adrien05 (Auteur du topic), Posté le: Ven 29 Mai 2009, 13:34 Sujet du message: Re: Attaque type phishing et FreeWifi... FACILE !
Re: Attaque type phishing et FreeWifi... FACILE !1761515293
Logan a écrit:
déjà pas OK avec toi sur plusieur points :
1 Télécharger des films, mp3 , orther est quand même bcp moin grave que un terroriste ! (vous me le dite si jme trompe) tu blaisse personne a part faire perdre quelque euro au major alors que terroriste sa pour des bute bien préci (tué, pillié) ce qui est donc plus grave.
Oui Vieux ! C'était une pointe d'ironie... Evidemment que la pédophilie ou le terrorisme, c'est bien plus grave...
Merci de ton intervention quand même
Encore que...
Quand tu regardes avec attention, tu t'aperçois que le gouvernement a passé d'abord la loi contre le téléchargement ; et maintenant, il s'attaque à celle pour espionner les terroristes...
C'est désespérant, mais c'est vrai.
Inscrit le: 08 Mar 2008 Messages: 16 Localisation: République Internet
-19 points
ButterflyOfFire, Posté le: Ven 29 Mai 2009, 14:20 Sujet du message:
94518451
Merci adrien05 d'avoir lancé ce sujet sensibilo-parano-légitime
Je pense que la solution est simple : inciter les utilisateurs du service à changer leurs mot de passe tout le temps.
Mais entre le moment de la connexion sur un autre réseau FreeWifi et le retour à la maison pour changer son mot de passe, il peut se passer des choses effectivement avec son compte FreeWifi subtilisé
Le solution consisterai peut être à limiter le bail de connexion :
Exemple je me connecte 1 heure puis obligation de changer son pass FreeWifi.
Ainsi même si le pseudo "Phisheur" obtient mon pass, il pourra l'utiliser au max 1 heure. Puis il sera invité à changer de pass. Et comme il ne peut pas le faire, donc je suis seul maître à bord pour le changer via ma connexion Freebox.
adrien05 (Auteur du topic), Posté le: Ven 29 Mai 2009, 14:28 Sujet du message:
1761515293
ButterflyOfFire a écrit:
Merci adrien05 d'avoir lancé ce sujet sensibilo-parano-légitime
Je pense que la solution est simple : inciter les utilisateurs du service à changer leurs mot de passe tout le temps.
Mais entre le moment de la connexion sur un autre réseau FreeWifi et le retour à la maison pour changer son mot de passe, il peut se passer des choses effectivement avec son compte FreeWifi subtilisé
Le solution consisterai peut être à limiter le bail de connexion :
Exemple je me connecte 1 heure puis obligation de changer son pass FreeWifi.
Ainsi même si le pseudo "Phisheur" obtient mon pass, il pourra l'utiliser au max 1 heure. Puis il sera invité à changer de pass. Et comme il ne peut pas le faire, donc je suis seul maître à bord pour le changer via ma connexion Freebox.
Salutations amicales
Rien n'empêchera le phisheur de changer le mot de passe à ta place non plus... et là : il se fait passer pour toi, et tu pries pour avoir le temps de t'en apercevoir et de demander à Free de faire quelque chose avant qu'il ait fait les pires trucs avec ton IP.
Sans compter que ça peut servir à soi-même : je downloade, et ensuite je dis à Free que quelqu'un a changé mon mot de passe... Ainsi, si Hadopi frappe à la porte, je peux dire que c'était un usurpateur d'identité...
Les solutions actuelles :
1- Bien vérifier le certificat du site https://Wifi.free.fr,
2- Changer régulièrement son mot de passe,
3- Prier pour que Free fasse vraiment quelque chose (onetime password...)!!!
Inscrit le: 08 Mar 2008 Messages: 16 Localisation: République Internet
-19 points
ButterflyOfFire, Posté le: Ven 29 Mai 2009, 14:33 Sujet du message:
94518451
adrien05 a écrit:
Rien n'empêchera le phisheur de changer le mot de passe à ta place non plus...
Il ne pourra pas vu qu'il n'a pas d'option pour changer ton pass FreeWifi. ça serait bien que tu me démontre avec un tuto précis, image ou vidéo à l'appuis comment un utilisateur-phisheur pourra changer ton propre mot de passe FreeWifi à ton insu
adrien05 (Auteur du topic), Posté le: Ven 29 Mai 2009, 14:49 Sujet du message:
1761515293
ButterflyOfFire a écrit:
adrien05 a écrit:
Rien n'empêchera le phisheur de changer le mot de passe à ta place non plus...
Il ne pourra pas vu qu'il n'a pas d'option pour changer ton pass FreeWifi. ça serait bien que tu me démontre avec un tuto précis, image ou vidéo à l'appuis comment un utilisateur-phisheur pourra changer ton propre mot de passe FreeWifi à ton insu
Salutations amicales
Tu fais peut-être référence au fait qu'on ne pourrait changer son mot de passe Freewifi que via sa propre Freebox. En fait, si c'est vrai, alors effectivement l'attaquant ne pourra pas changer le mot de passe. Autant pour moi
Inscrit le: 08 Mar 2008 Messages: 16 Localisation: République Internet
-19 points
ButterflyOfFire, Posté le: Ven 29 Mai 2009, 15:04 Sujet du message:
94518451
Adrien05, les points 1,2,3 je suis entièrement d'accord avec ça
Quant au fait, de me connecter via mon FreeWifi pour "soit disant" télécharger des oeuvres propriétaires illégalement et si le monstre HADOPI m'attrappe, je pourrai toujours dire que ce n'est pas moi vu que l'IP FreeWifi "n'est pas à moi" et par dessus tout je dirai que mes identifiants FreeWifi m'ont été peut être subltilisés.
Biensur tout en ayant pris ses dispositions afin de changer l'adresse MAC de sa machine portable etc
C'est pour dire, l'adresse IP n'a rien d'identifiant personnel.
Je ne suis pas là pour trouver des solutions à la "me..." HADOPI, qu'ils se démerdent eux même.
Salutations amicales _________________ "Ceux qui n'ont pas essayé ne peuvent pas comprendre"
adrien05 (Auteur du topic), Posté le: Ven 29 Mai 2009, 15:22 Sujet du message:
1761515293
ButterflyOfFire a écrit:
Adrien05, les points 1,2,3 je suis entièrement d'accord avec ça
Quant au fait, de me connecter via mon FreeWifi pour "soit disant" télécharger des oeuvres propriétaires illégalement et si le monstre HADOPI m'attrappe, je pourrai toujours dire que ce n'est pas moi vu que l'IP FreeWifi "n'est pas à moi" et par dessus tout je dirai que mes identifiants FreeWifi m'ont été peut être subltilisés.
Biensur tout en ayant pris ses dispositions afin de changer l'adresse MAC de sa machine portable etc
C'est pour dire, l'adresse IP n'a rien d'identifiant personnel.
Je ne suis pas là pour trouver des solutions à la "me..." HADOPI, qu'ils se démerdent eux même.
Salutations amicales
Tu crois vraiment qu'on fait entendre raison à un algorithme toi ???
Tu pourras discuter ce que tu veux, mais si c'est aussi simple que pour les radars automatiques, je te souhaite bien du courage...
Cela dit :
1- Le téléchargement est un moindre mal... Avec cette IP volée, tu peux faire bien pire pour des gens malintentionnés !
2- Que tu le veuilles ou non, selon la loi Hadopi : une IP EST un identifiant personnel.
SuYa, Posté le: Ven 29 Mai 2009, 18:32 Sujet du message:
1763115299
Et HADOPI c'est comme les radars automatiques, ils s'en fichent de qui est le fautif l'Essentiel est qu'il y'en ai un qui paye.
Dans ce cas c'est la victime qui l'a dans l'os, car c'est indéfendable sauf si le mouchard "payant" est installé.
adrien05 (Auteur du topic), Posté le: Ven 29 Mai 2009, 19:04 Sujet du message:
1761515293
SuYa a écrit:
Et HADOPI c'est comme les radars automatiques, ils s'en fichent de qui est le fautif l'Essentiel est qu'il y'en ai un qui paye.
Dans ce cas c'est la victime qui l'a dans l'os, car c'est indéfendable sauf si le mouchard "payant" est installé.
Vive la France
Là, c'est pire : parce qu'avec FreeWifi, le but est que tu peux te connecter avec n'importe quoi : PC portable et fixe (là, mouchard OK)... ou PDA, iPhone (et là, mouchard NOT OK)...
Bref : comment garantir quelle machine est derrière cette IP mobile ? Comment faire accepter à un juge que tu possèdes bien le mouchard sur TOUS les équipements qui te permettent d'accéder à FreeWifi ?? Comment déterminer quelle machine est vraiment à l'origine du téléchargement ???
SuYa, Posté le: Ven 29 Mai 2009, 19:13 Sujet du message:
1763115299
adrien05 a écrit:
SuYa a écrit:
Et HADOPI c'est comme les radars automatiques, ils s'en fichent de qui est le fautif l'Essentiel est qu'il y'en ai un qui paye.
Dans ce cas c'est la victime qui l'a dans l'os, car c'est indéfendable sauf si le mouchard "payant" est installé.
Vive la France
Là, c'est pire : parce qu'avec FreeWifi, le but est que tu peux te connecter avec n'importe quoi : PC portable et fixe (là, mouchard OK)... ou PDA, iPhone (et là, mouchard NOT OK)...
Bref : comment garantir quelle machine est derrière cette IP mobile ? Comment faire accepter à un juge que tu possèdes bien le mouchard sur TOUS les équipements qui te permettent d'accéder à FreeWifi ?? Comment déterminer quelle machine est vraiment à l'origine du téléchargement ???
Surtout que le mouchard n'est pas interopérable et que sur PDA, Linux, MAC, iPhone, etc ... il n'en existera surement jamais de compatible (les chanceux)
Et c'est vrai que ton point de vue est pertinent, on ne peut pas prouver que toutes les machines en sont équipé (en clair il sert à rien leur mouchard)
adrien05 (Auteur du topic), Posté le: Ven 29 Mai 2009, 19:27 Sujet du message:
1761515293
J'ai mis ce qui suit sur le post initial...
Pour le moment, le seul bon moyen de se prémunir, sur un browser traditionnel, c'est de confirmer que le certificat est bien le bon...
Pour ce faire...
Sous Firefox :
Double-cliquer sur le cadenas en bas à droite, et "afficher le certificat". Ca doit donner exactement ceci :
SHA1 - 71:8F:BE:EB:B0:C4:38:B2:D0:1F:09:C3:9E:86:50:2D:F5:DB:47:16
MD5 - B1:BE:95:F4:3A:89:B5:3C:66:CF:2A:DF:AA:9A:99:11
Emis par :
CN = Equifax Secure Global eBusiness CA-1
O = Equifax Secure Inc.
Sous Internet Explorer
Double-cliquer sur le cadenas en haut à droite de la barre d'adresse, et "afficher le certificat" (2 fois), et onglet Details. Ca doit donner exactement ceci :
Emetteur :
CN = Equifax Secure Global eBusiness CA-1
O = Equifax Secure Inc.
C = US
Empreinte numérique :
71 8f be eb b0 c4 38 b2 d0 1f 09 c3 9e 86 50 2d f5 db 47 16
SuYa, Posté le: Ven 29 Mai 2009, 20:11 Sujet du message:
1763115299
A mon avis un moyen efficace serait:
1) L'abonné se connecte au hotspot
2) Il entre son login (sans mot de passe)
3) Le hotspot renvoi le code générée par la Freebox (4 chiffres) à la création du login/MDP
4) L'abonné après vérification peut ensuite rassuré entrer son MDP et profiter d'Internet
C'est simple, c'est efficace, c'est pas chiant pour Free de faire ça et ça marche
adrien05 (Auteur du topic), Posté le: Ven 29 Mai 2009, 20:36 Sujet du message:
1761515293
SuYa a écrit:
A mon avis un moyen efficace serait:
1) L'abonné se connecte au hotspot
2) Il entre son login (sans mot de passe)
3) Le hotspot renvoi le code générée par la Freebox (4 chiffres) à la création du login/MDP
4) L'abonné après vérification peut ensuite rassuré entrer son MDP et profiter d'Internet
C'est simple, c'est efficace, c'est pas chiant pour Free de faire ça et ça marche
deathwish808, Posté le: Dim 31 Mai 2009, 13:17 Sujet du message:
1434612672
c'est pas nouveau hein ,
on peut faire de l'access point spoofing depuis pas mal de temps d'autant que sur la connexion Wifi principale de Free pas besoin de faire une fausse page Web .
Il suffit de deco l'utilisateur (une seule commande ), et de ressembler complètement a son routeur ( airsnarf ) .
Sinon il y aura toujours le crack wep , très simple et le crack wpa1 avec dico . Évidemment changer sa mac address avant de faire ca
Surtout qu'après ca on peut sniffer l'utilisateur pour récupérer des info perso ( login/MDP ftp / voip / site Web etc )
Bref ce que tu dénonce semble plus compliqué a faire et offre moins de résultats .
MOSFET, Posté le: Dim 31 Mai 2009, 14:55 Sujet du message:
1347811900
J'ai quand même du mal à croire que l'on puisse voler des mp et des id aussi facilement car même si freewifi n'est pas sécurisé au moment de l'identification il y'a un cryptage 128 bit entre Free (https://Wifi.free.fr/) et l'utilisateur sachant que même si tu créer un faux SSID freewifi tu auras du mal à faire afficher l'adresse https://Wifi.free.fr/ sur le navigateur des personnes que tu pirates.
adrien05 (Auteur du topic), Posté le: Dim 31 Mai 2009, 17:24 Sujet du message:
1761515293
MOSFET a écrit:
J'ai quand même du mal à croire que l'on puisse voler des mp et des id aussi facilement car même si freewifi n'est pas sécurisé au moment de l'identification il y'a un cryptage 128 bit entre Free (https://Wifi.free.fr/) et l'utilisateur sachant que même si tu créer un faux SSID freewifi tu auras du mal à faire afficher l'adresse https://Wifi.free.fr/ sur le navigateur des personnes que tu pirates.
Ben t'as tout faux : c'est réellement hyper simple.
adrien05 (Auteur du topic), Posté le: Dim 31 Mai 2009, 18:07 Sujet du message:
1761515293
MOSFET a écrit:
Même si tu y arrivais tu aurais du mal à tromper les navigateurs qui s'apercevraient que la page n'est pas crypté et qui avertiraient l'utilisateur.
???
Parce que c'est plus difficile de lancer un serveur Web https que http ??
La seule chose que dirait le navigateur, S'IL EN EST CAPABLE (pas sur PDA, etc...), c'est que le certificat est auto-signé.
!!!
MOSFET, Posté le: Dim 31 Mai 2009, 18:37 Sujet du message:
1347811900
Si c'était possible à faire ce que je doute sa ne serait pas à la portée de tout le monde car perso tant que ne l'aurai pas vu de mes propre yeux j'aurai toujours du mal à y croire de plus il est largement plus simple de craquer une clé wep (sachant qu'il y-a beaucoup de gens qui utilise le cryptage wep) avec aircrack et Backtrack que d'utiliser ta technique.
adrien05 (Auteur du topic), Posté le: Dim 31 Mai 2009, 20:08 Sujet du message:
1761515293
MOSFET a écrit:
Si c'était possible à faire ce que je doute sa ne serait pas à la portée de tout le monde car perso tant que ne l'aurai pas vu de mes propre yeux j'aurai toujours du mal à y croire de plus il est largement plus simple de craquer une clé wep (sachant qu'il y-a beaucoup de gens qui utilise le cryptage wep) avec aircrack et Backtrack que d'utiliser ta technique.
Oui, craquer une clé WEP, c'est simple. Encore que le WEP pour protéger le Wifi, c'est de plus en plus rare, mais bon...
Après, je ne tiens pas à convaincre à tout prix les sceptiques. "Ceux qui connaissent" (et il y en a sur le forum) savent à quel point c'est simple...
Avantage de récupérer des mots de passe FreeWifi sur craquer du WEP :
1- Potentiellement, c'est une méthode sans fin,
2- Tu peux utiliser ces mots de passe où tu veux (et pas seulement là où tu as trouvé un spot WEP).
Vous pouvez poster de nouveaux sujets dans ce forum Vous pouvez répondre aux sujets dans ce forum Vous pouvez éditer vos messages dans ce forum Vous pouvez supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum
FAQ
Rechercher
Liste des Membres
Groupes d'utilisateurs
S'enregistrer
alors que terroriste sa pour des bute bien préci (tué, pillié) ce qui est donc plus grave.
