S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

(MàJ) SFR dément la faille de sécurité sur le réseau SFR Wifi Public

Sans fil, sans filet

Mise à jour 18h26
SFR conteste la moindre faille de sécurité dans son réseau Wifi. « Notre réseau a toujours fonctionné ainsi et nous avons le moyen d’identifier l’utilisateur du réseau public » nous indique l’opérateur, qui n’a pas été contacté par France Wireless. « Quand on se connecte, on doit entrer ses identifiants. Il n’y a pas de problème de sécurité et il y a bien d’un côté l’utilisateur de la box et l’utilisateur du réseau wifi ». SFR nous rappelle d'ailleurs le brevet maison pour encadrer ce dispositif. «  De plus, certains usages comme Internet+ ne sont pas possibles dans l’internet communautaire. » Internet+ est cette solution qui permet de régler ses achats directement sur sa facture SFR :

SFR wifi public

Enfin, SFR nous souligne que le réseau wifi public n’est pas réactivé par défaut après une mise à jour contrairement à ce qu’affirme France Wireless. « S’il est déparamétré, il reste déparamétré après mis à jour », quant aux webmails, ils restent évidemment protégés par login et mot de passe.

Première diffusion 8h45

La Fédération France Wireless (FFW) vient d’annoncer une faille de sécurité pour le réseau public « SFR WiFi Public ». Selon l’association, qui fédère toutes les associations et communautés des réseaux sans fil en France, « le réseau "SFR WiFi Public" activé par défaut sur les boxes SFR permet à un client tiers SFR d’utiliser la connexion internet d’autrui sous l’identité du possesseur de la dite box ».

SFR WIFI public

Selon ses tests, « l’adresse IP de la connexion Internet est la même que celle du possesseur de la box quand un utilisateur tiers se connecte sur le réseau "SFR WiFi Public" ». Du coup ? « Le possesseur de la box ne contrôle pas qui se connecte à sa box. De plus, en désactivant cette fonctionnalité sur l’interface d’administration de la box, celle-ci revient à la mise à jour logicielle de cette dernière qui se fait automatiquement ». En clair : ce réseau est réactivé par défaut lors de la mise à jour.

Pour l’association, « des services en ligne comme les webmails, accès à son compte client, ou à Internet+, etc... identifient l’utilisateur par l’adresse ip de sa connexion et pourraient permettre à autrui des abus sur le compte du possesseur de la box ». Elle recommande du coup aux possesseurs de box SFR, astreint à une obligation de sécurisation du fait d’Hadopi 1 et 2, de désactiver le réseau wifi SFR WiFi Public en attendant la résolution de ce problème.

Sur son site, SFR précise cependant que « le réseau public SFR WiFi public est complètement séparé des réseaux privés. Il est impossible d’accéder aux données de votre ordinateur en étant connecté depuis le réseau Public ». De plus, le FAI souligne que « l’authentification et l’identification des membres de la communauté via le portail SFR WiFi public et SFR WiFi FON est nécessaires pour vous connecter sur les Hotspot WiFi ouvert au public ».

Quant aux traces de connexion des clients connectés à votre neufbox, elles « sont conservées conformément à la loi et vous ne serez pas inquiété si un usage frauduleux est constaté sur votre réseau WiFi public ».

(nous reviendrons sous peu sur cette faille, en attendant plus de détails).
Marc Rees

Journaliste, rédacteur en chef

Publiée le 06/02/2012 à 18:54

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 91 commentaires

Avatar de sxpert INpactien
sxpert Le lundi 6 février 2012 à 09:43:17
Inscrit le mardi 19 février 08 - 359 commentaires
Elle est où la faille en fait?

un mec se connecte en "sfr wifi public" sur ta box pour faire du pédonazi/piratage... il sort avec ton ip... c'est toi qui prends les emmerdes
Avatar de Fantassin INpactien
Fantassin Le lundi 6 février 2012 à 09:43:56
Inscrit le lundi 5 novembre 07 - 4083 commentaires
Ne jamais surfer en Wifi. Toujours avoir une rallonge rj45 de 20 mètres avec soi et sonner aux portes.
Avatar de CrazyCaro INpactienne
CrazyCaro Le lundi 6 février 2012 à 09:51:34
Inscrite le lundi 14 mai 07 - 554 commentaires
Hotspot (normalement) désactivé... mais surtout murs trop épais pour qu'on se connecte hors de chez moi
Avatar de domFreedom INpactien
domFreedom Le lundi 6 février 2012 à 09:52:04
Inscrit le jeudi 12 janvier 12 - 1643 commentaires
Ne jamais surfer en Wifi. Toujours avoir une rallonge rj45 de 20 mètres avec soi et sonner aux portes.




Marche po avec le mobile, pas assez longue la rallonge µ-usb


Ca me rappelle ça tiens...

Edité par domFreedom le lundi 6 février 2012 à 09:56
Avatar de Ricard INpactien
Ricard Le lundi 6 février 2012 à 09:59:31
Inscrit le mercredi 12 avril 06 - 40918 commentaires
Hadopi.... pOwned
Avatar de -DTL- INpactien
-DTL- Le lundi 6 février 2012 à 10:05:53
Inscrit le mercredi 7 septembre 11 - 1001 commentaires
Le vrai problème c'est surtout l'accès au webmail et services comme internet+ via une identification IP...
Avatar de the_mei INpactien
the_mei Le lundi 6 février 2012 à 10:09:52
Inscrit le mardi 24 août 04 - 2545 commentaires


A peine à côté d'la plaque SFR :o



A peine à côté d'la plaque SFR :o


Bah oui et non ils ont réseau, les deux réseau locaux sont bien distinct, même s'ils utilisent la même passerelle pour accéder à internet, c'est juste le principe du Net hein...

Après c'est p'tet un bug firmware spécifique, ça ne serait pas la première fois, car je suis quasi certains que lors de la sortie d'Hadopi sur les NB4 on avait bien deux IP... :??:
Avatar de the_mei INpactien
the_mei Le lundi 6 février 2012 à 10:10:44
Inscrit le mardi 24 août 04 - 2545 commentaires
Le vrai problème c'est surtout l'accès au webmail et services comme internet+ via une identification IP...


Heu sauf qu'en pratique c'est pas le cas, ou alors j'ai la poisse car perso si j'ai plus de cookie de session il me connecte pas automatiquement via ma cnx SFR hein...
Avatar de jezus INpactien
jezus Le lundi 6 février 2012 à 10:12:26
Inscrit le mercredi 17 septembre 03 - 3620 commentaires
Vu que chez neuf/sfr les IP sont dynamiques et que les blocs IPV5 sont en sur-réservation, m'étonnerait qu'il y ait 2 IP là dedans...

Edité par jezus le lundi 6 février 2012 à 10:12
Avatar de Gericoz INpactien
Gericoz Le lundi 6 février 2012 à 10:13:56
Inscrit le mercredi 6 octobre 04 - 755 commentaires
Pareil pour moi cela ne m'a jamais identifié par mon adresse IP, sachant qu'elle est dynamique comment cela serait possible techniquement de l'associer à un compte vu qu'elle change tout le temps?
Une base de donnée dynamique qui change en fonction de son adresse ip? oO
;