(MàJ) SFR dément la faille de sécurité sur le réseau SFR Wifi Public
Sans fil, sans filet
Mise à jour 18h26
SFR conteste la moindre faille de sécurité dans son réseau Wifi. « Notre réseau a toujours fonctionné ainsi et nous avons le moyen d’identifier l’utilisateur du réseau public » nous indique l’opérateur, qui n’a pas été contacté par France Wireless. « Quand on se connecte, on doit entrer ses identifiants. Il n’y a pas de problème de sécurité et il y a bien d’un côté l’utilisateur de la box et l’utilisateur du réseau wifi ». SFR nous rappelle d'ailleurs le brevet maison pour encadrer ce dispositif. « De plus, certains usages comme Internet+ ne sont pas possibles dans l’internet communautaire. » Internet+ est cette solution qui permet de régler ses achats directement sur sa facture SFR :
Enfin, SFR nous souligne que le réseau wifi public n’est pas réactivé par défaut après une mise à jour contrairement à ce qu’affirme France Wireless. « S’il est déparamétré, il reste déparamétré après mis à jour », quant aux webmails, ils restent évidemment protégés par login et mot de passe.
Première diffusion 8h45
La Fédération France Wireless (FFW) vient d’annoncer une faille de sécurité pour le réseau public « SFR WiFi Public ». Selon l’association, qui fédère toutes les associations et communautés des réseaux sans fil en France, « le réseau "SFR WiFi Public" activé par défaut sur les boxes SFR permet à un client tiers SFR d’utiliser la connexion internet d’autrui sous l’identité du possesseur de la dite box ».
Selon ses tests, « l’adresse IP de la connexion Internet est la même que celle du possesseur de la box quand un utilisateur tiers se connecte sur le réseau "SFR WiFi Public" ». Du coup ? « Le possesseur de la box ne contrôle pas qui se connecte à sa box. De plus, en désactivant cette fonctionnalité sur l’interface d’administration de la box, celle-ci revient à la mise à jour logicielle de cette dernière qui se fait automatiquement ». En clair : ce réseau est réactivé par défaut lors de la mise à jour.
Pour l’association, « des services en ligne comme les webmails, accès à son compte client, ou à Internet+, etc... identifient l’utilisateur par l’adresse ip de sa connexion et pourraient permettre à autrui des abus sur le compte du possesseur de la box ». Elle recommande du coup aux possesseurs de box SFR, astreint à une obligation de sécurisation du fait d’Hadopi 1 et 2, de désactiver le réseau wifi SFR WiFi Public en attendant la résolution de ce problème.
Sur son site, SFR précise cependant que « le réseau public SFR WiFi public est complètement séparé des réseaux privés. Il est impossible d’accéder aux données de votre ordinateur en étant connecté depuis le réseau Public ». De plus, le FAI souligne que « l’authentification et l’identification des membres de la communauté via le portail SFR WiFi public et SFR WiFi FON est nécessaires pour vous connecter sur les Hotspot WiFi ouvert au public ».
Quant aux traces de connexion des clients connectés à votre neufbox, elles « sont conservées conformément à la loi et vous ne serez pas inquiété si un usage frauduleux est constaté sur votre réseau WiFi public ».
(nous reviendrons sous peu sur cette faille, en attendant plus de détails).
SFR conteste la moindre faille de sécurité dans son réseau Wifi. « Notre réseau a toujours fonctionné ainsi et nous avons le moyen d’identifier l’utilisateur du réseau public » nous indique l’opérateur, qui n’a pas été contacté par France Wireless. « Quand on se connecte, on doit entrer ses identifiants. Il n’y a pas de problème de sécurité et il y a bien d’un côté l’utilisateur de la box et l’utilisateur du réseau wifi ». SFR nous rappelle d'ailleurs le brevet maison pour encadrer ce dispositif. « De plus, certains usages comme Internet+ ne sont pas possibles dans l’internet communautaire. » Internet+ est cette solution qui permet de régler ses achats directement sur sa facture SFR :
Enfin, SFR nous souligne que le réseau wifi public n’est pas réactivé par défaut après une mise à jour contrairement à ce qu’affirme France Wireless. « S’il est déparamétré, il reste déparamétré après mis à jour », quant aux webmails, ils restent évidemment protégés par login et mot de passe.
Première diffusion 8h45
La Fédération France Wireless (FFW) vient d’annoncer une faille de sécurité pour le réseau public « SFR WiFi Public ». Selon l’association, qui fédère toutes les associations et communautés des réseaux sans fil en France, « le réseau "SFR WiFi Public" activé par défaut sur les boxes SFR permet à un client tiers SFR d’utiliser la connexion internet d’autrui sous l’identité du possesseur de la dite box ».
Selon ses tests, « l’adresse IP de la connexion Internet est la même que celle du possesseur de la box quand un utilisateur tiers se connecte sur le réseau "SFR WiFi Public" ». Du coup ? « Le possesseur de la box ne contrôle pas qui se connecte à sa box. De plus, en désactivant cette fonctionnalité sur l’interface d’administration de la box, celle-ci revient à la mise à jour logicielle de cette dernière qui se fait automatiquement ». En clair : ce réseau est réactivé par défaut lors de la mise à jour.
Pour l’association, « des services en ligne comme les webmails, accès à son compte client, ou à Internet+, etc... identifient l’utilisateur par l’adresse ip de sa connexion et pourraient permettre à autrui des abus sur le compte du possesseur de la box ». Elle recommande du coup aux possesseurs de box SFR, astreint à une obligation de sécurisation du fait d’Hadopi 1 et 2, de désactiver le réseau wifi SFR WiFi Public en attendant la résolution de ce problème.
Sur son site, SFR précise cependant que « le réseau public SFR WiFi public est complètement séparé des réseaux privés. Il est impossible d’accéder aux données de votre ordinateur en étant connecté depuis le réseau Public ». De plus, le FAI souligne que « l’authentification et l’identification des membres de la communauté via le portail SFR WiFi public et SFR WiFi FON est nécessaires pour vous connecter sur les Hotspot WiFi ouvert au public ».
Quant aux traces de connexion des clients connectés à votre neufbox, elles « sont conservées conformément à la loi et vous ne serez pas inquiété si un usage frauduleux est constaté sur votre réseau WiFi public ».
(nous reviendrons sous peu sur cette faille, en attendant plus de détails).
Le 6 février 2012 à 18:54
(34 414
lectures)
Il y a 91 commentaires
INpactien
Faut-il comprendre cette prose sous le sens :
Vous serez considéré comme coupable (pour Hadopi), prouvez-nous que vous êtes innocent...
Heu non, le texte dit EXACTEMENT le contraire. Je ne comprend vraiment pas comment tu as pu comprendre ça. Le texte dit que tu ne seras même pas inquiété (sous-entendu: tu n'entendras même pas parler d'HADOPI).
un mec se connecte en "sfr wifi public" sur ta box pour faire du pédonazi/piratage... il sort avec ton ip... c'est toi qui prends les emmerdes
C'est le risque, mais SFR prétend le contraire. On passe en effet par un portail captif et donc SFR enregistre qu'à telle heure, sur telle IP, il y avait tel abonné sur le réseau SFR Public Wifi, en plus du propriétaire de la ligne sur le réseau privé.
Ça pose quand-même un certain nombre de questions :
- Comment sait-il, pour une action donnée, qui du connecté en SFR Public Wifi ou du propriétaire de la ligne, a fait telle chose ? Pour autant que je sache, les adresses mac ne sont pas envoyées aux FAI. Les adresses IP privées non-plus, si ?
- Comment sait-il à partir de quel moment l'abonné SFR Public Wifi a quitté le hotspot ?
En plus, le portail captif c'est d'une fiabilité douteuse... rien n'empêche un hacker de constater quel ordinateur (avec quelle adresse mac) est connecté à un réseau SFR Public Wifi, et de spoofer son adresse mac afin de se faire passer pour lui sans s'identifier.
INpactien
un mec se connecte en "sfr wifi public" sur ta box pour faire du pédonazi/piratage... il sort avec ton ip... c'est toi qui prends les emmerdes
Non, car SFR conserve l'activité par IP et peut donner l'identité de celui qui passe par SFR Wifi.
Le problème est plus côté des sites internet que SFR: le problème soulevé est le même si on se connecte depuis un réseau d'école, d'entreprise, un hotspot public, ... de l'extérieur, tout le monde a l'adresse IP de l'équipement qui sert de passerelle entre internet et le réseau.
De toutes façons, je trouve que quelque soit le réseau (SFR, Wanadoo, Free), ces hotspots publics sont dangereux pour les utilisateurs. Ca prend 5 minutes à faire un faux hotspot public qui enregistre vos identifiants SFR/Wanadoo/Free, et 1h à en faire un qui fonctionne et enregistre toutes vos communications. Le MIM en toute simplicité.
INpactien
domFreedom
Le lundi 6 février 2012 à 10:33:07
#33
Inscrit
le jeudi 12 janvier 12
-
1565
commentaires
Heu non, le texte dit EXACTEMENT le contraire. Je ne comprend vraiment pas comment tu as pu comprendre ça. Le texte dit que tu ne seras même pas inquiété (sous-entendu: tu n'entendras même pas parler d'HADOPI).
Je vois le mal partout !
INpactien
slasher-fun
Le lundi 6 février 2012 à 10:37:09
#34
Inscrit
le samedi 13 janvier 07
-
321
commentaires
Eh bien, j'ai bien fait de m'acheter un point d'accès wifi à part pour ne pas passer par celui de ma box. Bon, en même temps, je suis chez Orange, donc...
Poney
Je capte un réseau SFR wifi public depuis ma chambre...
sudo apt-get install backtrack...
sudo apt-get install backtrack...
INpactien
domFreedom
Le lundi 6 février 2012 à 10:39:43
#35
Inscrit
le jeudi 12 janvier 12
-
1565
commentaires
INpactien
ano_634845199311307630
Le lundi 6 février 2012 à 11:00:10
#36
Inscrit
le jeudi 19 mai 11
-
294
commentaires
Non, car SFR conserve l'activité par IP et peut donner l'identité de celui qui passe par SFR Wifi.
Donc SFR garde une trace de toutes les connections TCP de ses clients?
INpactien
la plage d'ip du hotspot 192.168.2.XXX
la plage ip domestique 192.168.1.XXX
oui sfr enregistre tout les logs comme free orange bouygue c'est la loi qui le veut!
et en couplant l'adresse 192.168.2.XXX et le login du hot spot ils savent qui a téléchargé quel paquet
la plage ip domestique 192.168.1.XXX
oui sfr enregistre tout les logs comme free orange bouygue c'est la loi qui le veut!
et en couplant l'adresse 192.168.2.XXX et le login du hot spot ils savent qui a téléchargé quel paquet
INpactien
Pour ceux qui disent que chez free ce n'est pas desactivable. Il me semble que ca l'est mais uniquement connecté a sa box et surhttp://wifi.free.fr
INpactien
ano_634845199311307630
Le lundi 6 février 2012 à 11:20:49
#39
Inscrit
le jeudi 19 mai 11
-
294
commentaires
la plage d'ip du hotspot 192.168.2.XXX
la plage ip domestique 192.168.1.XXX
oui sfr enregistre tout les logs comme free orange bouygue c'est la loi qui le veut!
et en couplant l'adresse 192.168.2.XXX et le login du hot spot ils savent qui a téléchargé quel paquet
la plage ip domestique 192.168.1.XXX
oui sfr enregistre tout les logs comme free orange bouygue c'est la loi qui le veut!
et en couplant l'adresse 192.168.2.XXX et le login du hot spot ils savent qui a téléchargé quel paquet
sauf que 192.168.2.XXX n'apparait jamais a l'exterieur puisque la box n'est pas une vraie passerelle mais fait du NAT, et je ne pense pas que la loi demande aux FAI d'enregistrer toutes les connections de ses clients (pas encore du moins...)
INpactien
sauf que 192.168.2.XXX n'apparait jamais a l'exterieur puisque la box n'est pas une vraie passerelle mais fait du NAT, et je ne pense pas que la loi demande aux FAI d'enregistrer toutes les connections de ses clients (pas encore du moins...)
Il me semble bien que si, la loi fait obligation d'enregistrer toutes les connexions TCP avec l'IP publique correspondante. Je peux me tromper mais il me semble bien. Le stockage de ces logs est d'ailleurs un poste de dépense important. Les FAI ne sont d'ailleurs dédommagés que lorsque la justice requiert l'accès à ces logs. Ce qui fait qu'un FAI dont tous les utilisateurs sont honnêtes n'est paradoxalement jamais dédommagé.
En revanche tu as raison, normalement l'IP privée n'est pas censée arriver jusqu'au FAI. Je ne vois pas trop comment cela serait possible. C'est un peu le principe du NAT de n'avoir qu'une seule IP qui sort de la box, et de ne savoir envoyer la bonne communication à la bonne machine qu'à travers le numéro de port.
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
GPU-Z 0.7.1 : les GeForce GTX 770 et 780 à l'honneur
(0)
Et les GPU des APU d'AMD aussi -
[MàJ] Quand Google cache des poneys dans Hangouts, mais pas que...
(17)
Poney, aime -
CUDA-Z : tout savoir de votre GPU NVIDIA sous Linux, OS X ou Windows
(7)
Et même quelques benchs -
CPU-Z 1.64 et HWMonitor 1.22 sont de sortie
(0)
Il faut dire qu'il fait soleil aujourd'hui
![[MàJ] Quand Google cache des poneys dans...](http://static.pcinpact.com/images/bd/dedicated/79789.jpg)
-
40 % de remise pour l'achat de cinq DVD
Valable jusqu'au 25 août -
Deux adaptateurs CPL Netgear XAV1301 à 200 Mb/s : 19,90 €
Valable jusqu'au 24 mai -
7 % de remise sur les SSD
Valable pendant 10 heures -
Adhérents Fnac : tous les 100 € d'achat, 15 € en chèque-cadeau
Valable jusqu'au 23 mai
