Des identifiants aux quatre vents

22

Où l’on reparlera du HTTPS chez Free…

Les identifiants de compte Free sont le sésame permettant d’accéder à une grande variété de services. Configuration du mode routeur de la Freebox, envoi de fax, consultation des factures, commande d’accessoires payants… tout, ou presque, est possible depuis l’interface de gestion. Néanmoins, ils nécessitent une protection maximale contre les utilisateurs mal intentionnés qui pourraient vouloir s’en emparer…

Vos identifiants sont précieux. Ils sont une donnée sensible, en ce sens qu’ils permettent d’opérer toute une série d’opérations, certaines étant payantes et débitées directement sur votre compte bancaire.

Mettons-nous du point de vue d’un pirate ; si une personne mal intentionnée n’aura que peu d’intérêt à effectuer des commandes d’accessoires à votre nom, il y a néanmoins des usages plus aptes à être détournés à des fins lucratives. Prenons par exemple le service SIP : celui-ci permet d’utiliser votre ligne téléphonique depuis n’importe quel ordinateur dans le monde grâce à un protocole spécifique. Une arnaque typique consisterait à mettre en place, dans un premier temps, un numéro de téléphone, de préférence lourdement surtaxé, sur lequel on toucherait au moins une partie des revenus (exemple : Allopass). Dans un second temps, il n’y aurait plus qu’à appeler massivement ce numéro à l’aide d’identifiants SIP volés sur l’interface de gestion d’un Freenaute… ainsi, c’est ce dernier qui paye l’appel, et le pirate engrange des sommes non-négligeables pour peu qu’il automatise l’opération.

Le scandale du piratage des comptes SIP, courant 2007, a fait beaucoup de bruit à l’époque. De nombreux Freenautes s’étaient retrouvé avec des factures téléphoniques allant parfois jusqu’à plus de 1000 euros ! Free avait officiellement invité les personnes touchées à porter plainte contre X pour piratage, mais n’a jamais donné plus d’informations sur ce qui s’était réellement passé. Nous ne prétendons pas non plus le savoir, même si l’explication ci-dessus est tout à fait plausible.

Depuis cette époque, les opérations les plus sensibles sur l’interface de gestion du compte (comme par exemple l’activation du service SIP ou le changement de son mot de passe) ne peuvent être effectués qu’à domicile, directement sur la ligne du compte concerné. De plus, les appels susceptibles d’être facturés (numéros internationaux, spéciaux, etc.) ont été retirés du service SIP. Cette solution, qui confirme à demi-mot qu’un tiers peut, sous certaines conditions, avoir accès à votre console de gestion à distance, n’est qu’à moitié satisfaisante.

De longue date, les internautes avertis ou soucieux de la question de la confidentialité de leur compte réclament une connexion à l’interface de gestion… sécurisée. On sait que Free est capable de générer des certificats sécurisés (délivrés par Equifax) depuis la sortie du service Free WiFi dont le portail d’accès est protégé par HTTPS. Néanmoins, un tel système n’a toujours pas été déployé sur l’interface principale… c’est dommage.

Une nouvelle forme de danger plus récente, et moins évidente au premier abord, fait progressivement son apparition. On parle beaucoup des applications mobiles freenautes (permettant, par exemple, de programmer ses enregistrements à distance) ; celles-ci sont bien pratiques et de plus en plus à la mode. Elles reposent néanmoins sur la confiance que l’utilisateur accorde au développeur, puisqu’il faut donner ses identifiants Free pour pouvoir s’en servir…

Il convient de ne pas céder à la paranoïa (il reste peu probable qu’une application mobile détourne effectivement vos identifiants à l’heure actuelle), d’autant que certains programmes de ce type sont disponibles en open source (ce qui permet de vérifier par soi-même qu’ils ne contiennent aucun bout de code malicieux). Dans le cas de FreeGo, on peut également accorder une confiance légitime au développeur de l’application : GoProd est bien connu de Free et a conclu plusieurs partenariats avec ce dernier. Avec un peu de discernement, on peut donc rester à l’abri des problèmes. Mais certaines applications n’apportent aucune garantie tangible…

En vérité, le simple fait que le détournement d’identifiants soit possible devrait inciter les développeurs de Free à chercher une solution. De nombreux sites ont été confrontés à ce problème, y compris quelques mastodontes : Facebook ou Twitter. Récemment encore, les applications pour Twitter réclamaient les identifiants de l’utilisateur pour fonctionner (et certaines le font toujours). La solution la plus courante consiste à mettre en place un système d’identification sécurisé : l’application tierce ne demande ainsi plus les mot de passe elle-même mais renvoie vers le site du prestataire principal (Free, dans notre cas), sur lequel l’utilisateur peut s’authentifier comme d’habitude. L’application reçoit alors un certificat sécurisé lui permettant d’accéder aux données nécessaires à son fonctionnement, sans pour autant avoir eu accès une seule seconde aux identifiants de l’utilisateur. Dans le cas de Twitter, l’API sécurisée passe par le système OAuth. Facebook a mis au point Facebook Connect. De nombreux sites recourent à un principe similaire de délivrance de certificat, avec les OpenID…

Free n’implémentera sans doute rien de ce genre s’il ne l’estime pas nécessaire, d’autant que l’utilisateur n’est (normalement) pas censé utiliser ses identifiants ailleurs que sur le site officiel. Mettre son mot de passe entre des mains inconnues serait-il un risque à courir pour bénéficier d’applications tierces pratiques au quotidien ? Voilà qui ressemble plutôt à une porte ouverte sur un nouveau type de phishing potentiel…

Retrouvez chaque semaine l’édito du lundi sur Freenews

Partager

A propos de l'auteur

[Responsable de la rédaction]
Sévit également sur Café Gaming et Point de vue social.

22 commentaires

  1. "Il convient de ne pas céder à la paranoïa (il reste peu probable qu’une application mobile détourne effectivement vos identifiants à l’heure actuelle), d’autant que certains programmes de ce type sont disponibles en open source (ce qui permet de vérifier par soi-même qu’ils ne contiennent aucun bout de code malicieux)." Sauf que dans le cas de l'iphone, le seul moyen d'installer une appli (hors jailbreak) c'est de prendre le binaire qui se trouve sur l'app store. Or rien ne prouve que ce binaire corresponde effectivement au code source que l'auteur publie. Si encore on pouvait compiler soi meme son appli et l'installer sur le telephone, alors oui, la on serait tranquille, mais avec un tel modele de deploiement d'applis, rien n'est moins sur...

  2. Bon article sur une très bonne question! en tant que dev d'une appli sur Android (non open source - au moins pour l'instant), je me sens d'ailleurs un peu concerné... 3 commentaires: - open source ou pas, une appli n'est pas à l'abrit d'une grosse vulnérabilité (ex: mot de passe apparaissant dans les logs, téléphone avec droits root sur lequel une autre appli peut récupérer le mot de passe stocké, etc.) et de toute façon comme c'est dit le mdp passe en clair sur le réseau (HTTP), même s'il n'est quand même pas trivial de l'intercepter, sauf dans le cas d'un accès WiFi non chiffré ou sur un PC infecté - attention aux usines à gaz: si l'authentification est trop complexe, adieu les applis sur iphone, android etc. - dans tout les cas le meilleurs moyen d'éviter les soucis c'est de renouveller son mot de passe régulièrement. je sais, ça embête tout le monde, mais c'est bien pourtant le moyen le plus efficace de limiter les risques. Thierry -- FBR

  3. Fanfwe a écrit :
    "Il convient de ne pas céder à la paranoïa (il reste peu probable qu’une application mobile détourne effectivement vos identifiants à l’heure actuelle), d’autant que certains programmes de ce type sont disponibles en open source (ce qui permet de vérifier par soi-même qu’ils ne contiennent aucun bout de code malicieux)." Sauf que dans le cas de l'iphone, le seul moyen d'installer une appli (hors jailbreak) c'est de prendre le binaire qui se trouve sur l'app store. Or rien ne prouve que ce binaire corresponde effectivement au code source que l'auteur publie. Si encore on pouvait compiler soi meme son appli et l'installer sur le telephone, alors oui, la on serait tranquille, mais avec un tel modele de deploiement d'applis, rien n'est moins sur...
    Effectivement. Mais le défaut que tu cites ne concerne heureusement que l'iPhone et son (très décrié) système d'application 100% verrouillé. Une preuve supplémentaire, s'il en fallait une, que ce fonctionnement est problématique. Avec les autres systèmes, notamment Android, on peut télécharger le programme directement sur un site comme Sourceforge ou Google Code et ainsi s'assurer qu'il est conforme à sa source... Comme le pointe ThierryL, ça ne résout pas le problème pour les développeurs qui ne souhaitent pas distribuer leur code source et qui, par conséquent, n'ont pas de moyen pratique de prouver leur bonne foi...

  4. Fanfwe a écrit :
    (ce qui permet de vérifier par soi-même qu’ils ne contiennent aucun bout de code malicieux)." .
    En clair ça veut dire quoi pour le profane. Comment procéder?

  5. TMO2 a écrit :
    (ce qui permet de vérifier par soi-même qu’ils ne contiennent aucun bout de code malicieux)." .
    En clair ça veut dire quoi pour le profane. Comment procéder?
    Pour le profane ça ne signifie pas grand-chose, vu qu'il serait incapable de comprendre le code source par lui-même. Mais le simple fait que le code soit publiquement disponible est un bon gage de sécurité pour l'utilisateur lambda, puisqu'il sait ainsi que d'autres utilisateurs plus avancés peuvent observer ce code et, de ce fait, faire savoir publiquement s'il y a des fonctions douteuses à l'intérieur. Ce serait plutôt kamikaze et stupide de la part du développeur d'insérer du code malicieux dans un programme open source !

  6. yoann007 a écrit :
    Comme le pointe ThierryL, ça ne résout pas le problème pour les développeurs qui ne souhaitent pas distribuer leur code source et qui, par conséquent, n'ont pas de moyen pratique de prouver leur bonne foi...
    pas tout à fait vrai: - le modèle de sécurité d'Android est quand même assez restrictif en imposant à chaque application de déclarer les accès sensible qu'elle doit faire (accès internet, utilisation du téléphone, accès au données personnelles, etc.); impossible d'accéder aux préferences des autres applications, etc. On n'est quand même pas sous Windows... - il est toujours possible de recupérer le binaire (apk) de l'installer sur un émulateur et de vérifier ce qu'il dit qu'il doit faire (e.g. n'envoie pas les mots de passe sur je sais pas quelle site) - enfin même si on utilise une appli open source, le téléphone n'étant pas complètement maitrisé (sauf réinstall complète depuis les sources d'android et sans les applis google donc), point du vue sécurité, tu es à peine plus avancé.

  7. yoann007 a écrit :
    Ce serait plutôt kamikaze et stupide de la part du développeur d'insérer du code malicieux dans un programme open source !
    Entièrement d'accord pour le code malicieux. Mais pour les failles de sécurités, le fait que l'appli soit open source ne protège de rien si personne ne relit le code.

  8. Dans le scénario, je suis visé par une procédure HADOPI, je réponds que mon accès WIFI a été piraté malgré le WPA et une clé bien sentie, je me retourne contre free sur le fait que le portail n'étant pas sécurisé, il est facile en faisant de l'écoute passive dans un réseau d entreprise ou une école, de récupérer les identifiants Free, et donc de récupérer la clé WPA hyper complexe que je me suis embêté à mettre ! On parie que Free va mettre dare dare du HTTPS sur les requêtes d'authentification du portail ?

  9. wattoo a écrit :
    ... il est facile en faisant de l'écoute passive dans un réseau d entreprise ou une école ...
    pour une entreprise sérieure, l'écoute passive ne devrait pas être si simple pour un employé lambda. En général tu es sur un switch et tu ne peux pas écouter les communications de tes voisins. Bon évidemment, si tu es admin système, ou si les switchs sont accessibles le placard à balai sans clé... Et même en HTTPS, tu auras quand même le problème si tu es derrière un proxy HTTP: la connection n'est serait pas chiffrée de ton PC au serveur de Free, mais de ton PC au proxy (et encore là je suis pas sûr), puis du proxy au serveur de free. Donc quiconque à accès au proxy (support informatique) pourrait théoriquement accéder à tes mots de passe. On revient toujours au même point: changer régulièrement ses mots de passe (valable aussi pour le WPA)

  10. Il est important de préciser que SEULES les applications qui se connecteront à votre console de gestion seront susceptibles de vous demander votre mot de passe (à vous de décider si vous faîtes confiance à l'auteur dans ce cas) ! Un jeu ou une application de type p2p par exemple n'a aucun moyen de détourner vos données puisqu'elles ne sont pas accessibles aux développeurs Elixir freebox.

  11. Réagir sur le forum