adrien05 (Auteur du topic), Posté le: Jeu 28 Mai 2009, 13:35 Sujet du message:
1761515293
CurtisNewton a écrit:
l'IP est celle de la box pour FON (une rapide recherche sur Google le confirme).
Ça serait vraiment un hasard qu'avec tous les réseaux Wifi (sécurisés ou pas), on utilises ton IP pour des actes illégaux. Vive la paranoïa.
D'abord, mon boulot consiste à l'être, parano...
Ensuite, ton raisonnement est limite stupide : dois-je comprendre que tu payes sur Internet avec ton numéro de CB sur un site non sécurisé ?
Parce que c'est vrai : quelle est la probabilité que tu te fasses vraiment pirater ?!
CurtisNewton, Posté le: Jeu 28 Mai 2009, 14:44 Sujet du message:
1346111885
adrien05 a écrit:
CurtisNewton a écrit:
l'IP est celle de la box pour FON (une rapide recherche sur Google le confirme).
Ça serait vraiment un hasard qu'avec tous les réseaux Wifi (sécurisés ou pas), on utilises ton IP pour des actes illégaux. Vive la paranoïa.
D'abord, mon boulot consiste à l'être, parano...
Ensuite, ton raisonnement est limite stupide : dois-je comprendre que tu payes sur Internet avec ton numéro de CB sur un site non sécurisé ?
Parce que c'est vrai : quelle est la probabilité que tu te fasses vraiment pirater ?!
C'est bien connu : ça n'arrive qu'aux autres.
Là, c'est moi qui comprends pas ton raisonnement. Quel rapport entre l'utilisation de ta connexion et une carte bancaire (à part un piratage qui n'est pas de la même nature et le fait que les chances sont faibles mais existantes). Et je ne te traite pas de stupide.
Et le truc de la " parano ", c'était totalement de l'humour. Si l'on fait attention à tout, on ne ferait plus rien.
adrien05 (Auteur du topic), Posté le: Jeu 28 Mai 2009, 15:29 Sujet du message:
1761515293
CurtisNewton a écrit:
adrien05 a écrit:
CurtisNewton a écrit:
l'IP est celle de la box pour FON (une rapide recherche sur Google le confirme).
Ça serait vraiment un hasard qu'avec tous les réseaux Wifi (sécurisés ou pas), on utilises ton IP pour des actes illégaux. Vive la paranoïa.
D'abord, mon boulot consiste à l'être, parano...
Ensuite, ton raisonnement est limite stupide : dois-je comprendre que tu payes sur Internet avec ton numéro de CB sur un site non sécurisé ?
Parce que c'est vrai : quelle est la probabilité que tu te fasses vraiment pirater ?!
C'est bien connu : ça n'arrive qu'aux autres.
Là, c'est moi qui comprends pas ton raisonnement. Quel rapport entre l'utilisation de ta connexion et une carte bancaire (à part un piratage qui n'est pas de la même nature et le fait que les chances sont faibles mais existantes). Et je ne te traite pas de stupide.
Et le truc de la " parano ", c'était totalement de l'humour. Si l'on fait attention à tout, on ne ferait plus rien.
Tu dis que le risque étant connu, tu es prêt à le prendre sous prétexte que la probabilité est faible :
1- Le risque est aussi grand (voire plus) que de te faire piquer ton numéro de CB,
2- La probabilité de gagner au Loto est très faible aussi, mais il y a des gens à qui ça arrive.
Alors, non, je ne te traite pas de stupide, mais je qualifie CE raisonnement de stupide...
Quant à ta dernière phrase : quand je manie un ordi, soit, ce que je fais est sécurisé, soit ça ne l'est pas et je ne le fais pas...
Enfin, on a compris que tu considères mon explication sans intérêt dans la pratique ; laisse aux autres le soin de se faire leur idée...
etoui, Posté le: Jeu 28 Mai 2009, 16:30 Sujet du message:
1762715300
Bonjour,
Tout à fait d'accord avec le diagnostic de adrien05,
je me suis fait exactement la même réflexion à la lecture de la description du fonctionnement de FreeWifi.
Je trouve ce système vraiment dangereux !! Je prédis dans les mois qui viennent de nombreux phishings, et en conséquence une fermeture provisoire du service, en attendant la mise en place d'une solution plus secure.
Cela dit, il y a une parade :
Pour l'utilisateur du service, ça consiste à commencer par vérifier l'identité du serveur HTTPS : autrement dit, vérifier visuellement le certificat présenté par le serveur https://Wifi.free.fr
-> soit, le certificat est bien valide, c'est à dire qu'il est signé par une Autorité de Certification (A.C.) légitime (idéalement, autorité de certification Free), et l'empreinte du certificat est bien la bonne (nécessite d'avoir sous la main une version valide, pour comparaison)
-> soit ce n'est pas le cas : signé par une A.C. créée par l'attaquant himself, éventuellement très semblable -mais pas identique- à l'A.C. de Free. Dans ce cas, ça veut dire qu'on a affaire à une site véreux.
Bref, pas très user-friendly comme parade, c'est le truc que personne fait jamais, mais là, c'est vraiment nécessaire !
Y a-t-il quelqu'un qui a accès à https://Wifi.free.fr, et qui pourrait nous copier ici le contenu du certificat du serveur HTTPS, pour voir ?
adrien05 (Auteur du topic), Posté le: Jeu 28 Mai 2009, 16:38 Sujet du message:
1761515293
Ahhh... enfin un qui me donne cette réponse
Oui, tu as raison, on peut théoriquement vérifier le certificat...
Mais, j'ai un pote qui a déjà testé sur son PDA : il reçoit un avertissement "site chiffré", mais rien qui dise si le certificat est de confiance ou non... le certificat pourrait bien être auto-signé, ça serait pareil.
Je ne sais pas ce que ça donne sur iPhone par exemple...
De toute manière, sur 100 personnes qui chercheraient à se connecter, combien prendrait vraiment en compte l'avertissement ?
Surtout sur une techno toute nouvelle que personne n'a jamais vraiment essayé...
La seule solution que j'entrevois, c'est le one-time password : quand tu l'as utilisé, Free t'en envoie un nouveau... par SMS par exemple.
etoui, Posté le: Jeu 28 Mai 2009, 16:53 Sujet du message:
1762715300
Yep,
la solution que je donne, c'est la seule solution FIABLE pour utiliser le service ACTUEL.
C'est sûr, ça fonctionne avec un PC (ou Apple) portable disposant d'un navigateur "normal" capable d'afficher le détail d'un certificat serveur : IE, Firefox, Safari, Opera, etc...
Après, effectivement, il est possible que cette fonctionnalité sécurité ne soit pas supportée par des navigateurs "Light" sur PDA (auquel cas ce ne serait pas des logiciels sérieux).
Donc bref,
- soit on vérifie le certificat serveur (pour les gens "aware") et on est tranquille,
- soit on le vérifie pas (pour la majorité des users) et on peut être victime d'usurpation d'identité,
- et dans tous les cas on attend la mise en place par Free d'un autre système d'authentification plus fiable, qui à mon avis, devra forcément arriver un jour ou l'autre
etoui, Posté le: Jeu 28 Mai 2009, 17:18 Sujet du message:
1762715300
> La seule solution que j'entrevois, c'est le one-time password : quand tu l'as utilisé,
> Free t'en envoie un nouveau... par SMS par exemple.
Ou alors, authentification par certificat client.
Ou alors... authentification par login/mot de passe comme actuellement, mais via un mécanisme de challenge-response, codé en Javascript côté client -> c'est peut-être ce qui est d'ores et déjà mis en place par Free ? J'ai un gros doute, mais afin de ne pas faire de procès d'intention à Free, ce soir je vérifie ça...
adrien05 (Auteur du topic), Posté le: Jeu 28 Mai 2009, 17:21 Sujet du message:
1761515293
etoui a écrit:
> La seule solution que j'entrevois, c'est le one-time password : quand tu l'as utilisé,
> Free t'en envoie un nouveau... par SMS par exemple.
Ou alors, authentification par certificat client.
Ou alors... authentification par login/mot de passe comme actuellement, mais via un mécanisme de challenge-response, codé en Javascript côté client -> c'est peut-être ce qui est d'ores et déjà mis en place par Free ? J'ai un gros doute, mais afin de ne pas faire de procès d'intention à Free, ce soir je vérifie ça...
Certificat client, il faut des browsers compatibles... Ca casse un peu l'universalité du service proposé.
Challenge-response, c'est pas mal non plus...
JalaL, Posté le: Jeu 28 Mai 2009, 17:44 Sujet du message:
112249972
adrien05 a écrit:
aiolia88 a écrit:
on peut aussi changer régulièrement son mot de passe Freewifi pour être tranquille
Ca s'appelle un contournement, en effet... mais attention, ne pas le faire ailleurs que d'une connexion parfaitement de confiance (ie, pas via FreeWifi).
Je crois que le changement du MDP est possible uniquement depuis l'adresse IP de l'abonné, il ne devrait pas y avoir de souci de ce coté.
SuYa, Posté le: Jeu 28 Mai 2009, 18:14 Sujet du message:
1763115299
Hmm le vrai problème ce pose pour l'utilisateur lambda:
1) Le méchant crée un hotspot Wifi avec comme SSID FreeWifi, c'est un jeu d'enfant
2) Il va faire diriger tout connecté vers une fausse vraie page Wifi.free.fr avec deux champs login + MDP facile aussi
3) Puis il récupère les codes afin de se connecter lui même en FreeWifi et télécharger ce qu'il veux
4) Avec HADOPI powa c'est la victime qui se fait avoir si elle n'as pas changé de MDP avant que le pirate télécharge
Dangereux pour quelqu'un qui ne va pas regarder le certif
En plus la liaison est en clair sans cryptage c'est aussi risqué
adrien05 (Auteur du topic), Posté le: Ven 29 Mai 2009, 9:02 Sujet du message:
1761515293
SuYa a écrit:
Hmm le vrai problème ce pose pour l'utilisateur lambda:
1) Le méchant crée un hotspot Wifi avec comme SSID FreeWifi, c'est un jeu d'enfant
2) Il va faire diriger tout connecté vers une fausse vraie page Wifi.free.fr avec deux champs login + MDP facile aussi
3) Puis il récupère les codes afin de se connecter lui même en FreeWifi et télécharger ce qu'il veux
4) Avec HADOPI powa c'est la victime qui se fait avoir si elle n'as pas changé de MDP avant que le pirate télécharge
Dangereux pour quelqu'un qui ne va pas regarder le certif
En plus la liaison est en clair sans cryptage c'est aussi risqué
Fin bref vaux mieux rester chez soi
Oui, c'est exactement ce que j'ai écrit pour expliquer le problème... mais bon, si tu comprends mieux avec tes mots... 8)
Cela dit, je ne sais pas exactement ce que tu veux dire par "la liaison est en clair sans cryptage c'est aussi risqué"... mais à part ça, c'est ça.
SuYa, Posté le: Ven 29 Mai 2009, 9:34 Sujet du message:
1763115299
adrien05 a écrit:
SuYa a écrit:
Hmm le vrai problème ce pose pour l'utilisateur lambda:
1) Le méchant crée un hotspot Wifi avec comme SSID FreeWifi, c'est un jeu d'enfant
2) Il va faire diriger tout connecté vers une fausse vraie page Wifi.free.fr avec deux champs login + MDP facile aussi
3) Puis il récupère les codes afin de se connecter lui même en FreeWifi et télécharger ce qu'il veux
4) Avec HADOPI powa c'est la victime qui se fait avoir si elle n'as pas changé de MDP avant que le pirate télécharge
Dangereux pour quelqu'un qui ne va pas regarder le certif
En plus la liaison est en clair sans cryptage c'est aussi risqué
Fin bref vaux mieux rester chez soi
Oui, c'est exactement ce que j'ai écrit pour expliquer le problème... mais bon, si tu comprends mieux avec tes mots... 8)
Cela dit, je ne sais pas exactement ce que tu veux dire par "la liaison est en clair sans cryptage c'est aussi risqué"... mais à part ça, c'est ça.
Je n'ai fais que clarifier les choses afin d'être un peu pédagogue pour les plus (ou moins) néophytes (ce que visiblement tu ne sais pas faire ... enfin personne n'est parfait)
Et sache qu'une connexion non cryptée en Wifi (sans WEP ni WPA quoi que WEP s'est assez facile à craquer) est aussi confidentielle qu'un concert de rock en plein air (j'adore la métaphore )
adrien05 (Auteur du topic), Posté le: Ven 29 Mai 2009, 9:54 Sujet du message:
1761515293
SuYa a écrit:
adrien05 a écrit:
SuYa a écrit:
Hmm le vrai problème ce pose pour l'utilisateur lambda:
1) Le méchant crée un hotspot Wifi avec comme SSID FreeWifi, c'est un jeu d'enfant
2) Il va faire diriger tout connecté vers une fausse vraie page Wifi.free.fr avec deux champs login + MDP facile aussi
3) Puis il récupère les codes afin de se connecter lui même en FreeWifi et télécharger ce qu'il veux
4) Avec HADOPI powa c'est la victime qui se fait avoir si elle n'as pas changé de MDP avant que le pirate télécharge
Dangereux pour quelqu'un qui ne va pas regarder le certif
En plus la liaison est en clair sans cryptage c'est aussi risqué
Fin bref vaux mieux rester chez soi
Oui, c'est exactement ce que j'ai écrit pour expliquer le problème... mais bon, si tu comprends mieux avec tes mots... 8)
Cela dit, je ne sais pas exactement ce que tu veux dire par "la liaison est en clair sans cryptage c'est aussi risqué"... mais à part ça, c'est ça.
Je n'ai fais que clarifier les choses afin d'être un peu pédagogue pour les plus (ou moins) néophytes (ce que visiblement tu ne sais pas faire ... enfin personne n'est parfait)
Quelle différence entre tes 1 2 3 4 et les miens :
Citation:
1- Je créée un réseau du nom de FreeWifi,
2- Je créée une page https://Wifi.free.fr ressemblant, trait pour trait, au site Wifi.free.fr original,
3- Je vais placer mon portable, hébergeant ledit réseau sur les Champs Elysées, et j'attends...
4- Je reçois en 1h une dizaine de tentatives de connexion de personnes ayant de vrais identifiants permettant de se connecter sur le nouveau réseau FreeWifi.
5- ET VOILA : Je peux maintenant faire tout ce que je veux, au nom de ces victimes...
SuYa, Posté le: Ven 29 Mai 2009, 10:39 Sujet du message:
1763115299
C'est vrai que dans le fond du problème rien ne change, c'est juste deux manière différente de s'exprimer.
Bon d'après l'ADUF il sera bientôt possible de sécuriser cet accès par WPA, donc je retire ma métaphore.
Reste le problème de l'authentification du Hotspot
adrien05 (Auteur du topic), Posté le: Ven 29 Mai 2009, 10:40 Sujet du message:
1761515293
SuYa a écrit:
C'est vrai que dans le fond du problème rien ne change, c'est juste deux manière différente de s'exprimer.
Bon d'après l'ADUF il sera bientôt possible de sécuriser cet accès par WPA, donc je retire ma métaphore.
Reste le problème de l'authentification du Hotspot
Là, je doute... un hotspot public, par définition, c'est non sécurisé... je vois mal comment Free va nous mettre du WPA...
Tu as le lien de l'ADUF ?
Logan, Posté le: Ven 29 Mai 2009, 12:30 Sujet du message: Re: Attaque type phishing et FreeWifi... FACILE !
Re: Attaque type phishing et FreeWifi... FACILE !20452068
adrien05 a écrit:
Bonjour...
Pas sûr de poster ça au bon endroit, mais bon...
Imaginons que je suis un terroriste, ou pire, un téléchargeur de films et MP3 appartenant aux majors... Imaginons que je cherche une adresse IP qui ne m'appartient pas...
Alors, c'est simple !!
1- Je créée un réseau du nom de FreeWifi,
2- Je créée une page https://Wifi.free.fr ressemblant, trait pour trait, au site Wifi.free.fr original,
3- Je vais placer mon portable, hébergeant ledit réseau sur les Champs Elysées, et j'attends...
4- Je reçois en 1h une dizaine de tentatives de connexion de personnes ayant de vrais identifiants permettant de se connecter sur le nouveau réseau FreeWifi.
5- ET VOILA : Je peux maintenant faire tout ce que je veux, au nom de ces victimes...
COMMENT Free ME PROTEGE-T-IL DE CE TYPE D'ATTAQUE ?
COMMENT PUIS-JE être GARANTI DE NE PAS VOIR ARRIVER LA POLICE CHEZ MOI PARCE QU'UN MEC A USURPE MON IDENTITE ??
déjà pas OK avec toi sur plusieur points :
1 Télécharger des films, mp3 , orther est quand même bcp moin grave que un terroriste ! (vous me le dite si jme trompe) tu blaisse personne a part faire perdre quelque euro au major alors que terroriste sa pour des bute bien préci (tué, pillié) ce qui est donc plus grave.
2- Oui le systeme et très vulnérable ;/ Bien d'autre chose peut arriver avec ce genre de chose plein d'autre attaque aussi _________________ NRA :LAU06 | 1640m 29.50dB
Synchros ATM 15.6 Mbps / 1.2 Mbps.
Mode: Fastpath
Freebox v5/HD
TV TNT / Téléphone > nickel
SuYa, Posté le: Ven 29 Mai 2009, 13:00 Sujet du message: Re: Attaque type phishing et FreeWifi... FACILE !
Re: Attaque type phishing et FreeWifi... FACILE !1763115299
Logan a écrit:
adrien05 a écrit:
Bonjour...
Pas sûr de poster ça au bon endroit, mais bon...
Imaginons que je suis un terroriste, ou pire, un téléchargeur de films et MP3 appartenant aux majors... Imaginons que je cherche une adresse IP qui ne m'appartient pas...
Alors, c'est simple !!
1- Je créée un réseau du nom de FreeWifi,
2- Je créée une page https://Wifi.free.fr ressemblant, trait pour trait, au site Wifi.free.fr original,
3- Je vais placer mon portable, hébergeant ledit réseau sur les Champs Elysées, et j'attends...
4- Je reçois en 1h une dizaine de tentatives de connexion de personnes ayant de vrais identifiants permettant de se connecter sur le nouveau réseau FreeWifi.
5- ET VOILA : Je peux maintenant faire tout ce que je veux, au nom de ces victimes...
COMMENT Free ME PROTEGE-T-IL DE CE TYPE D'ATTAQUE ?
COMMENT PUIS-JE être GARANTI DE NE PAS VOIR ARRIVER LA POLICE CHEZ MOI PARCE QU'UN MEC A USURPE MON IDENTITE ??
déjà pas OK avec toi sur plusieur points :
1 Télécharger des films, mp3 , orther est quand même bcp moin grave que un terroriste ! (vous me le dite si jme trompe) tu blaisse personne a part faire perdre quelque euro au major alors que terroriste sa pour des bute bien préci (tué, pillié) ce qui est donc plus grave.
2- Oui le systeme et très vulnérable ;/ Bien d'autre chose peut arriver avec ce genre de chose plein d'autre attaque aussi
Le gros bémol avec ton point de vue (1/) c'est que tu imagine que la France fonctionne sur le modèle de la licence globale (tout le monde peut télécharger et tout le monde il est gentil)
Récemment un projet de loi appelé HADOPI a vu le jour (pointe d'ironie ?) :
-> En clair si tu télécharge 3 fois illégalement on te coupe le net
SI la personne s'est fait piquer ses identifiants, alors le pirate (terroriste si tu préfère) peut se faire passer pour les victimes et télécharger jusqu'à ce qu'on leur coupe le net.
Les pirates sont gagnants et les victimes qui ne peuvent pas se défendre (sauf si ils ont payé le mouchard) sont perdants.
Vous pouvez poster de nouveaux sujets dans ce forum Vous pouvez répondre aux sujets dans ce forum Vous pouvez éditer vos messages dans ce forum Vous pouvez supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum
FAQ
Rechercher
Liste des Membres
Groupes d'utilisateurs
S'enregistrer
Et je ne te traite pas de stupide.
)
alors que terroriste sa pour des bute bien préci (tué, pillié) ce qui est donc plus grave.
