des utilisateurs (Ca coute moins cher à gérer que des interaction papiers avec l'utilisateur). Elle en dégage un certain nombre d'avantages. Mais Free ne met certainement pas en oeuvre toutes les précautions qui couvriraient la responsabilité des usagers de leur service.
Ceux-ci s'exposent donc (et le plus souvent à leur insu) aux escroqueries et détournement de leurs informations.

Merci de soutenir par le vote associé à cette discussion : http://www.aduf.org/viewtopic.php?t=68887&postdays=0&postorder=asc&start=60

Cordialement.

[Jul13n]

sauf que les risques sont pas les memes sur le panneau d'admin free

et puis vous savez meme un formulaire en https c'est pas l'arme ultime, un camarade qui fesait son stage en réseau dans une boite leur a démontré que leur webmail intranet https pouvais etre piraté en trés peu de temps et permettais de recuperer login et pass sans probleme donc bon... si le gars peut sniffer ton traffic réseau il aura egalement la possibilité de jouer le role de passerelle pour le ssl ou encore de te caler un keylogger et recuperer la meme chose

je dis pas que du https serait pas le bienvenue mais c'est pas la fin du monde non plus

[Saxophile]

Bonsoir,

Un update sur la discussion de l'ADUF et la sécurité de free.

Un témoignage clef illustre tout l'enjeu de fournir des formulaires sécurisés pour s'identifier sur free.

Il s'agit d'une personne qui s'est faite escroquée sur ebay de 3000€
Au final, il n'a pas pu se faire rembourser de la différence, tout sim........

Free prend la responsabilité de mettre en ligne toutes les infos des utilisateurs (Ca coute moins cher à gérer que des interaction papiers avec l'utilisateur). Elle en dégage un certain nombre d'avantages. Mais Free ne met certainement pas en oeuvre toutes les précautions qui couvriraient la responsabilité des usagers de leur service.
Ceux-ci s'exposent donc (et le plus souvent à leur insu) aux escroqueries et détournement de leurs informations.

Merci de soutenir par le vote associé à cette discussion : http://www.aduf.org/viewtopic.php?t=68887&postdays=0&postorder=asc&start=60

Cordialement.

Bon, je rejoins Burning dog. Free devrai se decider à sécuriser certaines liaisons, mais ceci étant dit il n'y a pas péril grandissime dans le piratage du compte Free.

d'ailleurs je ne comprends pas le lien avec l'escroquerie sur eBay

Cordialement

[Jul13n]

moi j'ais peur qu'on pirate mon compte free, on va pouvoir connaitre ma 30ene d'adresse email free dont je me sert pas :rolleyes:

le truc qui pourrait poser probleme c'est la config du SIP, si un personne malveillante y accede ça pourrais lui permetre de téléphoner a l'oeil sur le compte de la personne. sinon a part des problemes de configuration de la freebox modifiée yaurait pas de probleme grave ^^

[nikko2028777]

Il y a quand même le RIB qui est visible.
Si c'était la seule chose qui clochait.

J'ai déménagé, je me suis logué une semaine après pour voir et là je tombe sur l'interface de gestion du nouvel occupant de l'appartement mais avec mes identifiants. il ne prenne même pas la peine de changé le mot de passe oO

Le truc qui est chiant c'est que la personne à accès à mes comptes perso free et peux les stopper comme bon lui semble. C'est inadmissible au niveau de la CNIL déjà il ne sont pas en règle.

Je leur ai envoyé un mail via la FAQ, mais Free autant parler dans le c.. d'une vache...

Le problème de Free c'est que le laissé aller est important niveau sécurité, qu'on en découvre tous les jours et que rien n'est fait pour corrigé.

Et pour le https si il se faity avec un autorité de certification tiers, ce sera pas à la portée de tout le monde tu élimine 95% des boulets qui viennent de découvrir backtrack

[Saxophile]

Il y a quand même le RIB qui est visible.
Si c'était la seule chose qui clochait.

J'ai déménagé, je me suis logué une semaine après pour voir et là je tombe sur l'interface de gestion du nouvel occupant de l'appartement mais avec mes identifiants. il ne prenne même pas la peine de changé le mot de passe oO

Le truc qui est chiant c'est que la personne à accès à mes comptes perso free et peux les stopper comme bon lui semble. C'est inadmissible au niveau de la CNIL déjà il ne sont pas en règle.

Je leur ai envoyé un mail via la FAQ, mais Free autant parler dans le c.. d'une vache...

Le problème de Free c'est que le laissé aller est important niveau sécurité, qu'on en découvre tous les jours et que rien n'est fait pour corrigé.

Et pour le https si il se faity avec un autorité de certification tiers, ce sera pas à la portée de tout le monde tu élimine 95% des boulets qui viennent de découvrir backtrack

Effectivement ceci est plutôt surprenant. qu'en penses-tu burningdog?

[Jul13n]

pourquoi ils sont pas en regle avec la CNIL?

tu as bien ton droit d'accés et de rectification que je sache (cf le truc pour etre publié dans l'annuaire dans l'interface notamment).

la CNIL s'occupe de la déclaration et des droits relatifs aux fichiers informatiques sur les données personnels

[nikko2028777]

Oui et l'accès aux données personnel à des personnes non concernés est interdite.

Je peux voir les données personnels du nouvel occupant de mon appartement, et inversement il peut voir mes comptes persos et même mon adresse postale.

Ce sont des informations personnelles que ni lui, ni moi, devrions voir l'un sur l'autre.

[Jul13n]

Oui et l'accès aux données personnel à des personnes non concernés est interdite.

Je peux voir les données personnels du nouvel occupant de mon appartement, et inversement il peut voir mes comptes persos et même mon adresse postale.

Ce sont des informations personnelles que ni lui, ni moi, devrions voir l'un sur l'autre.

et comment sela se fait-il? il a pas résilié avant de partir?

tu peux changer ton mot de passe vu que la personne semble l'avoir et le probleme est résolu.

[nikko2028777]

C'est moi qui est résilié en partant, et j'ai l'accusé récéption du courrier et le mail comme quoi ma résiliation est effective.

Le problème (heureusement que j'ai gardé contact avec le nouveau locataire) il peux changer son mot de passe, mais il à toujours dans son interface de gestion mes comptes perso que j'ai crée.

Si il lui en prend l'envie parce qu'il se dit que ça n'a rien à foutre là, il peux me les stopper ce qui me metterai dans l'embarras car ils hébergent des sites web.

[free_security]

Bon, je rejoins Burning dog. Free devrai se decider à sécuriser certaines liaisons, mais ceci étant dit il n'y a pas péril grandissime dans le piratage du compte Free.

d'ailleurs je ne comprends pas le lien avec l'escroquerie sur eBay

Cordialement

Sauf le jour, où quelqu'un va mettre des images pédophiles ou des propos racistes ou d'appel au crime sur ta page perso ...
C'est toi qui aura les problèmes.

Le lien avec l'arnaque sur ebay, est que si l'utilisateur avait utilisé https pour sa transaction et dans le cas où ses coordonnées bancaires auraient quand même été interceptées, sa responsabilité aurait été dégagée. En clair, utiliser http pour protéger ses données c'est considéré (pas par moi mais par les banques et juges) comme de la NEGLIGENCE. C'est un fait.

Les considérations techniques sur la sureté c'est une chose, le fait que n'utiliser aucune protection engage ta responsabilité dans le cas d'un piratage en est une autre.

Tu vois le problème ?

[Jul13n]

sauf que tu raconte n'importe quoi... la personne a accés a ta liste de comptes mails secondaires sur lesquels tu peux ou non avoir activé les pages persos mais tu ne peux acceder a la gestion de ces comptes directement ou changer leurs mot de passe. pour cela il faut se loguer dans leur panneau d'admin respectif avec compte+mdp; tu ne peux non plus changer le mot de passe des comptes secondaires depuis ton compte principal, seulement demander la liste compte+mdp par mail (qui est le mail dde l'inscription qui perso est mon mail associé a mon abo de tel orange) donc pas de probleme de ce coté là

[nikko2028777]

Non, mais la personne peux quand même stopper tes comptes :s

[Jul13n]

Non, mais la personne peux quand même stopper tes comptes :s

stopper quels comptes??

[nikko2028777]

Vous ne lisez pas mes messages ?

La personne qui occupe mon appartement à accès à mes comptes perso, il peux les arreter quand il veut, heureusement que j'ai pris contact avec lui en attendant que free les enleve de sa console de gestion qui n'est autre que mon ancienne...

[Jul13n]

Vous ne lisez pas mes messages ?

La personne qui occupe mon appartement à accès à mes comptes perso, il peux les arreter quand il veut, heureusement que j'ai pris contact avec lui en attendant que free les enleve de sa console de gestion qui n'est autre que mon ancienne...

si elle y a accés c'est soit que tu as donné le mot de passe du compte ou pas résilié ton abonnement, change le mot dep asse de ton, compte ou résilie l'abonnement si tu loue l'aprt, si la personne loue ton apart et que la connexion est a ton nom : TU es responsable de toute connerie faite sur le net avec la connexion

[nikko2028777]

Bon je reprends visiblement c'est pas clair.

J'habitais à lyon on va dire appart 1. Offre dégrouper partiel, je résilie, je reçoi l'acusé réception de Free et le mail de confirmation de la résiliation.
Donc abonnement terminé sur lyon.

J'habite à saint etienne appart 2 ou je suis en attente procédure vga à 2 euros.

Le nouveau locataire de l'appart 1 c'est inscrit chez free, il lui ont donnée le même numéro et le même mot de passe que quand j'étais dans l'appart 1

Moi pour voir si la console de gestion était bien fermé je me suis loggué une semaine après l'acusé réception de free comme quoi mon abonement était résilié. Et la j'ai un mix de la console de gestion.

Le propriétaire est bien le nouvel occupant c'est bien son rib (déjà la soucis j'ai accès à ses infos bancaires), mais en bas je retrouve les comptes persos que j'ai crée quand j'étais dans l'appart 1.

Free ne ferme donc pas la ligne et refourgue en faisant 2-3 modif mon ancienne console de gestion.

J'ai appelé la hotline qui m'a dit que c'était pas normal et qu'il allait corrigé. 15 jours après je me relogue avec mes anciens identifiants donc numéro tel appart 1 et mot de passe. Et pas de changements.

C'est franchement très limite de la part de free et je pense de toute façon faire passé cela par une association de consommateur. Y a des fois faut pas abusé quand même.

[Jul13n]

là ça a rien a voir avec la sécurité de la console c'est une erreur dans la procédure.

tu as aussi résilié FT dans l'apart 1? car ça pourrait venir de là, abo FT a ton nom donc free reactive ta console mais avec le rib de l'autre

[nikko2028777]

L'abonnement FT à bien été résilié.

Mais on vient de faire le test avec un autre copain, il à déménagé il y a un an, et c'est la même chose il se loggue avec son ancien tel et mot de passe et hop la console s'ouvre et il voit ses comptes perso.

A mon avis c'est plus qu'une erreur dans la procédure on dirait que c'est automatisé.

[Saxophile]

Oui et l'accès aux données personnel à des personnes non concernés est interdite.

Je peux voir les données personnels du nouvel occupant de mon appartement, et inversement il peut voir mes comptes persos et même mon adresse postale.

Ce sont des informations personnelles que ni lui, ni moi, devrions voir l'un sur l'autre.

et comment sela se fait-il? il a pas résilié avant de partir?

tu peux changer ton mot de passe vu que la personne semble l'avoir et le probleme est résolu.

Là je pense que nikko2028777 a raison et Free devrait se pencher sur ce problème avant que quelqu'un ne saisisse la CNIL. Par expérience je peux dire que, bien qu'un peu lent, ils sont redoutablement efficaces.

[Saxophile]

Bon, je rejoins Burning dog. Free devrai se decider à sécuriser certaines liaisons, mais ceci étant dit il n'y a pas péril grandissime dans le piratage du compte Free.

d'ailleurs je ne comprends pas le lien avec l'escroquerie sur eBay

Cordialement

Sauf le jour, où quelqu'un va mettre des images pédophiles ou des propos racistes ou d'appel au crime sur ta page perso ...
C'est toi qui aura les problèmes.

Le lien avec l'arnaque sur ebay, est que si l'utilisateur avait utilisé https pour sa transaction et dans le cas où ses coordonnées bancaires auraient quand même été interceptées, sa responsabilité aurait été dégagée. En clair, utiliser http pour protéger ses données c'est considéré (pas par moi mais par les banques et juges) comme de la NEGLIGENCE. C'est un fait.

Les considérations techniques sur la sureté c'est une chose, le fait que n'utiliser aucune protection engage ta responsabilité dans le cas d'un piratage en est une autre.

Tu vois le problème ?

Merci pour l'explication. N'ayant pas de page perso j'avais "zappé" cet aspect. Et je vous rejoins.

[Saxophile]

sauf que tu raconte n'importe quoi... la personne a accés a ta liste de comptes mails secondaires sur lesquels tu peux ou non avoir activé les pages persos mais tu ne peux acceder a la gestion de ces comptes directement ou changer leurs mot de passe. pour cela il faut se loguer dans leur panneau d'admin respectif avec compte+mdp; tu ne peux non plus changer le mot de passe des comptes secondaires depuis ton compte principal, seulement demander la liste compte+mdp par mail (qui est le mail dde l'inscription qui perso est mon mail associé a mon abo de tel orange) donc pas de probleme de ce coté là

S'il le dit cela doit être vrai, non?
Personnellement je commence à regarder tout cela d'un autre oeuil.

[Saxophile]

Vous ne lisez pas mes messages ?

La personne qui occupe mon appartement à accès à mes comptes perso, il peux les arreter quand il veut, heureusement que j'ai pris contact avec lui en attendant que free les enleve de sa console de gestion qui n'est autre que mon ancienne...

si elle y a accés c'est soit que tu as donné le mot de passe du compte ou pas résilié ton abonnement, change le mot dep asse de ton, compte ou résilie l'abonnement si tu loue l'aprt, si la personne loue ton apart et que la connexion est a ton nom : TU es responsable de toute connerie faite sur le net avec la connexion

franchement Burning dog, cesse de te consumer (elle me démangeias celle là, désolé . Free n'a pas à donner à X accès au comptes de Y.
Corrigez moi  nikko xyzt1234 mais je ne pense pas que vous donâtes vos mots de passe et ID à ce nouveau locataire.

Aupa!

[Saxophile]

Bon je reprends visiblement c'est pas clair.

J'habitais à lyon on va dire appart 1. Offre dégrouper partiel, je résilie, je reçoi l'acusé réception de Free et le mail de confirmation de la résiliation.
Donc abonnement terminé sur lyon.

J'habite à saint etienne appart 2 ou je suis en attente procédure vga à 2 euros.

Le nouveau locataire de l'appart 1 c'est inscrit chez free, il lui ont donnée le même numéro et le même mot de passe que quand j'étais dans l'appart 1

Moi pour voir si la console de gestion était bien fermé je me suis loggué une semaine après l'acusé réception de free comme quoi mon abonement était résilié. Et la j'ai un mix de la console de gestion.

Le propriétaire est bien le nouvel occupant c'est bien son rib (déjà la soucis j'ai accès à ses infos bancaires), mais en bas je retrouve les comptes persos que j'ai crée quand j'étais dans l'appart 1.

Free ne ferme donc pas la ligne et refourgue en faisant 2-3 modif mon ancienne console de gestion.

J'ai appelé la hotline qui m'a dit que c'était pas normal et qu'il allait corrigé. 15 jours après je me relogue avec mes anciens identifiants donc numéro tel appart 1 et mot de passe. Et pas de changements.

C'est franchement très limite de la part de free et je pense de toute façon faire passé cela par une association de consommateur. Y a des fois faut pas abusé quand même.

Limite est peut être un peu trop modéré (gentil, "soft"). C'est carrément inacceptable. De plus , "as usual" la hot line a répondu n'importe quoi à un problème probablement non référencé dans sa base de connaissance. En Rugby on dit "botté en touche" (au coût de qques EUROs bien entendu).

Aupa!

[Saxophile]

là ça a rien a voir avec la sécurité de la console c'est une erreur dans la procédure.

tu as aussi résilié FT dans l'apart 1? car ça pourrait venir de là, abo FT a ton nom donc free reactive ta console mais avec le rib de l'autre

Pourquoi veux-tu que Free doit irréprochable. Il peut y avoir bug ponctuel (je  doute ). Free n'est pas exempt d'erreur.

[Saxophile]

L'abonnement FT à bien été résilié.

Mais on vient de faire le test avec un autre copain, il à déménagé il y a un an, et c'est la même chose il se loggue avec son ancien tel et mot de passe et hop la console s'ouvre et il voit ses comptes perso.

A mon avis c'est plus qu'une erreur dans la procédure on dirait que c'est automatisé.

Ce que je pensais en écrivant le précédent message

[Jul13n]

le truc c'est que tu pars sur le fait qu'il faut faire du https sur la console de gestion pour finir sur un probleme technqiue lors du déménagement.... faut savoir ce que tu raconte aussi...

le coups des ident/mdp pour se loguer sur le compte principal c'est sur que c'est un probleme qu'il faut regler mais passer la console en https ne le reglera pas

[free_security]

Au moins, il règlera le problème de la responsabilité évoqué plus haut.
Ca c'est incontestable.

De plus, personne n'a prétendu que le https réglait tous les problèmes de sécurité d'internet à lui tout seul.
Par contre, c'est un progrès considérable par rapport à rien du tout comme actuellement.

Merci de voter sur : http://www.aduf.org/viewtopic.php?t=68887&start=60

[Jul13n]

je viens de reagir aussi en lisant le debut du thread.. pour les coordonnées banquaire c'est vrai aussi, un RIB seul ne permet rien a part te faire verser de l'argent; pour tout truc X fois sans frais, location, etc ou tu fourni un RIB tu fourni une authorisation de prelevement.

perso je suis pas inscrit sur aduf et j'irais pas m'inscrire que pour voter >.>

[Saxophile]

le truc c'est que tu pars sur le fait qu'il faut faire du https sur la console de gestion pour finir sur un probleme technqiue lors du déménagement.... faut savoir ce que tu raconte aussi...

le coups des ident/mdp pour se loguer sur le compte principal c'est sur que c'est un probleme qu'il faut regler mais passer la console en https ne le reglera pas

C'est tout à fait exact.
Dans un message plus "haut" j'allais au delà du HTTPS.

Le problème est global et la priotité est de règler ce pb de compte.
HTPPS est un plus.

[Jul13n]

pour le probleme faudrait en parler sur les newsgroup proxad, ça tombera plus facilement sur un tech free que sur un gars de hotline.

[Saxophile]

je viens de reagir aussi en lisant le debut du thread.. pour les coordonnées banquaire c'est vrai aussi, un RIB seul ne permet rien a part te faire verser de l'argent; pour tout truc X fois sans frais, location, etc ou tu fourni un RIB tu fourni une authorisation de prelevement.

perso je suis pas inscrit sur aduf et j'irais pas m'inscrire que pour voter >.>

Au début du thread j'étais comme toi, perplexe. Mais je reconnais que les arguments sont pertinents, les faits aussi.
C'est vrai que connaître ton RIB n'est pas vraiment dangereux, par contre c'est une donnée personnelle que Free semble, dans certains cas, mettre à dispositions de tiers qui n'ont pas à le connaître et, cela, est contraire à la loi (code civil, code de la consommation et même code pénal).

Je comprend tes arguments, je les ai partagés mais pour moi , maintenant le problème n'est plus un pb de piratage mais un problème de divulgation par tierce personne (Free est une personne morale) de données confidentielles qui lui ont été confiées.

[Saxophile]

pour le probleme faudrait en parler sur les newsgroup proxad, ça tombera plus facilement sur un tech free que sur un gars de hotline.

Tu as raison et d'ailleurs, je recommanderai un tir groupé news Groups et ADUF

[nikko2028777]

le truc c'est que tu pars sur le fait qu'il faut faire du https sur la console de gestion pour finir sur un probleme technqiue lors du déménagement.... faut savoir ce que tu raconte aussi...

le coups des ident/mdp pour se loguer sur le compte principal c'est sur que c'est un probleme qu'il faut regler mais passer la console en https ne le reglera pas

Moi je n'ai jamais parlé du https :|

[free_security]

je viens de reagir aussi en lisant le debut du thread.. pour les coordonnées banquaire c'est vrai aussi, un RIB seul ne permet rien a part te faire verser de l'argent; pour tout truc X fois sans frais, location, etc ou tu fourni un RIB tu fourni une authorisation de prelevement.

perso je suis pas inscrit sur aduf et j'irais pas m'inscrire que pour voter >.>

Un RIB ne permet rien ? jusqu'à la prochaine arnaque inventée.

Et les identifiants SIP, on peut rien en faire, peut-être ?