Pages: [1]

Freenews

Comment Free a corrigé une faille critique sur Freebox
« le: 02 June 2015 14:24:23 »
Une faille de sécurité critique sur Freebox Révolution avait été découverte, et promptement corrigée, fin 2014. Sans plus d’informations. Aujourd’hui, on en apprend un peu plus sur cette histoire… Rappel des faits La faille a été découverte sur la Freebox...

Lire l'article
IP archivée

lowwa132

Re : Comment Free a corrigé une faille critique sur Freebox
« Réponse #1 le: 02 June 2015 14:59:25 »
Erreurs classiques.
IP archivée

djip007

Re : Comment Free a corrigé une faille critique sur Freebox
« Réponse #2 le: 03 June 2015 11:36:17 »
"Une fois ce compte créé, l’attaquant était alors en mesure de se connecter au réseau local de l’utilisateur de la Freebox et d’accéder à de nombreuses données sensibles : configuration intégrale de la Freebox, fichiers partagés sur le réseau local, etc."

C'est faux...
Si vous avez déjà essayer le VPN de free vous savez que un compte ne suffit pas il faut aussi les clefs et les certificats...  Donc oui il était possible de créer un compte mais pas de se connecter sans disposer de cle/certificat => donc ca ne suffit pas pour acceder au reseau interne!

C'est pas beau et c'est une faille mais elle ne suffisais pas à un attaquant externe pour entrer sur le réseau local!!!!
IP archivée

Yoann Ferret

Re : Re : Comment Free a corrigé une faille critique sur Freebox
« Réponse #3 le: 03 June 2015 12:06:19 »
Citation de: djip007 le 03 June 2015  11:36:17
"Une fois ce compte créé, l’attaquant était alors en mesure de se connecter au réseau local de l’utilisateur de la Freebox et d’accéder à de nombreuses données sensibles : configuration intégrale de la Freebox, fichiers partagés sur le réseau local, etc."

C'est faux...
Si vous avez déjà essayer le VPN de free vous savez que un compte ne suffit pas il faut aussi les clefs et les certificats...  Donc oui il était possible de créer un compte mais pas de se connecter sans disposer de cle/certificat => donc ca ne suffit pas pour acceder au reseau interne!

C'est pas beau et c'est une faille mais elle ne suffisais pas à un attaquant externe pour entrer sur le réseau local!!!!
Tu parles probablement de l'OpenVPN, mais en PPTP login + mot de passe suffisent.
IP archivée

hades

Re : Comment Free a corrigé une faille critique sur Freebox
« Réponse #4 le: 03 June 2015 15:01:12 »
sachant que de toute façon PPTP n'est plus considéré comme sécurisé depuis longtemps !
IP archivée

djip007

Re : Re : Re : Comment Free a corrigé une faille critique sur Freebox
« Réponse #5 le: 03 June 2015 16:47:07 »
Citation de: Yoann Ferret le 03 June 2015  12:06:19
Tu parles probablement de l'OpenVPN, mais en PPTP login + mot de passe suffisent.

heu.. oui je me rappelais pas que l'on pouvais faire autrement... c'est vrais que les protocole  Microsoft ça me tente pas trop je préfère le ssh à pptp...
IP archivée

Yoann Ferret

Re : Re : Re : Re : Comment Free a corrigé une faille critique sur Freebox
« Réponse #6 le: 03 June 2015 18:21:34 »
Citation de: djip007 le 03 June 2015  16:47:07
heu.. oui je me rappelais pas que l'on pouvais faire autrement... c'est vrais que les protocole  Microsoft ça me tente pas trop je préfère le ssh à pptp...
En attendant, ça suffit parfaitement pour prendre le contrôle à distance à l'aide du login + mdp créé via la faille décrite. Nul besoin de certificats.
IP archivée

djip007

Re : Re : Re : Re : Re : Comment Free a corrigé une faille critique sur Freebox
« Réponse #7 le: 04 June 2015 15:50:02 »
Citation de: Yoann Ferret le 03 June 2015  18:21:34
En attendant, ça suffit parfaitement pour prendre le contrôle à distance à l'aide du login + mdp créé via la faille décrite. Nul besoin de certificats.

Oui si tu as activé le pptp... non si tu n'as activé que l'un des 2 modes ssh (OpenVPN)... et non aussi si tu n'as rien activé...  ;)

Donc celle ceux ayant activé le VPN pptp était concerné par la faille... ça doit bien limiter le nombre d'utilisateur qui pouvais être touché...
IP archivée
Pages: [1]