S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

(MàJ) SFR dément la faille de sécurité sur le réseau SFR Wifi Public

Sans fil, sans filet

Mise à jour 18h26
SFR conteste la moindre faille de sécurité dans son réseau Wifi. « Notre réseau a toujours fonctionné ainsi et nous avons le moyen d’identifier l’utilisateur du réseau public » nous indique l’opérateur, qui n’a pas été contacté par France Wireless. « Quand on se connecte, on doit entrer ses identifiants. Il n’y a pas de problème de sécurité et il y a bien d’un côté l’utilisateur de la box et l’utilisateur du réseau wifi ». SFR nous rappelle d'ailleurs le brevet maison pour encadrer ce dispositif. «  De plus, certains usages comme Internet+ ne sont pas possibles dans l’internet communautaire. » Internet+ est cette solution qui permet de régler ses achats directement sur sa facture SFR :

SFR wifi public

Enfin, SFR nous souligne que le réseau wifi public n’est pas réactivé par défaut après une mise à jour contrairement à ce qu’affirme France Wireless. « S’il est déparamétré, il reste déparamétré après mis à jour », quant aux webmails, ils restent évidemment protégés par login et mot de passe.

Première diffusion 8h45

La Fédération France Wireless (FFW) vient d’annoncer une faille de sécurité pour le réseau public « SFR WiFi Public ». Selon l’association, qui fédère toutes les associations et communautés des réseaux sans fil en France, « le réseau "SFR WiFi Public" activé par défaut sur les boxes SFR permet à un client tiers SFR d’utiliser la connexion internet d’autrui sous l’identité du possesseur de la dite box ».

SFR WIFI public

Selon ses tests, « l’adresse IP de la connexion Internet est la même que celle du possesseur de la box quand un utilisateur tiers se connecte sur le réseau "SFR WiFi Public" ». Du coup ? « Le possesseur de la box ne contrôle pas qui se connecte à sa box. De plus, en désactivant cette fonctionnalité sur l’interface d’administration de la box, celle-ci revient à la mise à jour logicielle de cette dernière qui se fait automatiquement ». En clair : ce réseau est réactivé par défaut lors de la mise à jour.

Pour l’association, « des services en ligne comme les webmails, accès à son compte client, ou à Internet+, etc... identifient l’utilisateur par l’adresse ip de sa connexion et pourraient permettre à autrui des abus sur le compte du possesseur de la box ». Elle recommande du coup aux possesseurs de box SFR, astreint à une obligation de sécurisation du fait d’Hadopi 1 et 2, de désactiver le réseau wifi SFR WiFi Public en attendant la résolution de ce problème.

Sur son site, SFR précise cependant que « le réseau public SFR WiFi public est complètement séparé des réseaux privés. Il est impossible d’accéder aux données de votre ordinateur en étant connecté depuis le réseau Public ». De plus, le FAI souligne que « l’authentification et l’identification des membres de la communauté via le portail SFR WiFi public et SFR WiFi FON est nécessaires pour vous connecter sur les Hotspot WiFi ouvert au public ».

Quant aux traces de connexion des clients connectés à votre neufbox, elles « sont conservées conformément à la loi et vous ne serez pas inquiété si un usage frauduleux est constaté sur votre réseau WiFi public ».

(nous reviendrons sous peu sur cette faille, en attendant plus de détails).
Marc Rees

Journaliste, rédacteur en chef

Publiée le 06/02/2012 à 18:54

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 91 commentaires

Avatar de Liam INpactien
Liam Le lundi 6 février 2012 à 10:29:24
Inscrit le lundi 25 août 03 - 6138 commentaires


Faut-il comprendre cette prose sous le sens :
Vous serez considéré comme coupable (pour Hadopi), prouvez-nous que vous êtes innocent...


Heu non, le texte dit EXACTEMENT le contraire. Je ne comprend vraiment pas comment tu as pu comprendre ça. Le texte dit que tu ne seras même pas inquiété (sous-entendu: tu n'entendras même pas parler d'HADOPI).


un mec se connecte en "sfr wifi public" sur ta box pour faire du pédonazi/piratage... il sort avec ton ip... c'est toi qui prends les emmerdes


C'est le risque, mais SFR prétend le contraire. On passe en effet par un portail captif et donc SFR enregistre qu'à telle heure, sur telle IP, il y avait tel abonné sur le réseau SFR Public Wifi, en plus du propriétaire de la ligne sur le réseau privé.

Ça pose quand-même un certain nombre de questions :

- Comment sait-il, pour une action donnée, qui du connecté en SFR Public Wifi ou du propriétaire de la ligne, a fait telle chose ? Pour autant que je sache, les adresses mac ne sont pas envoyées aux FAI. Les adresses IP privées non-plus, si ?
- Comment sait-il à partir de quel moment l'abonné SFR Public Wifi a quitté le hotspot ?

En plus, le portail captif c'est d'une fiabilité douteuse... rien n'empêche un hacker de constater quel ordinateur (avec quelle adresse mac) est connecté à un réseau SFR Public Wifi, et de spoofer son adresse mac afin de se faire passer pour lui sans s'identifier.
Avatar de brice.wernet INpactien
brice.wernet Le lundi 6 février 2012 à 10:31:22
Inscrit le mardi 18 mars 03 - 1549 commentaires

un mec se connecte en "sfr wifi public" sur ta box pour faire du pédonazi/piratage... il sort avec ton ip... c'est toi qui prends les emmerdes

Non, car SFR conserve l'activité par IP et peut donner l'identité de celui qui passe par SFR Wifi.

Le problème est plus côté des sites internet que SFR: le problème soulevé est le même si on se connecte depuis un réseau d'école, d'entreprise, un hotspot public, ... de l'extérieur, tout le monde a l'adresse IP de l'équipement qui sert de passerelle entre internet et le réseau.

De toutes façons, je trouve que quelque soit le réseau (SFR, Wanadoo, Free), ces hotspots publics sont dangereux pour les utilisateurs. Ca prend 5 minutes à faire un faux hotspot public qui enregistre vos identifiants SFR/Wanadoo/Free, et 1h à en faire un qui fonctionne et enregistre toutes vos communications. Le MIM en toute simplicité.
Avatar de domFreedom INpactien
domFreedom Le lundi 6 février 2012 à 10:33:07
Inscrit le jeudi 12 janvier 12 - 1641 commentaires

Heu non, le texte dit EXACTEMENT le contraire. Je ne comprend vraiment pas comment tu as pu comprendre ça. Le texte dit que tu ne seras même pas inquiété (sous-entendu: tu n'entendras même pas parler d'HADOPI).




Je vois le mal partout ! devil.gif

Avatar de slasher-fun INpactien
slasher-fun Le lundi 6 février 2012 à 10:37:09
Inscrit le samedi 13 janvier 07 - 363 commentaires
Eh bien, j'ai bien fait de m'acheter un point d'accès wifi à part pour ne pas passer par celui de ma box. Bon, en même temps, je suis chez Orange, donc...

Poney

Je capte un réseau SFR wifi public depuis ma chambre...

sudo apt-get install backtrack...

devil.gif devil.gif devil.gif devil.gif devil.gif

mdr2.gif
Avatar de domFreedom INpactien
domFreedom Le lundi 6 février 2012 à 10:39:43
Inscrit le jeudi 12 janvier 12 - 1641 commentaires



Et 2 minutes plus tard :

FBI ! Hands on the roof sucker ! Freeze !

Avatar de ano_634845199311307630 INpactien
ano_634845199311307630 Le lundi 6 février 2012 à 11:00:10
Inscrit le jeudi 19 mai 11 - 294 commentaires
Non, car SFR conserve l'activité par IP et peut donner l'identité de celui qui passe par SFR Wifi.

Donc SFR garde une trace de toutes les connections TCP de ses clients?
Avatar de befa31 INpactien
befa31 Le lundi 6 février 2012 à 11:13:47
Inscrit le lundi 9 mai 05 - 176 commentaires
la plage d'ip du hotspot 192.168.2.XXX
la plage ip domestique 192.168.1.XXX
oui sfr enregistre tout les logs comme free orange bouygue c'est la loi qui le veut!
et en couplant l'adresse 192.168.2.XXX et le login du hot spot ils savent qui a téléchargé quel paquet
Avatar de Goshi INpactien
Goshi Le lundi 6 février 2012 à 11:15:40
Inscrit le vendredi 25 mars 05 - 91 commentaires
Pour ceux qui disent que chez free ce n'est pas desactivable. Il me semble que ca l'est mais uniquement connecté a sa box et surhttp://wifi.free.fr
Avatar de ano_634845199311307630 INpactien
ano_634845199311307630 Le lundi 6 février 2012 à 11:20:49
Inscrit le jeudi 19 mai 11 - 294 commentaires
la plage d'ip du hotspot 192.168.2.XXX
la plage ip domestique 192.168.1.XXX
oui sfr enregistre tout les logs comme free orange bouygue c'est la loi qui le veut!
et en couplant l'adresse 192.168.2.XXX et le login du hot spot ils savent qui a téléchargé quel paquet

sauf que 192.168.2.XXX n'apparait jamais a l'exterieur puisque la box n'est pas une vraie passerelle mais fait du NAT, et je ne pense pas que la loi demande aux FAI d'enregistrer toutes les connections de ses clients (pas encore du moins...)
Avatar de Liam INpactien
Liam Le lundi 6 février 2012 à 12:02:40
Inscrit le lundi 25 août 03 - 6138 commentaires

sauf que 192.168.2.XXX n'apparait jamais a l'exterieur puisque la box n'est pas une vraie passerelle mais fait du NAT, et je ne pense pas que la loi demande aux FAI d'enregistrer toutes les connections de ses clients (pas encore du moins...)


Il me semble bien que si, la loi fait obligation d'enregistrer toutes les connexions TCP avec l'IP publique correspondante. Je peux me tromper mais il me semble bien. Le stockage de ces logs est d'ailleurs un poste de dépense important. Les FAI ne sont d'ailleurs dédommagés que lorsque la justice requiert l'accès à ces logs. Ce qui fait qu'un FAI dont tous les utilisateurs sont honnêtes n'est paradoxalement jamais dédommagé.

En revanche tu as raison, normalement l'IP privée n'est pas censée arriver jusqu'au FAI. Je ne vois pas trop comment cela serait possible. C'est un peu le principe du NAT de n'avoir qu'une seule IP qui sort de la box, et de ne savoir envoyer la bonne communication à la bonne machine qu'à travers le numéro de port.
;