mot de passe en clair

[Po220]

Bonjour

Je ne sais pas s'il y a des officiels de Free par ici mais à bon entendeur...

Je viens de passer à la fibre et je viens de recevoir un email qui me signale la modification de mes identifiants free (numéro de ligne fixe vers IDclient), ok tout va bien c'est logique.

Mais le mail est transmis avec mon mot de passe en clair 😱.

En appelant le 3244 le robot peut nous guider jusqu'à une "perte d'identifiant" et si on valide on reçoit aussitôt un mail avec identifiant et...le mot de passe en clair 😱 😱.

Un mot de passe ne se stocke jamais en clair dans une base de donnée, premier cours de toute formation en informatique, comment une telle faille de sécurité est elle possible chez Free ? 🤔

[Chre]

Bonjour @Po220

De nombreux services Internet continuent à transmettre des mots de passe en clair dans des messages électroniques. C'est regrettable, mais c'est ainsi.

Il faut dire qu'il n'est pas facile de contourner cette contrainte, il faut bien que tes identifiants te soient transmis. Sinon, par courrier postal.

La meilleure chose que tu puisses faire dans ce cas, c'est de modifier ce mot de passe par un que tu auras choisi toi même. Ne le perds pas

Modifié le 20 décembre 2020 par Chre

[Po220]

Le mot de passe que Free m'a transmis est un mot de passe que j'ai saisi moi même dans le passé (et j'ai rien demandé du tout puisque c'est free qui me l'a envoyé en même temps qu'il m'informe que mon identifiant à changé). Tous les gens qui utilisent le même mot de passe pour tout et n'importe quoi ont leur mot de passe mis en danger par Free !
Une pratique "normale" c'est de stocker le hash du mot de passe, si demande de renouvellement, de transmettre par Email un lien avec un token à durée de vie limitée permettant de changer son mot de passe perdu.

Mieux que cette manière de faire très classique on pourrait imaginer une confirmation d'identité par exemple en demandant une manip sur la box ou la saisi d'un code affiché sur la box, bref un truc hyper sécurisé. Ça paraitrait pas déconnant pour sécuriser un compte aussi important.

Et non, au lieux de faire mieux que le standard, Free fait ici le truc le pire qu'il soit possible de faire. Non seulement sauvegarde en clair du mot de passe (s'ils utilisent un chiffrement symétrique c'est tout comme) mais en plus transmission de ce mot de passe en clair dans un mail qui se balade partout sans chiffrement, sur 423423 serveurs et boites mails.

👎
 

Modifié le 20 décembre 2020 par Po220

[mecano91]

Free n'est pas le seul gérant l'informatique de beaucoup de personnes aussi bien pour l'Internet que les comptes de différents sites je confirme comme le mentionne Chre que beaucoup transmettent encore le mot de passe en clair que se soit l'existent ou celui de remplacement et dans certains cas il y a même un mail à l'inscription avec aussi bien l'identifiant que le mot de passe
Après la plus grande taille exploité par les pirates est principalement l'utilisateur lui même en lui faisant remplir de faux sites ou en récupérant les données via des applis qu'il a installé sans compter les simples attaques de brut force avec des mots de passes simples comme les noms des enfants, des animaux de compagnies etc et bien sûr ces informations sont accessibles au monde entier via les réseaux sociaux

Envoyé de mon MI 9 en utilisant Tapatalk

[Po220]

Ouais enfin c'est juste un truc de débutant de ne pas stoker en clair un mot de passe. Hasher le pass c'est ce qu'on fait le premier cours de la première année d’école d'informatique.
Oui j'ai déjà vu le site des amateurs d'aquarium de Sainte Maxime sur Sioule ne pas hasher les mots de passe mais ça m’étonne beaucoup plus de la part de Free.

C'est juste totalement en dehors des clous coté RGPD, CNIL et compagnie.

Et là en plus ils m'envoient spontanément mon password dans un mail que je n'ai pas demandé et qui n'a pas besoin d'envoyer le pass puisqu'il signale juste le changement de login.

[mecano91]

Pas seulement des sites amateurs jusqu'à récemment par exemple SFR envoyé un mot de remplacement en clair un des seuls que j'ai vu vraiment sécurisé les procédures ces google avec l'obligation de vérifier régulièrement les moyens de récupérations comme l'adresse secondaire et le numéro de téléphone portable mais c'est se qui entraîne des lever de bouclier chez les anti qui considère ça comme de la récupération de donnée intrusive
Après c'est bien beau de ne stocker que les hach des mots de passe mais entre les puissances de calculs actuels et la faiblesse des mots de passe sa prend certe du temps se n'est pas inviolable non plus
Mais de toute façon encore une fois se n'est pas vraiment la principale source de piratage surtout que comme vous le mentionnés suite au rgpd et compagnie les serveurs sont de plus en plus sécurisé et la moindre intrusion ou tentative est maintenant transmise rapidement aux utilisateurs donc les données deviennent très vites plus utilisables se qui n'est pas très rentable car il ne faut pas oublier que le principal but de ces attaques est de revendre des comptes fonctionnels

Envoyé de mon MI 9 en utilisant Tapatalk

[Po220]

Je ne partage pas lavis sur les sources de piratage ni celui sur l'objectif de vendre des comptes fonctionnels.
Ransomware, espionnage, usurpations d'identité, utilisation frauduleuse de la connexion ou e nos capacité de stockage (la pédophilie fait comme ça par exemple) et j'en passe beaucoup sur les objectifs des pirates. et dans le cas de l’espionnage par exemple on ne le sait pas forcément.

Quand à la gravité d'avoir accès aux compte Free, ça permet notamment de faire tout ce que nous pouvons faire sur notre interface de gestion...beaucoup de chose
Et on est pas prévenu quand il y a connexion à son compte.

Plus j'y pense plus j'hallucine de la merditude du truc, quand je pense à ce qu'ils auraient pu mettre de super robuste en obligeant à une manip sur la box ou un truc dans le genre et qu'au final c'est moins que le minimum 😞

[mecano91]

Je ne partage pas lavis sur les sources de piratage ni celui sur l'objectif de vendre des comptes fonctionnels.
Ransomware, espionnage, usurpations d'identité, utilisation frauduleuse de la connexion ou e nos capacité de stockage (la pédophilie fait comme ça par exemple) et j'en passe beaucoup sur les objectifs des pirates. et dans le cas de l’espionnage par exemple on ne le sait pas forcément.
Quand à la gravité d'avoir accès aux compte Free, ça permet notamment de faire tout ce que nous pouvons faire sur notre interface de gestion...beaucoup de chose
Et on est pas prévenu quand il y a connexion à son compte.

Plus j'y pense plus j'hallucine de la merditude du truc, quand je pense à ce qu'ils auraient pu mettre de super robuste en obligeant à une manip sur la box ou un truc dans le genre et qu'au final c'est moins que le minimum

Il n'est pas possible de faire beaucoup de modification certaines ne pouvant être effectuées seulement depuis l'adresse ip de la box après pour les autres à part résilier des options voir la ligne ou changer des paramètres comme le code TV il n'est pas possible de faire vraiment grand chose de rentable tout au plus être nuisible à l'utilisateur

Envoyé de mon MI 9 en utilisant Tapatalk

[Po220]

on peut entre autre programmer routeur et wifi comme on veut et faire ainsi ce que l'on veut de tout ce qui est sur le réseau, du vol à l’entrepôt de datas illicites.
Si ça c'est rien... c'est au contraire tout puisque sans limite, sous la seule responsabilité du propriétaire de la connexion.

[mecano91]

Quasiment impossible de stocker des data et de toute façon il y a bien plus simple et plus efficaces pour ça sans avoir besoin de pirater les serveurs d'un fai pour chaques utilisateurs, il y a des réseaux zombies qui font sa tout en donnant accès directement a des giga de stockage
Quant à la modification du Wi-Fi non seulement c'est pas évident car sur la grande majorité des Freebox ça se modifie maintenant en local depuis Freebox os comme pour le routage de ports mais en plus l'utilisateur va le voir immédiatement si ces périphériques ne se connectent plus

Envoyé de mon MI 9 en utilisant Tapatalk