SuYa, Posté le: Jeu 28 Mai 2009, 18:14 Sujet du message:
1763115299
Hmm le vrai problème ce pose pour l'utilisateur lambda:
1) Le méchant crée un hotspot Wifi avec comme SSID FreeWifi, c'est un jeu d'enfant
2) Il va faire diriger tout connecté vers une fausse vraie page Wifi.free.fr avec deux champs login + MDP facile aussi
3) Puis il récupère les codes afin de se connecter lui même en FreeWifi et télécharger ce qu'il veux
4) Avec HADOPI powa c'est la victime qui se fait avoir si elle n'as pas changé de MDP avant que le pirate télécharge
Dangereux pour quelqu'un qui ne va pas regarder le certif
En plus la liaison est en clair sans cryptage c'est aussi risqué
adrien05 (Auteur du topic), Posté le: Ven 29 Mai 2009, 9:02 Sujet du message:
1761515293
SuYa a écrit:
Hmm le vrai problème ce pose pour l'utilisateur lambda:
1) Le méchant crée un hotspot Wifi avec comme SSID FreeWifi, c'est un jeu d'enfant
2) Il va faire diriger tout connecté vers une fausse vraie page Wifi.free.fr avec deux champs login + MDP facile aussi
3) Puis il récupère les codes afin de se connecter lui même en FreeWifi et télécharger ce qu'il veux
4) Avec HADOPI powa c'est la victime qui se fait avoir si elle n'as pas changé de MDP avant que le pirate télécharge
Dangereux pour quelqu'un qui ne va pas regarder le certif
En plus la liaison est en clair sans cryptage c'est aussi risqué
Fin bref vaux mieux rester chez soi
Oui, c'est exactement ce que j'ai écrit pour expliquer le problème... mais bon, si tu comprends mieux avec tes mots... 8)
Cela dit, je ne sais pas exactement ce que tu veux dire par "la liaison est en clair sans cryptage c'est aussi risqué"... mais à part ça, c'est ça.
SuYa, Posté le: Ven 29 Mai 2009, 9:34 Sujet du message:
1763115299
adrien05 a écrit:
SuYa a écrit:
Hmm le vrai problème ce pose pour l'utilisateur lambda:
1) Le méchant crée un hotspot Wifi avec comme SSID FreeWifi, c'est un jeu d'enfant
2) Il va faire diriger tout connecté vers une fausse vraie page Wifi.free.fr avec deux champs login + MDP facile aussi
3) Puis il récupère les codes afin de se connecter lui même en FreeWifi et télécharger ce qu'il veux
4) Avec HADOPI powa c'est la victime qui se fait avoir si elle n'as pas changé de MDP avant que le pirate télécharge
Dangereux pour quelqu'un qui ne va pas regarder le certif
En plus la liaison est en clair sans cryptage c'est aussi risqué
Fin bref vaux mieux rester chez soi
Oui, c'est exactement ce que j'ai écrit pour expliquer le problème... mais bon, si tu comprends mieux avec tes mots... 8)
Cela dit, je ne sais pas exactement ce que tu veux dire par "la liaison est en clair sans cryptage c'est aussi risqué"... mais à part ça, c'est ça.
Je n'ai fais que clarifier les choses afin d'être un peu pédagogue pour les plus (ou moins) néophytes (ce que visiblement tu ne sais pas faire ... enfin personne n'est parfait)
Et sache qu'une connexion non cryptée en Wifi (sans WEP ni WPA quoi que WEP s'est assez facile à craquer) est aussi confidentielle qu'un concert de rock en plein air (j'adore la métaphore )
adrien05 (Auteur du topic), Posté le: Ven 29 Mai 2009, 9:54 Sujet du message:
1761515293
SuYa a écrit:
adrien05 a écrit:
SuYa a écrit:
Hmm le vrai problème ce pose pour l'utilisateur lambda:
1) Le méchant crée un hotspot Wifi avec comme SSID FreeWifi, c'est un jeu d'enfant
2) Il va faire diriger tout connecté vers une fausse vraie page Wifi.free.fr avec deux champs login + MDP facile aussi
3) Puis il récupère les codes afin de se connecter lui même en FreeWifi et télécharger ce qu'il veux
4) Avec HADOPI powa c'est la victime qui se fait avoir si elle n'as pas changé de MDP avant que le pirate télécharge
Dangereux pour quelqu'un qui ne va pas regarder le certif
En plus la liaison est en clair sans cryptage c'est aussi risqué
Fin bref vaux mieux rester chez soi
Oui, c'est exactement ce que j'ai écrit pour expliquer le problème... mais bon, si tu comprends mieux avec tes mots... 8)
Cela dit, je ne sais pas exactement ce que tu veux dire par "la liaison est en clair sans cryptage c'est aussi risqué"... mais à part ça, c'est ça.
Je n'ai fais que clarifier les choses afin d'être un peu pédagogue pour les plus (ou moins) néophytes (ce que visiblement tu ne sais pas faire ... enfin personne n'est parfait)
Quelle différence entre tes 1 2 3 4 et les miens :
Citation:
1- Je créée un réseau du nom de FreeWifi,
2- Je créée une page https://Wifi.free.fr ressemblant, trait pour trait, au site Wifi.free.fr original,
3- Je vais placer mon portable, hébergeant ledit réseau sur les Champs Elysées, et j'attends...
4- Je reçois en 1h une dizaine de tentatives de connexion de personnes ayant de vrais identifiants permettant de se connecter sur le nouveau réseau FreeWifi.
5- ET VOILA : Je peux maintenant faire tout ce que je veux, au nom de ces victimes...
SuYa, Posté le: Ven 29 Mai 2009, 10:39 Sujet du message:
1763115299
C'est vrai que dans le fond du problème rien ne change, c'est juste deux manière différente de s'exprimer.
Bon d'après l'ADUF il sera bientôt possible de sécuriser cet accès par WPA, donc je retire ma métaphore.
Reste le problème de l'authentification du Hotspot
adrien05 (Auteur du topic), Posté le: Ven 29 Mai 2009, 10:40 Sujet du message:
1761515293
SuYa a écrit:
C'est vrai que dans le fond du problème rien ne change, c'est juste deux manière différente de s'exprimer.
Bon d'après l'ADUF il sera bientôt possible de sécuriser cet accès par WPA, donc je retire ma métaphore.
Reste le problème de l'authentification du Hotspot
Là, je doute... un hotspot public, par définition, c'est non sécurisé... je vois mal comment Free va nous mettre du WPA...
Tu as le lien de l'ADUF ?
Logan, Posté le: Ven 29 Mai 2009, 12:30 Sujet du message: Re: Attaque type phishing et FreeWifi... FACILE !
Re: Attaque type phishing et FreeWifi... FACILE !20452068
adrien05 a écrit:
Bonjour...
Pas sûr de poster ça au bon endroit, mais bon...
Imaginons que je suis un terroriste, ou pire, un téléchargeur de films et MP3 appartenant aux majors... Imaginons que je cherche une adresse IP qui ne m'appartient pas...
Alors, c'est simple !!
1- Je créée un réseau du nom de FreeWifi,
2- Je créée une page https://Wifi.free.fr ressemblant, trait pour trait, au site Wifi.free.fr original,
3- Je vais placer mon portable, hébergeant ledit réseau sur les Champs Elysées, et j'attends...
4- Je reçois en 1h une dizaine de tentatives de connexion de personnes ayant de vrais identifiants permettant de se connecter sur le nouveau réseau FreeWifi.
5- ET VOILA : Je peux maintenant faire tout ce que je veux, au nom de ces victimes...
COMMENT Free ME PROTEGE-T-IL DE CE TYPE D'ATTAQUE ?
COMMENT PUIS-JE être GARANTI DE NE PAS VOIR ARRIVER LA POLICE CHEZ MOI PARCE QU'UN MEC A USURPE MON IDENTITE ??
déjà pas OK avec toi sur plusieur points :
1 Télécharger des films, mp3 , orther est quand même bcp moin grave que un terroriste ! (vous me le dite si jme trompe) tu blaisse personne a part faire perdre quelque euro au major alors que terroriste sa pour des bute bien préci (tué, pillié) ce qui est donc plus grave.
2- Oui le systeme et très vulnérable ;/ Bien d'autre chose peut arriver avec ce genre de chose plein d'autre attaque aussi _________________ NRA :LAU06 | 1640m 29.50dB
Synchros ATM 15.6 Mbps / 1.2 Mbps.
Mode: Fastpath
Freebox v5/HD
TV TNT / Téléphone > nickel
SuYa, Posté le: Ven 29 Mai 2009, 13:00 Sujet du message: Re: Attaque type phishing et FreeWifi... FACILE !
Re: Attaque type phishing et FreeWifi... FACILE !1763115299
Logan a écrit:
adrien05 a écrit:
Bonjour...
Pas sûr de poster ça au bon endroit, mais bon...
Imaginons que je suis un terroriste, ou pire, un téléchargeur de films et MP3 appartenant aux majors... Imaginons que je cherche une adresse IP qui ne m'appartient pas...
Alors, c'est simple !!
1- Je créée un réseau du nom de FreeWifi,
2- Je créée une page https://Wifi.free.fr ressemblant, trait pour trait, au site Wifi.free.fr original,
3- Je vais placer mon portable, hébergeant ledit réseau sur les Champs Elysées, et j'attends...
4- Je reçois en 1h une dizaine de tentatives de connexion de personnes ayant de vrais identifiants permettant de se connecter sur le nouveau réseau FreeWifi.
5- ET VOILA : Je peux maintenant faire tout ce que je veux, au nom de ces victimes...
COMMENT Free ME PROTEGE-T-IL DE CE TYPE D'ATTAQUE ?
COMMENT PUIS-JE être GARANTI DE NE PAS VOIR ARRIVER LA POLICE CHEZ MOI PARCE QU'UN MEC A USURPE MON IDENTITE ??
déjà pas OK avec toi sur plusieur points :
1 Télécharger des films, mp3 , orther est quand même bcp moin grave que un terroriste ! (vous me le dite si jme trompe) tu blaisse personne a part faire perdre quelque euro au major alors que terroriste sa pour des bute bien préci (tué, pillié) ce qui est donc plus grave.
2- Oui le systeme et très vulnérable ;/ Bien d'autre chose peut arriver avec ce genre de chose plein d'autre attaque aussi
Le gros bémol avec ton point de vue (1/) c'est que tu imagine que la France fonctionne sur le modèle de la licence globale (tout le monde peut télécharger et tout le monde il est gentil)
Récemment un projet de loi appelé HADOPI a vu le jour (pointe d'ironie ?) :
-> En clair si tu télécharge 3 fois illégalement on te coupe le net
SI la personne s'est fait piquer ses identifiants, alors le pirate (terroriste si tu préfère) peut se faire passer pour les victimes et télécharger jusqu'à ce qu'on leur coupe le net.
Les pirates sont gagnants et les victimes qui ne peuvent pas se défendre (sauf si ils ont payé le mouchard) sont perdants.
adrien05 (Auteur du topic), Posté le: Ven 29 Mai 2009, 13:34 Sujet du message: Re: Attaque type phishing et FreeWifi... FACILE !
Re: Attaque type phishing et FreeWifi... FACILE !1761515293
Logan a écrit:
déjà pas OK avec toi sur plusieur points :
1 Télécharger des films, mp3 , orther est quand même bcp moin grave que un terroriste ! (vous me le dite si jme trompe) tu blaisse personne a part faire perdre quelque euro au major alors que terroriste sa pour des bute bien préci (tué, pillié) ce qui est donc plus grave.
Oui Vieux ! C'était une pointe d'ironie... Evidemment que la pédophilie ou le terrorisme, c'est bien plus grave...
Merci de ton intervention quand même
Encore que...
Quand tu regardes avec attention, tu t'aperçois que le gouvernement a passé d'abord la loi contre le téléchargement ; et maintenant, il s'attaque à celle pour espionner les terroristes...
C'est désespérant, mais c'est vrai.
Inscrit le: 08 Mar 2008 Messages: 16 Localisation: République Internet
-19 points
ButterflyOfFire, Posté le: Ven 29 Mai 2009, 14:20 Sujet du message:
94518451
Merci adrien05 d'avoir lancé ce sujet sensibilo-parano-légitime
Je pense que la solution est simple : inciter les utilisateurs du service à changer leurs mot de passe tout le temps.
Mais entre le moment de la connexion sur un autre réseau FreeWifi et le retour à la maison pour changer son mot de passe, il peut se passer des choses effectivement avec son compte FreeWifi subtilisé
Le solution consisterai peut être à limiter le bail de connexion :
Exemple je me connecte 1 heure puis obligation de changer son pass FreeWifi.
Ainsi même si le pseudo "Phisheur" obtient mon pass, il pourra l'utiliser au max 1 heure. Puis il sera invité à changer de pass. Et comme il ne peut pas le faire, donc je suis seul maître à bord pour le changer via ma connexion Freebox.
adrien05 (Auteur du topic), Posté le: Ven 29 Mai 2009, 14:28 Sujet du message:
1761515293
ButterflyOfFire a écrit:
Merci adrien05 d'avoir lancé ce sujet sensibilo-parano-légitime
Je pense que la solution est simple : inciter les utilisateurs du service à changer leurs mot de passe tout le temps.
Mais entre le moment de la connexion sur un autre réseau FreeWifi et le retour à la maison pour changer son mot de passe, il peut se passer des choses effectivement avec son compte FreeWifi subtilisé
Le solution consisterai peut être à limiter le bail de connexion :
Exemple je me connecte 1 heure puis obligation de changer son pass FreeWifi.
Ainsi même si le pseudo "Phisheur" obtient mon pass, il pourra l'utiliser au max 1 heure. Puis il sera invité à changer de pass. Et comme il ne peut pas le faire, donc je suis seul maître à bord pour le changer via ma connexion Freebox.
Salutations amicales
Rien n'empêchera le phisheur de changer le mot de passe à ta place non plus... et là : il se fait passer pour toi, et tu pries pour avoir le temps de t'en apercevoir et de demander à Free de faire quelque chose avant qu'il ait fait les pires trucs avec ton IP.
Sans compter que ça peut servir à soi-même : je downloade, et ensuite je dis à Free que quelqu'un a changé mon mot de passe... Ainsi, si Hadopi frappe à la porte, je peux dire que c'était un usurpateur d'identité...
Les solutions actuelles :
1- Bien vérifier le certificat du site https://Wifi.free.fr,
2- Changer régulièrement son mot de passe,
3- Prier pour que Free fasse vraiment quelque chose (onetime password...)!!!
Inscrit le: 08 Mar 2008 Messages: 16 Localisation: République Internet
-19 points
ButterflyOfFire, Posté le: Ven 29 Mai 2009, 14:33 Sujet du message:
94518451
adrien05 a écrit:
Rien n'empêchera le phisheur de changer le mot de passe à ta place non plus...
Il ne pourra pas vu qu'il n'a pas d'option pour changer ton pass FreeWifi. ça serait bien que tu me démontre avec un tuto précis, image ou vidéo à l'appuis comment un utilisateur-phisheur pourra changer ton propre mot de passe FreeWifi à ton insu
adrien05 (Auteur du topic), Posté le: Ven 29 Mai 2009, 14:49 Sujet du message:
1761515293
ButterflyOfFire a écrit:
adrien05 a écrit:
Rien n'empêchera le phisheur de changer le mot de passe à ta place non plus...
Il ne pourra pas vu qu'il n'a pas d'option pour changer ton pass FreeWifi. ça serait bien que tu me démontre avec un tuto précis, image ou vidéo à l'appuis comment un utilisateur-phisheur pourra changer ton propre mot de passe FreeWifi à ton insu
Salutations amicales
Tu fais peut-être référence au fait qu'on ne pourrait changer son mot de passe Freewifi que via sa propre Freebox. En fait, si c'est vrai, alors effectivement l'attaquant ne pourra pas changer le mot de passe. Autant pour moi
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum
FAQ
Rechercher
Liste des Membres
Groupes d'utilisateurs
S'enregistrer
)
alors que terroriste sa pour des bute bien préci (tué, pillié) ce qui est donc plus grave.
