Freenews

Le wifi Bbox est piratable aisément
« le: 21 September 2009 09:58:50 »
Malgré son gros succès commercial, l'offre Bbox de Bouygues Telecom n'est pas tout à fait exempte de défauts. En témoigne cette faille de taille concernant le wifi, découverte par un internaute...

Lire l'intégralité de la news

nouknouk

Le wifi Bbox est piratable aisément
« Réponse #1 le: 21 September 2009 10:06:54 »
Que ce soit la BBox ou n'importe quel autre FAI, l'erreur est humaine (même si là elle est vraiment niaise).

Mais surtout, dans ce cas là, si un intrus télécharge depuis la BBox de madame Michu, Albanel elle en pense quoi ?

- la faute au FAI pour ne pas avoir proposé une sécurité suffisante ?

- la faute au propriétaire de l'abonnement qui n'a pas changé sa clef WPA parce qu'il ne lit pas les news IT tous les matins ?

My 2 cents.

pauland

Le wifi Bbox est piratable aisément
« Réponse #2 le: 21 September 2009 10:11:03 »
La faute à Thomson !
Ou encore la faute à PasDeChance!

vado

Le wifi Bbox est piratable aisément
« Réponse #3 le: 21 September 2009 10:13:51 »
Citation de: nouknouk
Mais surtout, dans ce cas là, si un intrus télécharge depuis la BBox de madame Michu, Albanel elle en pense quoi ?
Albanel a été lourdée il y a quelques mois, tout le monde se fout de ce qu'elle pense !!


suredj

Le wifi Bbox est piratable aisément
« Réponse #4 le: 21 September 2009 10:15:32 »
Ben pour la Livebox c'est pas très compliqué non plus de pirater la clef wep ... Quand Hadopi va être apliqué (ésperons que non) les sécurités des box vont etre mené à rude épreuve et le recours en justice quasi nul.
Allez expliquer à un juge qui ne sait meme pas ce qu'est du Peer to Peer que quelqu'un vous à craquer la sécurité de votre box ... grands moments de solitude en pérspective croyez moi ...

Yoann Ferret

Le wifi Bbox est piratable aisément
« Réponse #5 le: 21 September 2009 10:25:29 »
Citation de: suredj
Ben pour la Livebox c'est pas très compliqué non plus de pirater la clef wep ...
Le WPA est nettement plus complexe à pirater. Là, quand il y a moyen de trouver la clé en une seconde chrono, c'est vraiment très gênant... d'autant plus quand il s'agit d'une faille connue que Thomson n'a pas jugé bon de corriger !

suredj

Le wifi Bbox est piratable aisément
« Réponse #6 le: 21 September 2009 10:32:40 »
Je parlais bien de la clef WEP en non WPA ;)

Et pour la faille de chez Thomson c'est clair que c'est vraiment une faute grave de leurs part d'autant plus qu'elle est bien connue des technophiles (la faille).


Vroom

Le wifi Bbox est piratable aisément
« Réponse #7 le: 21 September 2009 10:32:46 »
Citation de: nouknouk
- la faute au propriétaire de l'abonnement qui n'a pas changé sa clef WPA parce qu'il ne lit pas les news IT tous les matins ?
Défaut de sécurisation de sa connexion : 1500€ d'amende si problème non corrigé après un 1er signalement :
http://www.numerama.com/magazine/13252-Hadopi-2-une-amende-de-1500-euros-en-cas-de-defaut-de-securisation.html

kubes

Le wifi Bbox est piratable aisément
« Réponse #8 le: 21 September 2009 10:34:19 »
Citation de: suredj
Ben pour la Livebox c'est pas très compliqué non plus de pirater la clef wep ...
Par contre la protection supplémentaire qui consiste à devoir appuyer sur le bouton en face arrière pour créer la première association ne se contourne pas facilement :

brupala

Le wifi Bbox est piratable aisément
« Réponse #9 le: 21 September 2009 10:44:49 »
Citation de: yoann007
Citation de: suredj
Ben pour la Livebox c'est pas très compliqué non plus de pirater la clef wep ...
Le WPA est nettement plus complexe à pirater. Là, quand il y a moyen de trouver la clé en une seconde chrono, c'est vraiment très gênant... d'autant plus quand il s'agit d'une faille connue que Thomson n'a pas jugé bon de corriger !
Pas d'accord,
ça n'est pas une faille, le constructeur n'y est pour rien: il propose une clé par défaut, c'est une clé par défaut elle vaut comme telle .
C'est au fournisseur d'accès de conseiller son client et de l'informer sur ses responsabilités et la gestion  de sa clé de cryptage, et de son accès internet en général.
Si le constructeur voulait vraiment être tranquille, il ne mettrait pas de clé par défaut ..... comme certains le font avec raison: il faut tout de même responsabiliser un minimum les clients .
Ils ferment bien leur porte d'appartement à clef et font poser des alarmes , alors pourquoi pas sur leur connexion internet, qu'il ne faut leur laisser confondre avec la télévision .

suredj

Le wifi Bbox est piratable aisément
« Réponse #10 le: 21 September 2009 10:47:11 »
Citation de: kubes
Citation de: suredj
Ben pour la Livebox c'est pas très compliqué non plus de pirater la clef wep ...
Par contre la protection supplémentaire qui consiste à devoir appuyer sur le bouton en face arrière pour créer la première association ne se contourne pas facilement :
Sisi ;)

Yoann Ferret

Le wifi Bbox est piratable aisément
« Réponse #11 le: 21 September 2009 10:54:59 »
Citation de: kubes
Citation de: suredj
Ben pour la Livebox c'est pas très compliqué non plus de pirater la clef wep ...
Par contre la protection supplémentaire qui consiste à devoir appuyer sur le bouton en face arrière pour créer la première association ne se contourne pas facilement :
Ah ben si alors. D'ailleurs, ce truc engendre bien plus de complications pour les utilisateurs que de sécurité...

Ca complique l'étape de connexion pour un internaute lambda, mais le hacker sait parfaitement comment usurper une adresse MAC, ce n'est qu'une simple formalité.


Citation de: brupala
Citation de: yoann007
Citation de: suredj
Ben pour la Livebox c'est pas très compliqué non plus de pirater la clef wep ...
Le WPA est nettement plus complexe à pirater. Là, quand il y a moyen de trouver la clé en une seconde chrono, c'est vraiment très gênant... d'autant plus quand il s'agit d'une faille connue que Thomson n'a pas jugé bon de corriger !
Pas d'accord,
ça n'est pas une faille, le constructeur n'y est pour rien: il propose une clé par défaut, c'est une clé par défaut elle vaut comme telle .
Si, c'est une faille dans l'algorithme de chiffrement des clés par défaut.
Le fait qu'elle soit par défaut ne la dispense pas d'être suffisamment sécurisante pour l'utilisateur, au contraire même vu que les utilisateurs laissant les clés par défaut sont souvent les plus néophytes. Ce n'est pas à l'utilisateur débutant d'avoir à gérer une situation mal conçue par Thomson, m'enfin !

Regarde comment ça se passe chez Free ; la clé WPA générée aléatoirement par défaut ne peut pas être retrouvée. D'autant que l'ESSID d'un réseau wifi Freebox ne donne pas d'indication tels que ces six caractères avec lesquels il est si facile de pirater les réseaux Bbox !

suredj

Le wifi Bbox est piratable aisément
« Réponse #12 le: 21 September 2009 11:16:53 »
Faisant du Helpdesk pour une grosse boite avec un logo rouge
ce satané bouton REG d'association nous pouris la vie plus qu'autre chose.
Quand tu sais que FT se permet de facturer 30 à 60 euros juste pour faire appuyer sur ce bouton à leurs clients ...
et qu'on  leurs dit de contacter Orange pour faire l'asso wifi ca part dans des discussions intérminable a chaque fois.

lol51

Le wifi Bbox est piratable aisément
« Réponse #13 le: 21 September 2009 11:17:09 »
Han.. il y a encore des gens qui sont persuadés être protégés grâce au mode association de leur laïvebox ! Dites-vous bien une chose, dans l'état actuel des choses toutes les transmissions sont altérables, modifiables, ursupables, etc. Les seules choses considérées comme sûres sont :
- Le WPA AES pour le wifi
- Les tunnels chiffrés
- Les protocoles de "haut niveau" c'est à dire HTTPS, SSL
- Et en gros tout ce qui repose sur des échanges de clés (IPsec, etc.)


brupala

Le wifi Bbox est piratable aisément
« Réponse #14 le: 21 September 2009 11:23:35 »
Citation de: yoann007
Le fait qu'elle soit par défaut ne la dispense pas d'être suffisamment sécurisante pour l'utilisateur, au contraire même vu que les utilisateurs laissant les clés par défaut sont souvent les plus néophytes. Ce n'est pas à l'utilisateur débutant d'avoir à gérer une situation mal conçue par Thomson, m'enfin !
Une fois pour toutes:
Une clé (comme un mot de passe) par défaut n'est jamais sécurisante : le premier rôle d'un fournisseur est d'informer l'utilisateur sur ce qu'il risque s'il ne personnalise pas ces paramètres de sécurité.
Dans l'absolu, ils devraient même les changer tous 6 mois .
Le néophyte n'est pas destiné à le rester.
tiens, pour ceux qui manquent d'imagination:
http://www.clubic.com/telecharger-fiche69906-wifi-key-generator.html

Yoann Ferret

Le wifi Bbox est piratable aisément
« Réponse #15 le: 21 September 2009 11:30:17 »
Citation de: brupala
Citation de: yoann007
Le fait qu'elle soit par défaut ne la dispense pas d'être suffisamment sécurisante pour l'utilisateur, au contraire même vu que les utilisateurs laissant les clés par défaut sont souvent les plus néophytes. Ce n'est pas à l'utilisateur débutant d'avoir à gérer une situation mal conçue par Thomson, m'enfin !
Une fois pour toutes:
Une clé (comme un mot de passe) par défaut n'est jamais sécurisante : le premier rôle d'un fournisseur est d'informer l'utilisateur sur ce qu'il risque s'il ne personnalise pas ces paramètres de sécurité.
Dans l'absolu, ils devraient même les changer tous 6 mois .
Le néophyte n'est pas destiné à le rester.
Tu es dans une belle théorie où tous les utilisateurs se préoccupent des détails techniques et sont au courant des techniques de sécurisation et des règles élémentaires de protection...
Ce n'est pas la réalité et ne le sera jamais. Je tenais juste à t'en informer.

Il est du devoir du concepteur du produit d'en tenir compte. Le fait qu'un algorithme de conception de clé par défaut soit plombé par une telle faille est inexcusable, contrairement à ce que tu sembles prétendre. Car une fois encore, il y a une vraie faille dans ce système. Si la clé par défaut était générée totalement, aléatoirement sans moyen de la retrouver, on ne serait pas en train de parler d'un danger à grande échelle pour les utilisateurs de Bbox !

tarass

Le wifi Bbox est piratable aisément
« Réponse #16 le: 21 September 2009 12:33:36 »
Citation de: suredj
Faisant du Helpdesk pour une grosse boite avec un logo rouge
ce satané bouton REG d'association nous pouris la vie plus qu'autre chose.
Quand tu sais que FT se permet de facturer 30 à 60 euros juste pour faire appuyer sur ce bouton à leurs clients ...
et qu'on  leurs dit de contacter Orange pour faire l'asso wifi ca part dans des discussions intérminable a chaque fois.
En même temps si le client prenait le temps de lire 3 seconde le poster A3 fournit avec ca box ca lui éviterais de perdre des sous en hotline....

brupala

Le wifi Bbox est piratable aisément
« Réponse #17 le: 21 September 2009 12:41:39 »
Citation de: yoann007
Si la clé par défaut était générée totalement, aléatoirement sans moyen de la retrouver, on ne serait pas en train de parler d'un danger à grande échelle pour les utilisateurs de Bbox !
Si Bouygues ne mettait pas de clé par défaut et conseillait à ses clients de changer la clé à la mise en service puis tous les 6 mois, personne ne se poserait la question sur la responsabilité .
Car là on risque de tomber dans une situation, on le sent venir, où se sera de la faute à tout le monde, constructeur, opérateur, mais surtout pas utilisateur, si le réseau est piraté .
Bah non,
chacun est responsable de la sécurité et de l'utilisation de son réseau, c'est tout .
Il faut juste bien l'écrire, l'imprimer sur tous les sens, comme sur les paquets de cigarettes, et ça c'est la responsabilité du FAI.

Saxophile

Le wifi Bbox est piratable aisément
« Réponse #18 le: 21 September 2009 12:49:06 »
Citation de: brupala
chacun est responsable de la sécurité et de l'utilisation de son réseau, c'est tout .
Il faut juste bien l'écrire, l'imprimer sur tous les sens, comme sur les paquets de cigarettes, et ça c'est la responsabilité du FAI.
C'est assez vrai, mais au delà de l'avertissement les FAI, prestataires, et autres constructeur doivent faire preuve d'un minimun de pédagogie pour permettre aux utilisateurs de prendre les bonnes décisions.
Par exemple Bouygues aurait dû mettre en avant clairement la possibilité de changer de clé à la demande.

Yoann Ferret

Le wifi Bbox est piratable aisément
« Réponse #19 le: 21 September 2009 12:49:31 »
Citation de: brupala
Citation de: yoann007
Si la clé par défaut était générée totalement, aléatoirement sans moyen de la retrouver, on ne serait pas en train de parler d'un danger à grande échelle pour les utilisateurs de Bbox !
Si Bouygues ne mettait pas de clé par défaut et conseillait à ses clients de changer la clé à la mise en service puis tous les 6 mois, personne ne se poserait la question sur la responsabilité .
Et la hotline serait complètement engorgée.

Il FAUT proposer une clé par défaut, fût-elle générée aléatoirement. Et il faut qu'elle ne souffre pas d'une faille évidente et majeure comme celle qui est dénoncée dans cette news (et dont tu refuses toujours d'admettre que le problème vient de là, et non du fait qu'elle soit proposée par défaut).

Citer
chacun est responsable de la sécurité et de l'utilisation de son réseau, c'est tout .
Les ingénieurs en sécurité réseau sont responsables de la sécurité de leur réseau, d'accord. Madame Michu n'a pas à l'être, non ! Mais il est vrai que c'est ce que Christine Albanel a prétendu lors des débats sur la loi Hadopi... donc tu as une excuse.

Avec ton raisonnement l'usage de l'informatique est réservé à une élite, les happy few geeks "kiçikonaisse", quelle fierté ! Et quelle bonne idée, vraiment !

suredj

Le wifi Bbox est piratable aisément
« Réponse #20 le: 21 September 2009 13:12:55 »
Citation de: tarass
Citation de: suredj
Faisant du Helpdesk pour une grosse boite avec un logo rouge
ce satané bouton REG d'association nous pouris la vie plus qu'autre chose.
Quand tu sais que FT se permet de facturer 30 à 60 euros juste pour faire appuyer sur ce bouton à leurs clients ...
et qu'on  leurs dit de contacter Orange pour faire l'asso wifi ca part dans des discussions intérminable a chaque fois.
En même temps si le client prenait le temps de lire 3 seconde le poster A3 fournit avec ca box ca lui éviterais de perdre des sous en hotline....
j'aurais beaucoup moi de taf c'est sur !
Mais facturer un appuie sur un bouton ... super la qualité service ! ...

Bha changez régulierement la clef de sécu de votre box et mettre un bon WPA en phrase code

Le pb c'est qu'avec l'avenement de l'hadopi de plus en plus de pti malin vont creer des programmes simples a utiliser
à la porté de n'importe quel utilisateur lambda lui permettant de craker les wep/wpa de ses voisins ... si derniere la sécu des box suivent pas.
Hadopi à du souci à se faire.


brupala

Le wifi Bbox est piratable aisément
« Réponse #21 le: 21 September 2009 14:00:02 »
Citation de: yoann007
Les ingénieurs en sécurité réseau sont responsables de la sécurité de leur réseau, d'accord. Madame Michu n'a pas à l'être, non ! Mais il est vrai que c'est ce que Christine Albanel a prétendu lors des débats sur la loi Hadopi... donc tu as une excuse.

Avec ton raisonnement l'usage de l'informatique est réservé à une élite, les happy few geeks "kiçikonaisse", quelle fierté ! Et quelle bonne idée, vraiment !
Clé par défaut..... la principale erreur est plutôt  dans le SSID qui reprend l'adresse mac de la bosque .
parce que question algorihme,
j'utilise une fonera où la clé  du réseau privé par défaut est le numéro de série du routeur, le fournisseur n' a même pas pris la peine de passer par un algorithme quelconque .... mais il est vrai qu' il n'apparait pas non plus dans le SSID.
Il faudrait aussi conseiller au client de changer le SSID par défaut ...
ce n'est pas gentil et ça montre la faiblesse de tes arguments de me comparer à christine albanel, la prochaine étape, c'est quoi ? point godwin ?
Quand à Mme michu, c'est pareil: quand on en veut pas expliquer quelque chose, on vient dire que c'est Mme michu qui s'en servira et que l'on professe dans le vide .
il est bien dommage que ce ne soit pas dit plus souvent, mais Il est de la responsabilité des fournisseurs d'accès d'expliquer à leurs clients les tenant et aboutissants de l'usage d'internet et les bonnes pratiques, si les utilisateurs ne se prennent pas en charge, les pouvoirs publics le feront à leur place et adieu à nos libertés, il ne faudra pas venir pleurer contre des législations toujours plus restrictives.
Des sites comme freenews ont aussi cette responsabilité dans cette éducation et la prise de conscience des responsabilités individuelles .
Microsoft a sa part de responsabilité dans cette situation: à vouloir faire croire que l'usage de l'informatique et d'internet doit être aussi simple que d'utiliser la zapette de la télévision, c'est faux:
Internet n'est pas un téléviseur et ce que nous y faisons ou pas à un impact sur son fonctionnement .
C'est tout cela qu'il faut dire à Mme Michu et à tous ceux qui vont se retrouver piégés dans un monde dont ils ne maitrisent pas les règles.
On peut utiliser toutes sortes de moyens sauf tirer les systèmes vers le bas pour se rapprocher des utilisateurs potentiels sans leur donner les bases de l'utilisation .
Mame M. tout M. qu'elle est (au passage, je plains sincèrement tous les Michu de France et de navarre) a tout de même appris le code pour emmener sa voiture sur les routes peuplées de délinquants.

Toruna

Le wifi Bbox est piratable aisément
« Réponse #22 le: 21 September 2009 14:56:39 »
La source réelle est crack-wpa.fr. Merci de modifier.

Yoann Ferret

Le wifi Bbox est piratable aisément
« Réponse #23 le: 21 September 2009 15:11:13 »
brupala, oui ok d'accord. Les gens sont des abrutis, il faut les éduquer, etc. et il faut éviter toute tentative de démocratisation et d'accès à la technologie par le plus grand nombre. Ton avis est sympa au possible, je rêve d'un monde comme tu le dépeins. Merci de ta participation.

Citation de: Toruna
La source réelle est crack-wpa.fr. Merci de modifier.
Bah heu, on cite NOTRE source. Qu'entends-tu par "source réelle" ?

tarass

Le wifi Bbox est piratable aisément
« Réponse #24 le: 21 September 2009 15:17:53 »
Citation de: suredj
j'aurais beaucoup moi de taf c'est sur !
Mais facturer un appuie sur un bouton ... super la qualité service ! ...
Bah en même temps le gars qui refuse de prendre le temps de lire... Et qui attend des conseils téléphoniques c'est normal qu'il paye.

Citation de: suredj
Bha changez régulièrement la clef de sécu de votre box et mettre un bon WPA en phrase code

Le pb c'est qu'avec l'avènement de l'hadopi de plus en plus de pti malin vont creer des programmes simples a utiliser
à la porté de n'importe quel utilisateur lambda lui permettant de craker les wep/wpa de ses voisins ... si derniere la sécu des box suivent pas.
Hadopi à du souci à se faire.
Je plain grave l'utilisateur de bonne fois qui tombera dans le traquenard Hadopi... Juste pour rire j'aimerais bien que les accès internet privés des proches de nos chère député pro hadopi soit utilisé pour faire du piratage pour voir ce que ca leur fait....

Jo.ET

Le wifi Bbox est piratable aisément
« Réponse #25 le: 21 September 2009 17:49:26 »
Citation de: tarass
Juste pour rire j'aimerais bien que les accès internet privés des proches de nos chère député pro hadopi soit utilisé pour faire du piratage pour voir ce que ca leur fait....
Bha ils ont sûrment des copains, ca passera comme une lettre à la poste, comme d'ab quoi.

JoePike

Le wifi Bbox est piratable aisément
« Réponse #26 le: 21 September 2009 23:51:59 »
Citation de: brupala
[
Pas d'accord,  
ça n'est pas une faille, le constructeur n'y est pour rien: il propose une clé par défaut, c'est une clé par défaut elle vaut comme telle .
Désolé pas d'accord du tout
Un fournisseur qui fournit une clé par défaut crackable en 1 minute fairait mieux de ne pas proposer de clé du tout .
D'ailleurs un fournisseur qui me ferait cela je le vire.
J'ai 5000 postes clients dans mon parc et je ne suis pas la pour apprendre la sécurité  ou l'informatique à mes utilisateurs ils ont leur propre métier.
Nous les obligeons à changer de mots de passe que ce soit sur Lotus Notes , sur z/OS ou autres et les mots de passe ou les clés générées ne sont pas crackables en 1 minute.
A part demander aux gens de changer de clé ou de mots de passe régulièrement mon role est aussi de fournir des générateurs de clés ou de mots de passe qui produisent de vrais MDP et de vraies clés.
pour moi il y a 2 fautifs : le constructeur et le FAI acheteur.
l'un parce qu'il a mis une routine de M... pour générer la clé
Le FAI acheteur car il n'a pas testé le produit alors qu'il savait qu'il allait déployer par milliers chez des utilisateurs Lambda.
C'est tout simplement de l'amateurisme .

Kami78

Le wifi Bbox est piratable aisément
« Réponse #27 le: 22 September 2009 07:24:49 »
Je sais que c'est un peu HS, mais il faut rappeler avant de taper sur BoT que Free n'a toujours pas changé son protocole d'attribution des identifiants en fonction du numéro FT : depuis des années, un nouveau client qui récupère un numéro attribué auparavant à un ex freenaute va accéder à son interface de gestion et consulter ses factures ou commander ce qu'il veut. Cette anomalie n'est pas plus grave ni moins stupide que celle de ce topic.

C'est donc bien au client et pas à son fournisseur de faire ce qu'il faut en changeant ses identifiants et codes personnels...


Yoann Ferret

Le wifi Bbox est piratable aisément
« Réponse #28 le: 22 September 2009 08:16:25 »
Citation de: Kami78
Je sais que c'est un peu HS, mais il faut rappeler avant de taper sur BoT que Free n'a toujours pas changé son protocole d'attribution des identifiants en fonction du numéro FT : depuis des années, un nouveau client qui récupère un numéro attribué auparavant à un ex freenaute va accéder à son interface de gestion et consulter ses factures ou commander ce qu'il veut. Cette anomalie n'est pas plus grave ni moins stupide que celle de ce topic.

C'est donc bien au client et pas à son fournisseur de faire ce qu'il faut en changeant ses identifiants et codes personnels...
Officiellement l'assistance m'avait indiqué que le problème était corrigé il y a peu... :/

JoePike

Le wifi Bbox est piratable aisément
« Réponse #29 le: 22 September 2009 11:24:49 »
Citation de: marsunoir
Bonsoir

Je vais certainement paraitre bien niais au millieu de vos échanges, mais quand j'achète un téléphone portable, le code pin par défaut est quasiment toujours le même et c'est bien à moi de le changer, de même quand mon banquier me donne un code d'accès pour ma consultation de mes comptes par internet, c'est là aussi à moi de les changer dès ma première connection et c'est d'ailleurs ce qui m'est préconisé d'entrée de jeux dès ma première connection.

Où est la différence ?

Si ce n'est que mon banquier m'en informe à ma première connection, alors que si je ne lis pas la notice de mon portable, c'est à mes risques et périls ?

Il en va de même chez Free, où si je ne veux pas apparaitre dans l'annuaire, c'est à moi de lire et d'intervenir à temps pour modifier mes paramètres et là c'est moins simple quand on débarque dans l'aventure. ;)
Il ne faut pas confondre informatique et téléphonie. Donc pour moi les téléphones c'est pas grave, peu de gens piratent les lignes téléphoniques de portables, et si cela arrivait in n'y a pas d'hadopi pour vous condamner pour manque de sécurité sur votre portable.( avis perso)
Pour l'apparition dans l'annuaire , c'est un choix, pas un problème de sécurité (Hadopi ne t'enlèvera pas ta ligne parce que tu es dans un annuaire)
Le compte en banque, comme tu le dis, en principe tu es obligé de le changer car ça ne marche pas avec celui par défaut. ( si ce n'est pas le cas, il est peut être bon de changer de banque car elle utilise de mauvais informaticiens et ne fait pas souvent d'audit de sécurité )
Ensuite c'est l'informatique qui prend le relais et s'assure que le code entré n'est pas crackable ( il y a bien sûr des niveaux différents et des règles différentes selon les banques)
Ici le problème est qu'il y a un générateur automatique de clé WPA mais que le résultat est crackable.
( c'est un peu comme si au lieu de rentrer ta propre combinaison sur un coffre fort, le coffre fort génèrait
automatiquement une combinaison que n'importe qui pourrait retrouver ensuite en 1 minute).
J'espère que ça clarifiera

inphovid

Le wifi Bbox est piratable aisément
« Réponse #30 le: 22 September 2009 14:42:03 »
En tous cas, mois je dit que c'est ma Freebox V4 avec sa carte PCMCIA qui est là plus sûr, car le Wifi ne fonctionne pas a plus de 6 mètres.
Vu que je suis dans une maison un peu isolé, si il y a un pirate, il est assis sur mon canapé :-)

brupala

Le wifi Bbox est piratable aisément
« Réponse #31 le: 22 September 2009 22:52:40 »
Citation de: inphovid
Vu que je suis dans une maison un peu isolé, si il y a un pirate, il est assis sur mon canapé :-)
Détrompe toi,
je ne te le souhaite pas, et il n'y a guère de raison que ça arrive, mais avec une antenne à grand gain (de l'ordre de 25 db) on pourrait utiliser ton point d'accès à plusieurs centaine de mètres en étant bien placé .
Les ondes radio ne sont jamais innocentes ni confinées .

brupala

Le wifi Bbox est piratable aisément
« Réponse #32 le: 22 September 2009 23:18:08 »
Salut Joe,
Citation de: JoePike
Ici le problème est qu'il y a un générateur automatique de clé WPA mais que le résultat est crackable.
( c'est un peu comme si au lieu de rentrer ta propre combinaison sur un coffre fort, le coffre fort génèrait
automatiquement une combinaison que n'importe qui pourrait retrouver ensuite en 1 minute).
J'espère que ça clarifiera
ça ne clarifie rien du tout, sauf votre tendance à vouloir absolument considérer que les utilisateurs sont définitivement irresponsables,
bah non.
certains peut-etre , mais pas tous, loin de là.
Comme je l'ai dit plus haut et comme l'a dit Marsunoir, il s'agit d'une valeur par défaut que le fournisseur doit absolument conseiller de changer (le SSID comme la clé WPA)  les accès bancaires par mot de passe sont valides et fonctionnent avec un mot de passe par défaut, mais il faut les changer, c'est ainsi que chacun est responsable de ses mots de passe, c'est une règle de base en sécurité informatique, si les utilisateurs ne le savent pas, il faut les éduquer dans ce sens , qu'on le veuille ou pas, il est très grave de faire l'économie de cette mesure.
Jusqu' à preuve de contraire la clé par défaut n'est crackable que parce qu'elle est déduite de l'adresse mac tout comme le SSID il suffit de modifier l'un des deux, ou les deux, comme ça devrait être fait sur toute installation et le problème n'existe plus .
Tous les produits bluetooth sont livrés avec le code par défaut 0000, ce n'est pas pour cela qu'il faut le laisser .
Je me bats de puis des années pour que les utilisateurs windows en réseau (ou pas) créent des comptes utilisateurs avec des mots de passe sur leurs machines c'est une contrainte certes, mais ça évite beaucoup de déconvenues plus tard , microsoft, faisait tout pour éviter cette utilisation pour maintenir un système illusoirement utilisable comme un téléviseur, mais ça évolue doucement et les systèmes récents sont de plus en plus restrictifs à ce niveau, ça commence à aller dans le bon sens.
Il faut continuer à responsabiliser au lieu de tirer le parapluie derrière un constructeur qui fournit tous les outils, mais sans trop préciser que leur non utilisation vous pourrira la vie à terme .

JoePike

Le wifi Bbox est piratable aisément
« Réponse #33 le: 23 September 2009 17:12:41 »
Un dernier pour la route , après je ne post plus :lol:
Nous n'avons pas les même valeurs :-))
Avouez que parler de sécurité et de code à 4 digits numériques pour bluetooth dans le même paragraphe a de quoi surprendre.
Je n'ai jamais dit que les utilisateurs étaient irresponsables mais je dis qu'une fois de plus les informaticiens qui sortent des écoles oublient trop souvent que l'informatique est la pour les servir et non pas le contraire.
C'est une maladie classique des années 90 et 2000
Moi je fournis des systèmes ou le mot de passe de départ ne fonctionne qu'une fois et uniquement pour pouvoir en changer mais en aucun cas être utilisé pour des opérations .
Je fournis des systèmes qui empèchent de mettre "toto" comme mot de passe et j'en fournis les règles aux utilisateurs.
Si les gens ont des difficultés à trouver un mot de passe qui suit ces règles parfois très compliquées, je fournis la possibilité d'utiliser un générateur de mot de passe qui suit ces règles mais dont le résultat ne se cracke pas facilement car il ne dépend d'aucune donnée fixe et n'est pas stocké.
La responsabilité des mots de passe reste la responsabilité des users mais ils ne sont donc pas pris en otage par un produit qui les stocke (par exemple) ou qui les déduit à partir d'une donnée fixe.( de trop nombreux produits gardent les mots de passe dans des tables)
Pour ce qui est de changer le SSID, si un générateur utilise cette donnée pour fabriquer une clé cela ne sert à rien.
( et c'est ce que j'ai compris de la faille en question, mais je peux me tromper)
Thomson le sait et c'est pour cela qu'ils sont en train de changer le système.Il aurait été si simple de mettre un message disant "vous devez fournir un mot de passe" plutôt que d'en fournir un par défaut. ( un truc de base qui semble
avoir trop souvent disparu depuis quelque temps pour laisser la place à "l'éducation des utilisateurs" et se débarasser de toute responsabilité en cas de problème )
Quant aux banques, ce n'est pas parce que certaines ont des systèmes médiocres qu'il faut les prendre pour exemple.
Une banque française très connue puisque je pense la plus grosse, faisait du "persistant session signon" sur leurs accès Internet, je leur ai démontré qu'après que quelqu'un se soit loggé, je pouvais éteindre le PC ( coupure de jus), le rallumer, rappeler l'URL dans l'historique du browser et me retrouver avec tous les accès de l'utilisateur précédent.( ils n'invalidaient la session qu'au bout de 20 minutes)
Ceci pouvait être dangereux (au travail) ou même à la maison quand un PC ést utilisé par plusieurs personnes.
Cette banque accepta mon diagnostic et enleva ce bug au bout de 16 mois (16 mois ! bonjour la sécurité) pour ensuite mettre un système avec un petit clavier numérique pour entrer un MDP qui ne peut contenir que des numériques ( rebonjour la sécurité grace à la complexité du mot de passe).
C'est l'exemple typique que vous avez donné ou un premier mot de passe vous est fourni et ou la banque vous suggère fortement de le changer.( pratique .. on n'est plus vraiment responsable)
Ce nouveau système est tellement fiable ( )que maintenant la banque interdit tout virement bancaire vers des comptes autres que ceux détenus par le titulaire. ( il est possible de faire entrer une liste de comptes externes par la banque afin de pouvoir ensuite faire des transferts à partir de ce service. Mais en aucun cas on ne peut transférer sur un compte quelconque non prédéfini.Une fois de plus l'utilisateur est victime d'une informatique détournée de son but premier
servir les gens.
Cela prouve la confiance que les banques ont dans leur propre système. ( )

Cette discussion sur la sécurité me fait penser à un parrallèle, on pourrait fournir des passe-partout aux clients pour les chambres d'hotel et demander aux clients de ne pas oublier de les changer. Ou bien des clés universelles pour les voitures neuves et demander au client de ne pas oublier de changer les serrures ou les clés.
Cela me rappelle aussi une grosse boite qui demandait une prestation de 'prise de conscience des utilisateurs dans la sécurité informatique"  mais fournissait des mécanismes WEP pour certains locaux et des envois de mots de passe en clair sur leur réseau IP/Ethernet.
Avec un petit coup d'etherreal et d'ethergrouik j'avais 10 mots de passe en 20 minutes dans n'importe quel étage.

Croyez moi , mais 40 ans d'informatique m'ont persuadé d'une chose, si vous voulez protégez quelque chose, confiez le à des professionnels pas à des amateurs ( qu'ils soient informaticiens ou utilisateurs car je ne fais pas de discrimination ) et si vous voulez que les MDP n'existent pas dans des dictionnaires , ne fabriquez pas des systèmes ou on ne peut entrer que du numérique ou des MDP triviaux , ou des procédures qui font confiance à l'éducation des gens.
ça ne marche pas et ça ne marchera jamais, car cela fait partie des voeux pieux ou de ce qu'on enseigne dans les écoles.
Hélas le monde de la production et de l'exploitation informatique est un monde différent et même les CCSP ou CCIE qui arrivent sont parfois un peu déroutés et ont besoin de temps pour redescendre sur terre.
Je ne posterai plus sur le sujet car à l'évidence cela ne sert à rien ... mais ( et c'est dit sans aucune malice ) , revenez me voir dans 20 ans :-))

EDIT: pour ceux intéressés : http://www.crack-wpa.fr/forum/viewtopic.php?id=1360