L’interface de Gestion enfin sécurisée

30

En tout cas, il y a un verrou sur la porte en bois…

Free vient de modifier la page de connexion à l’interface de gestion de ses abonnés. Celle-ci utilise désormais le protocole HTTPS qui permet de crypter les données envoyées au serveur.

Le nom du compte ainsi que le mot de passe ne circuleront donc plus « en clair » sur le réseau lorsque vous consulterez vos factures ou modifierez les options du routeur.

Free est depuis longtemps l’objet de critiques au sujet de la sécurité des données utilisateurs. L’interface de gestion était l’un des cas les plus décrié.

En effet, lorsque vous vous connectiez sur cette page, le mot de passe n’était jusqu’à présent pas crypté. Cela signifie que toute personne malintentionnée qui surveillerait ce que vous faites sur le net (via un réseau d’entreprise, par exemple) avait tout loisir de le récupérer s’il le souhaitait pour le réutiliser ultérieurement à votre insu. C’était encore plus grave si vous vous connectiez à l’interface depuis un réseau wifi ouvert. Dans ce cas, n’importe quelle personne à portée de signal avait accès à ces données.

Les bricolages made in Free

Pour contourner le problème Free avait mis en place un palliatif qui consistait à autoriser certaines manipulations uniquement depuis l’adresse IP correspondant à l’abonnement. Il est ainsi impossible d’activer le protocole SIP ailleurs qu’à son domicile… Ce qui était extrêmement peu pratique. Dans le même registre, le SIP a été bridé pour limiter les destinations disponibles aux seuls numéros métropolitains, ce qui diminue fortement l’intérêt du service.

Espérons que Free lèvera tout ou partie de ces limitations, maintenant que la sécurité est améliorée.

Tout est réglé ?

Même avec cette amélioration, la situation est loin d’être parfaite. En effet, seule la page d’accueil est cryptée. Cela signifie donc que toutes les données transitent en clair une fois que vous êtes connecté. Cela inclus notamment vos factures ou le détail de vos communications téléphoniques, numéros compris, si vous les consultez. En effet, les autres pages de configuration n’utilisent pas le protocole HTTPS.

Il est donc toujours nécessaire de se demander à quel point vous avez confiance dans le réseau que vous utilisez avant de vous connecter. Un administrateur de cybercafé ou d’hôtel mal intentionné peut techniquement détourner les informations transitant sur leur réseau à des fins malhonnêtes.

Prochaine étape : sécuriser l’accès au mail ?

Source : Univers Freebox

Partager

A propos de l'auteur

[Rédacteur]
Geek. Hacker.

30 commentaires

  1. Super, y'a juste le login de sécurisé. Ensuite on est redirigé sur http://adsl.free.fr/compte/console.pl?id=xxxxxxx&idt=xxxxxxxxxxxxxxxx Et ils ont sécurisé la page où on indique son RIB aussi ? j'avais pesté chez FT car ils utilisait un simple HTTP pour les infos bancaires. Mais Free fait pareil !

  2. Je ne suis pas expert dans la gestion d'un serveur web mais je sais que la mise en place du https sur un serveur Apache (par exemple) n'est pas bien compliqué ! Je n'arrive pas à comprendre pourquoi Free n'a pas, dès le début, placé les pages relatives à la gestion des comptes dans une zone (URL particulière) ! Du coup ça serait plus simple aujourd'hui de mettre en place le https sur l'ensemble de la console !

  3. Une bien bonne chose cette authentification par HTTPS. Merci Free.

    sf44 a écrit :
    Snif ... du coup marche plus le FreeGo !
    Séquence pub: Installe Freebox Recorder, ça remarche ;)

  4. Maintenant que c'est enfin "protégé", j'ai voulu aller changer mon mot de passe.. Sauf que .. La page du changement de mot de passe n'est pas protégé.. Ok.. soit.. Encore plus amusant: Sur la page du changement de mot de passe, il est indiqué:

    page de free a écrit :
    Quelques conseils pour le choix d'un bon mot de passe Le mot de passe sert à protéger vos données personnelles, vos e-mails entre autres. Il est nécessaire d'y porter la plus grande attention. Il est important de noter que: * Les pirates informatiques utilisent des programmes permettant de retrouver automatiquement les mots de passe. Ils utilisent pour cela des dictionnaires. Les mots de passe basés sur des mots existants, sur des noms, sur des prénoms ou sur des dates de naissances sont à proscrire. * Les mots de passe trop courts sont exposés aux attaques massives. Un bon mot de passe: * est obligatoirement composé d'au moins six caractères, huit si possible, * comporte si possible des lettres, des chiffres, des majuscules, des minuscules, * n'est pas basé sur un mot, sur un nom ou une date de naissance, * ne doit pas pouvoir être deviné par vos proches, * est facile à retenir. Un moyen d'obtenir un bon mot de passe est de se rappeler d'une phrase simple et d'en prendre les premières lettres, en essayant d'y inclure des majuscules et des chiffres. Exemple: 3PcPaP pour la phrase « Trois petits cochons pendus au plafond ». Un autre moyen est de composer un mot de passe pouvant être retrouvé par un moyen mnémotechnique. Exemple: 8+1=NOeuf
    Un bon mot de passe (..) comporte si possible des lettres, des chiffres, des majuscules , des minuscules... quand j'essaye le rentrer le nouveau password "des 3 petits cochons" qui est un example ce qui est recommandé, c'est a dire "3PcPaP" j'ai l'erreur suivante :
    erreur page de free a écrit :
    Erreur: Le nouveau mot de passe doit comporter entre 6 et 8 caractères et uniquement des caractères alphanumériques en minuscules.
    je trouve ça tres fort :) du coup, je reste avec le password par defaut.. entre 6 et 8 caracteres en minuscule ca fait finalement tres peu de cas !! si au moins ils changeaient leur conditions selon ce qu'ils préconnisent...

  5. pas pas pas bon tout ces problèmes surtout pour celui qui veut avoir la 4èm licence si trop de plaintes remontent:demon: produit :demon: j'ai fait les mêmes c........ changer Mdp - plus de FreeGo FREE régresse les gars dommage !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

  6. sf44 a écrit :
    Je ne suis pas expert dans la gestion d'un serveur web mais je sais que la mise en place du https sur un serveur Apache (par exemple) n'est pas bien compliqué ! Je n'arrive pas à comprendre pourquoi Free n'a pas, dès le début, placé les pages relatives à la gestion des comptes dans une zone (URL particulière) ! Du coup ça serait plus simple aujourd'hui de mettre en place le https sur l'ensemble de la console !
    Je ne suis pas sûr que crypter et décrypter toutes les requêtes et réponse soit une solution envisageable à l'heure actuelle. Cela demande probablement du temps et/ou des ressources utilisées en plus que les administrateurs des sites (et pas seulement Free) veulent éviter. Mais moi non plus je ne suis pas un expert.

  7. Important d'avoir une connexion sécurisée dans les hôtels. Surtout quand on a donné à l'accueil sa carte bancaire et que toutes les informations ont été notées sur votre fiche client (y compris le code de sécurité et la date d'expiration). La paranoïa liée à la sécurité fait souvent faire des bêtises énormes. Après on s'étonne de l'utilisation de sa carte bancaire sur internet pour des opérations litigieuses.....

  8. Réagir sur le forum