Gregwar, Posté le: Dim 17 Jan 2016, 1:40 Sujet du message:
7987474329
Freedor a écrit:
Du coup si on est déconnecté, ça devrait bloquer l'accès automatique au personnes en partage de connexion, non?
Normalement oui, ça devrait.
Mais dans les faits, non...
Je viens de tester avec une tablette connectée sur le mobile, et j'arrive sur l'espace abonné du mobile sans identification...
Il faudrait donc, sur chaque appareil qui se connecte via le partage de connexion, aller sur l'espace abonné, passer en version classique, et forcer la déconnexion... Pas très pratique...
Chmike (Auteur du topic), Posté le: Dim 17 Jan 2016, 11:17 Sujet du message:
120359111033
C'est mon fils qui m'a signalé le truc de la connexion au compte sans mot de passe via connexion partagée. Il l'a découvert car il s'est trouvé dans la situation d'un partage de connexion et d'accès au compte mobile Free.
Il n'y a pas que le partage de connexion qui pose problème. Toute application sur le mobile ayant accès à Internet peut accéder au compte.
Ça c'est un problème plus sérieux car on n'a aucun contrôle là dessus.
EDIT: Heureusement les actions sont limitées. On ne peut pas changer le RIB, ou commander un téléphone. Par contre on voit tous les numéros appelés.
EDIT2: argh, non! en version mobile on ne peut pas faire grand chose. Mais en version classique on a accès à toutes les fonctions.
Chmike (Auteur du topic), Posté le: Dim 17 Jan 2016, 11:35 Sujet du message:
120359111033
Pour bien faire il ne faut pas rester connecté. Si on ne se déconnecte pas le compte est accessible depuis n'importe quelle application du smartphone ou pour un navigateur utilisant la connexion partagée.
Je me demande comment se fait l'identification car l'adresse IP change régulièrement. Je ne vois pas d'autre alternative que l'adresse IP pour expliquer qu'avec une connexion partagée on a accès à tout.
Gregwar, Posté le: Dim 17 Jan 2016, 12:35 Sujet du message:
7987474329
Chmike a écrit:
Je me demande comment se fait l'identification car l'adresse IP change régulièrement. Je ne vois pas d'autre alternative que l'adresse IP pour expliquer qu'avec une connexion partagée on a accès à tout.
Même si l'IP change, elle reste attribuée par les serveurs DHCP de Free.
Free peut donc savoir à tout moment à quel compte est liée telle ou telle adresse IP.
Gregwar, Posté le: Dim 17 Jan 2016, 12:53 Sujet du message:
7987474329
Chmike a écrit:
C'est mon fils qui m'a signalé le truc de la connexion au compte sans mot de passe via connexion partagée. Il l'a découvert car il s'est trouvé dans la situation d'un partage de connexion et d'accès au compte mobile Free.
Il n'y a pas que le partage de connexion qui pose problème. Toute application sur le mobile ayant accès à Internet peut accéder au compte.
Ça c'est un problème plus sérieux car on n'a aucun contrôle là dessus.
EDIT: Heureusement les actions sont limitées. On ne peut pas changer le RIB, ou commander un téléphone. Par contre on voit tous les numéros appelés.
EDIT2: argh, non! en version mobile on ne peut pas faire grand chose. Mais en version classique on a accès à toutes les fonctions.
Moi j'appelle cela une grosse faille de sécurité.
Ce n'est pas pire que l'identification automatique chez Orange sur une connexion ADSL.. Et pourtant, personne n'a crié au scandale.
Contrairement à une connexion fixe, le partage de connexion mobile est un cas particulier. Il n'est pas fait pour être utilisé avec n'importe qui et devrait n'être qu'une solution de secours ponctuel.
Pour ce qui est de la commande éventuelle d'un mobile par une application malveillante (qu(il faudrait déjà avoir installée sur le mobile ou un des appareils qui utilisent la connexion partagée), il faut malgré tout donner un numéro de carte bancaire pour valider la commande, et il y a des mails de confirmation de commande. Il n'y a donc pas de risque particulier (surtout en ce qui concerne la saisie du numéro de carte bancaire).
Après, il faut un minimum de jugeote et ne pas installer n'importe quoi, que ce soit sur le mobile ou sur le PC. Comme souvent, le problème se situerait encore entre le clavier (ou l'écran tactile) et la chaise..
Freeboooox, Posté le: Dim 17 Jan 2016, 13:47 Sujet du message:
10450096995
Renard des ondes a écrit:
Ce qui est curieux , c'est qu'il n'y pas de comportement systématique
Un coup tu tombes sur ton compte version mobile , un coup sur la page d'ID..
Salut,
Si l'authentification est faite via l'IP et comme cette dernière change
peut être que chez ils se mélangent les pinceaux ce qui fait que tu obtient un comportement différent d'un instant à un autre.
Renard des ondes, Posté le: Dim 17 Jan 2016, 13:58 Sujet du message:
7061865579
Je pense que c'est ça .
En fait cette histoire d'authentification automatique sur le mobile
( en dehors du partage de connexion avec un tiers , pb marginal sauf à partager la connexion avec le premier venu ..)
a pour moi deux gros inconvénients de sécurité et Free devrait y remédier sans délai :
1/ Le mobile est volé/perdu : celui qui l'a peut désactiver le blocage du hors forfait si celui-ci est en place par sécurité , justement.
2/ S'il passe sur la version classique , il a accès aux infos persos et à l'ID à 8 chiffres , au RIO etc ..
Gregwar, Posté le: Dim 17 Jan 2016, 17:32 Sujet du message:
7987474329
Normand BZH a écrit:
Bonjour,
C'est bien la carte SIM Free Mobile qui fait office d'identification.
Free Mobile devrait rajouter une option permettant que la SIM fasse office d'identifiant, et donc avec l'option d'affichage automatique du compte ou saisie du mot de passe.
Laisser le choix aux clients
Je suis tout à fait d'accord avec Renard des ondes sur les risques dans certaines situations.
Il faudra m'expliquer comment le navigateur peut avoir accès aux données de la carte SIM (surtout dans le cas d'u partage de connexion), et comment le serveur peut avoir ces données (qui ne peuvent pas être envoyées par le navigateur, notamment dans le cas d'un partage de connexion).
Renard des ondes, Posté le: Dim 17 Jan 2016, 18:48 Sujet du message:
7061865579
Gregwar a écrit:
Par l'IP
Il faudra m'expliquer comment le navigateur peut avoir accès aux données de la carte SIM (surtout dans le cas d'u partage de connexion), et comment le serveur peut avoir ces données (qui ne peuvent pas être envoyées par le navigateur, notamment dans le cas d'un partage de connexion).
Normand BZH a écrit:
Bonjour,
C'est bien la carte SIM Free Mobile qui fait office d'identification.
Question intéressante qui devrait pouvoir être tranchée en regardant le comportement des mobiles munis ou non de l'EAP-SIM
Gregwar, Posté le: Dim 17 Jan 2016, 18:52 Sujet du message:
7987474329
Normand BZH a écrit:
De la même façon que la carte SIM sert d'identifiant pour le FreeWifi-secure.
Et en attendant de te donner plus d'explications, que tu sois une antenne Free Mobile en propre, ou en itinérance sur une antenne Orange, ça fonctionne ainsi.
Ce ne sont pas les mêmes mécanismes pour l'EAP-SIM (qui est une méthode d'authentification particulière gérée par un protocole spécifique) et la navigation Web.. Aucune donnée concernant la carte SIM n'est transmise au serveur.. Le serveur ne peut donc pas faire d'authentification sur ces données.
@Renard : L'accès sans identification à l'espace abonné fonctionne même quand le terminal n'est pas compatible EAP-SIM (c'était mon cas sur mon téléphone précédent avec une ROM custom sans EAP-SIM).
Que ce soit sur le réseau propre ou en itinérance, ce sont toujours les serveurs DHCP de Free qui attribuent les IP. Orange ne fait que fournir une connexion.
Gregwar, Posté le: Dim 17 Jan 2016, 19:39 Sujet du message:
7987474329
Renard des ondes a écrit:
Donc c'est tranché , c'est via l'IP.
Ce qui ne change rien à mes deux remarques plus haut concernant cette ( p***** de ) connexion sans authentification préalable .
Il est même dommageable qu'en cas de perte ou de vol on puisse y perdre le bénéfice de l'option de blocage sur le forfait Free.
Je suis d'accord...
Une case à cocher dans un coin de l'interface de gestion du compte ne doit pas être compliquée à implémenter pour Free.. (auto-identification : oui/non)
Mais il ne faut pas négliger les systèmes de protection implémentées au niveau des terminaux eux-même (code, mot de passe, schéma, empreinte digitale, oeil, etc...). C'est un peu contraignant quand on utilise beaucoup son mobile, mais ça ajoute un niveau de sécurité.
L'autre solution serait de prendre une ligne Free Mobile, de rattacher la ligne normale à ce compte, et de résilier le premier compte. Ainsi, les options importantes ne seraient pas modifiables (un compte "fils" ne peut pas modifier les options qui pourraient ajouter des frais sur la facture, il faut passer par le compte maître pour y accéder).
Mais c'est moche... et un peu tordu
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum
FAQ
Rechercher
Liste des Membres
Groupes d'utilisateurs
S'enregistrer
