Problèmes freenautes : classé confidentiel

21

Cette semaine, dans notre chronique de l’autre mercredi sur deux consacrée aux problèmes freenautes, en partenariat avec l’AdUF, nous parlerons de données personnelles ! D’un simple numéro de téléphone à un mot de passe, vous confiez allègrement des informations à votre fournisseur d’accès à internet en toute confiance. Seulement voilà, parfois, cela peut se révéler plus problématique qu’il n’y paraît. Attention, nous déclinons toute responsabilité en cas de crise de paranoïa à la lecture de cette newsletter 😉


Données-moi…

Prenons un cas de figure tout à fait simple. Vous êtes un Freenaute quelconque, et vous déménagez. Vous conserverez, pendant quelque temps, l’accès à votre ancienne console de gestion. Imaginons maintenant que le nouveau locataire de votre ancien appartement décide de s’abonner à Free… le résultat ? En vous connectant à votre ancienne console de gestion, c’est du coup à la sienne que vous accéderez. L’identifiant reste en effet le même (le numéro de ligne France Telecom de l’appartement), mais le mot de passe ne change pas non plus !

Ce scénario n’a rien de fictif. Il était, jusqu’à peu encore, une réalité chez Free. Pour peu que la personne emménageant à votre ancien domicile souscrive également à Free, et n’aie pas le réflexe de changer son mot de passe, vous pouviez accéder à sa console de gestion… ad vitam æternam. Une situation gravissime, car elle donnait accès à tous les renseignements concernant le nouvel habitant des lieux, mais également à des actions sensibles (commande d’accessoires payants, changement du mot de passe ou des coordonnées, résiliation, etc.). Elle a cependant été corrigée récemment.

Le peu de cas que Free fait de vos informations personnelles n’est plus à démontrer. Sans lien de cause à effet, on rappellera que l’interface de gestion proposée sur Free.fr reste une des dernières du genre à être proposée dans une version entièrement « en clair », là où tous les sites sérieux transitant des informations sensibles font appel à un protocole crypté sécurisé (https). Concrètement, cela signifie qu’il n’est pas si difficile que ça, pour une personne mal intentionnée, d’intercepter votre mot de passe et de l’utiliser à des fins malhonnêtes. Le combat pour une interface sécurisée est de longue date, et de nombreux utilisateurs avertis ont régulièrement pointé du doigt ce manque.

Il se murmure d’ailleurs que les problèmes liés à l’utilisation du SIP (pour une piqûre de rappel, lisez notre chronique datée du 08/10) n’auraient sans doute jamais eu lieu si l’interface était d’une sécurité à toute épreuve. Actuellement, le service est toujours bridé pour cette raison (seuls les appels nationaux, gratuits, sont possibles). Free interdit même d’activer le service SIP et/ou d’en modifier le mot de passe à partir de l’interface de gestion, si l’IP détectée ne correspond pas à celle du domicile du Freenaute. Voilà qui donne la fâcheuse impression que Free est parfaitement conscient que l’interface de gestion est accessible par une personne indésirable depuis l’extérieur…

Récemment, enfin, les Freenautes ont pu constater avec amertume que Free avait cru bon de communiquer leurs coordonnées personnelles (incluant leur nom et leur numéro de téléphone mobile) à Canal+, en guise de suite à l’offre promotionnelle de la chaîne il y a un mois. Certes, un courrier avait déjà été adressé aux abonnés Free, mais celui-ci permettait avant tout d’annoncer la période de gratuité de la chaîne cryptée. La campagne d’appels récente n’avait par contre pour seul but que de convertir des Freenautes en abonnés Canal+… Dans l’histoire, la personne contactée n’a bien évidemment jamais donné son accord pour l’utilisation de ses données à des fins commerciales ; même les Freenautes avertis ayant expressément signalé leur refus de communiquer leur numéro de téléphone fixe, via les paramètres de confidentialité de l’annuaire dans leur interface, ont pu être contactés.

Reste à savoir quand notre fournisseur se décidera enfin à prendre toutes ces questions au sérieux. La sécurité n’est pas un vain mot, et lorsqu’il s’agit de la confidentialité et de l’accès à nos données personnelles, on aimerait vraiment que Free se donne les moyens (dans tous les sens du terme) de colmater les brèches de son système…


N’hésitez pas à nous faire remonter d’éventuels problèmes sur assistance (at) aduf.org ou encore sur les forums techniques de l’AdUF ou de Freenews.

A dans deux semaines !

Partager

A propos de l'auteur

[Responsable de la rédaction]
Sévit également sur Café Gaming et Point de vue social.

21 commentaires

  1. Par contre, pour ceux qui disposent de 2 lieux de résidence avec 2 abonnements Free, ( je sais, on a le droit d'être maso) il était possible, avant que ne surviennent les problèmes de sécurité mentionnés, de gérer via la console, à partir d'une des connexions, par exemple les services téléphoniques de l'autre connexion. Super!... Utile pour les renvois d'appels de l'une sur l'autre par exemple...quand on a oublié de le faire après son départ en vacances.. Au lieu de sécuriser comme il se doit la console comme rappelé dans la news... Free s'est contenté d'empêcher les modifications des paramètres de services si la ligne modifiée ne correspond pas à la connexion modifiante... Quand est ce que Free évoluera de l'état d'une groupe de geeks capable de mettre à disposition des options innovantes pour des happy fews à un société consciente qu'elle gère des millions de CLIENTS ( ça m' a échappé , pardon) méritant un SERVICE CLIENT (encore!!) client digne de ce nom???

  2. Bonjour. A ce propos la CNIL (je souhaite longue vie et indépendance à cet organisme) a publié il y a peu un article intitulé "De l’urgence à protéger la vie privée et les données personnelles dans un monde sans frontière…" à lire ici : http://www.cnil.fr/index.php?id=2578 et à méditer ;-)

  3. Bonjour, Je confirme le contenu de l’article, grâce au login fourni par Free, je me suis trouvé dans la situation de pénétrer dans la console de gestion du précédent locataire, ancien abonné de free. Si le problème de confidentialité se posait pour mon prédécesseur, il se posait aussi pour moi. En effet, lui aussi continuait d'avoir accès à sa console de gestion, donc à la mienne, enfin…. la "NOTRE". Pour l'anecdote, lorsque j'ai signalé ce bug à Free, j'ai dû payer environ 2 ou 3 euros de frais pour joindre le numéro payant de Free, grâce auquel, de coup de fil en coup de fil, j'ai obtenu un nouveau login et une console de gestion vierge. Ensuite, par principe, lorsque j'ai réclamé, par mail cette fois, le remboursement de ces frais téléphoniques à Free, ils m'ont répondu d'envoyer une lettre de réclamation en recommandé. Autant dire, que j'ai laissé tombé, le recommandé m'aurait couté plus cher que la somme réclamée. Ils sont pas forts chez Free?

  4. et n’aie pas le réflexe de changer son mot de passe
    J ai déjà rencontré deux difficulté suite à un changement de mot de pass. J ai perdu une boite mail et j ai un amie qui ne peut plus utiliser un sagem pour se connecter. La principale cause de mes problèmes est que free a tronqué mon mot de pass, le limitant à 8 caractères, sans me prévenir lors de la modification. Cela aurait put être sans conséquence si je pouvais récupérer mon nouveau mot de pass tronqué, car l option mdp oublié renvoi l ancien mot de pass qui ne sert à rien. Pour la boite mail ce n était pas très grave, c était une boite en plus, par contre pour l utilisation d un sagem au lieu de la freebox, si on modifie son mdp il devient impossible de se connecter sans la freebox.

  5. Tout cet article résume plusieurs années de remontées d'anomalies depuis les forums et la hotline vers Free sans correction : pourquoi Free changerait-il quoi que ce soit ? Sans parler des autres irrégularités qui n'ont pas été évoquées par manque de place et qui viendront sûrement compléter cette liste prochainement.

  6. Cessons la paranoïa. Free n'a jamais abusé de son droit. S'il sont efficaces, c'est parce qu'ils vont droit au but: au lieu de faire des réunions sur la confidentialité et sécurité, ils mettent en place ce qu'ils pense être le plus utile et réagissent quand il y a un problème. Sinon il est impossible de faire confiance à quoi que ce soit. Quand vous faites les courses au supérmarche, qui vous garantit que le lecteur de carte bleue n'est pas faux et n'enregistrera pas votre code ? (Cela s'est fait de nombreuses fois).

  7. Pour canal+ ce n'est pas nouveau, déjà en 2004 je venais de déménager, je n'avais encore donné mon adresse et mon numéro à aucun organisme mise à part free et j'ai reçu des coup de téléphones commerciaux pour m'abonner à canal :/

  8. Je ne comprends pas le problème. Même si l'identifiant est le même comment le nouveau locataire peut avoir le mot de passe et donc se connecter ?? L'ancien propriétaire a mis le mot de passe qu'il veut. Le nouveau essaye de se connecter et donc n'a pas le mot de passe. Par contre se qui fait plaisir c'est qu'il semble ne plus y avoir de problème techniques (attendons le post dans 15 jours).

  9. bil01 a écrit :
    Je ne comprends pas le problème. Même si l'identifiant est le même comment le nouveau locataire peut avoir le mot de passe et donc se connecter ?? L'ancien propriétaire a mis le mot de passe qu'il veut. Le nouveau essaye de se connecter et donc n'a pas le mot de passe.
    Je ne suis pas sûr de ce que tu évoques mais hélas la majorité des clients ne changent pas le mot de passe envoyé avec le n° de désignation de ligne. Or ce mot de passe dépend uniquement du n°. Si celui-ci est transféré par la suite à un nouveau client, ce qui est devenu courant, celui-ci peut donc accéder à la console de gestion du précédent titulaire. Ce n'est pas sérieux de la part de Free qui est parfaitement au courant depuis des années, alors qu'il suffirait de modifier quelques lignes de programme pour générer un nouveau code. Mais bien entendu c'est la faute du client qui ne modifie pas son mot de passe...:twisted: Inattaquable mais bien décevant.

  10. Réagir sur le forum