Sécurité : comparatif des FAI

Messed up, by Darwin Bell cc

Les Fournisseurs d’Accès à Internet communiquent sur les services qu’ils offrent à leurs abonnés : internet haut débit, TV, téléphone, e‐mail etc. Mais proposer ces services n’est de mon point de vue pas suffisant : encore faut‐ils qu’ils le fassent correctement.

De même que les services web gratuits ont des responsabilités vis‐à‐vis de notre vie privée (e‐mail, documents en ligne, messagerie instantanée), les FAI doivent nous apporter des garanties sur la sûreté des informations qu’on leur confie. Une expérience récente «d’écoute» sur un réseau wifi ouvert m’a montré que même des utilisateurs aguerris d’internet ne soupçonnent pas ce qu’on peut «voir». Si vous relevez par exemple vos mails en étant connecté à un hotspot wifi, il y a de grandes chances pour que votre mot de passe soit visible très simplement. Or la sécurisation de vos emails est de la responsabilité de celui qui vous fourni ce service : dans la majorité des e‐mails personnels, c’est le FAI.

Les FAI comparés

J’ai comparé cinq des principaux FAI français pour cet article : Orange, Free, Neufbox par SFR, Numericable et Bouygues. Pour estimer la sécurité de chacun, j’ai vérifié des points que j’estime indispensables et attribué une note représentant l’importance de chacun.

La note globale est sur 50, répartis comme ceci :

  • Accès aux e‐mails du FAI : 14 points.
  • Lutte contre le spam : 9 points.
  • Réseau domestique : 18 points.
  • Compte client : 6 points.
  • Téléphonie : 3 points.

Sécurité de l’accès aux e‐mails

La première rubrique de ce comparatif porte sur l’accès au courrier électronique du fournisseur d’accès. L’adresse fournie par le FAI étant souvent utilisé par les particuliers comme boîte électronique principale, la sécurisation de son accès est un point important de ce comparatif !

OrangeFreeNeufboxNumericableBBox
POP ou IMAP sécurisé /300000
Documentation sur les protocoles sécurisés /100000
Authentification sécurisée sur le webmail /300000
Consultation sécurisée sur le webmail /200000
Procédure de perte des mots de passe /300000
Engagement sur la sauvegarde /10,50,50,50,50,5
Engagement sur la vie privée /10,50,50,50,50,5
Total /1411111

Le comparatif sur ce plan ne montre qu’une chose : en ce qui concerne la sécurité des email, les FAI font moins que le minimum. Tous sans exception n’offrent aucun accès sécurisé à ceux‐ci, que ce soit avec un logiciel (Thunderbird ou Outlook) ou par le web.

C’est-à-dire que si vous avez une adresse @orange.fr, @free.fr, @sfr.fr, @neuf.fr, @cegetel.net, @club-internet.fr, @9online.fr, @9business.fr et que vous vous connectez à votre messagerie, votre mot de passe est communiqué en clair et il est visible très facilement (surtout si vous vous connectez sur un hotspot wifi).

Encore plus honteux, aucun FAI n’a une procédure de perte de mot de passe sécurisée. C’est-à-dire que tous vous envoient le mot de passe (que vous avez oublié) en clair. Chacun y a accès en clair. Or le B.A.-BA en sécurité informatique consiste justement à stocker les mots de passe de manière à ce qu’on ne puisse pas découvrir leur valeur. La procédure doit donc être dans ce cas de les réinitialiser avec une valeur aléatoire, de vous fournir cette valeur et de vous inviter à le changer rapidement.

Les deux derniers points permettront de comparer les FAI aux fournisseurs d’emails gratuits tels que GMail, Hotmail, Yahoo ou d’autres. Aucun FAI ne propose par exemple des publicités ciblées en fonction du contenu des messages électroniques, même si aucun engagement clair n’est pris dans ce sens de leur part. De même, aucun engagement n’est pris sur la conservation des courriers électroniques reçus (en cas de panne ou problème technique de leur côté), même s’il n’existe pas de cas de problème connu.

Conseils aux utilisateurs

Évitez d’utiliser les adresses fournies par votre FAI. Tout d’abord parce qu’elles sont un moyen de vous garder captifs : si vous changez de FAI, vous devez aussi changer d’adresse, communiquer à tous vos contacts votre nouvelle adresse et espérer n’avoir oublié personne : très fastidieux. De plus, les fournisseurs d’accès ne vous donnent aucun moyen de consulter votre courrier de manière sécurisée, élément essentiel lorsqu’on se connecte à internet via des réseau wifi…

Vous pouvez appliquer cette grille de lecture pour comparer les fournisseurs d’emails gratuits.

Conseils aux FAI

Que dire, à part de faire en sorte d’avoir au moins 9 points sur les 14 de cette rubrique ? C’est le minimum pour que votre service de courrier électronique soit acceptable !

Lutte contre le spam

En matière de courrier électronique, outre un accès sécurisé, les FAI proposent de lutter contre le spam qui participe à la diffusion de virus, de tentatives d’hameçonnage ou simplement de courriers indésirables. Cependant tous ne participent pas de la même manière à la lutte contre ces courriers.

OrangeFreeNeufboxNumericableBBox
Authentification SMTP /10,5*0000
SMTP sécurisé /200000
Documentation sur le SMTP sécurisé /10,5*0000
Filtre anti‐spam activé par défaut /10,5**0000
Filtre anti‐spam disponible /10,5**10,5**00,5***
Filtre anti‐virus activé par défaut /100000
Filtre anti‐virus disponible /1000,5**00,5***
Blocage de l’accès aux autres serveurs SMTP /111110
Total /932211

* : Uniquement pour l’envoi de mails depuis une connexion autre qu’Orange.
** : Uniquement pour le webmail.
*** : Logiciel client Windows à installer (pas de filtre sur le serveur directement).

Ce comparatif montre des différences entre les différents FAI français. Sur ce point Orange se détache légèrement : lorsque vous voulez envoyer des messages depuis une autre connexion, vous devez utiliser un serveur d’envoi en vous authentifiant. De plus, Orange, Free, Neufbox de SFR et Numericable bloquent par défaut l’envoi d’emails en utilisant un autre serveur que celui du FAI. Cette fonctionnalité que je trouve agaçante si elle n’est pas désactivable, permet à faible coût de limiter l’impact de la présence de virus qui envoie des spams.

Free pour sa part propose un filtre anti‐spam directement sur leurs serveurs, qui écarte les messages détectés comme indésirables, alors que d’autres ne proposent cette fonctionnalité que sur le webmail (dommage).

Conseils aux utilisateurs

Pour éviter de recevoir des spams, si vous utilisez l’adresse fournie par votre FAI, le plus efficace est d’utiliser une solution anti‐spam sur votre ordinateur : Thunderbird ou un logiciel spécifique, détectant les courriers indésirables, ceux contenant des virus ou des tentatives d’hameçonnage.

De plus, pour éviter d’être une source de spam, le plus simple est d’utiliser également un logiciel client antivirus…

Conseil aux FAI

Proposez un accès sécurisé et authentifié aux serveurs d’envoi de courrier, ainsi qu’un antispam efficace côté serveur.

Réseau domestique

Les box des principaux fournisseurs d’accès proposent toutes l’accès à internet en wifi, ce qui rend plus facile l’accès à l’internet comme au réseau domestique (pour d’éventuels indiscrets). De ce fait, le routeur fourni avec les box dispose en général d’options de configuration des paramètres de sécurité.

OrangeFreeNeufboxNumericableBBox
Wifi désactivé par défaut /202000
Wifi sécurisé par défaut /11010*0**
Possibilités de sécurisation du wifi /222222
Documentation sur la sécurisation du wifi /111001
Firewall activé par défaut /220***222
Authentification HTTPS à l’interface d’administration /200000
Navigation HTTPS dans l’interface d’administration /100000
Accès en local uniquement /110111
Procédure de perte du mot de passe /33#03#3#3#
Mot de passe par défaut /303300
Total /181081289

* : Clé WEP (facilement piratable).
** : Clé WPA facilement devinable, généré à partir du nom du réseau.
*** : Mode routeur.
# : Réinitialisation des paramètres d’usine de la «box».

C’est la neufbox de SFR qui s’en sort le mieux, en ce qui concerne la sécurisation du réseau domestique avec une note honorable de 12 points sur 18, devançant Orange grâce à un mot de passe par défaut pour accéder à l’interface d’administration plus sécurisé. On accède en effet à l’interface d’administration des Livebox avec l’identification admin/admin, alors que le mot de passe des neufbox est aléatoire, et inscrit sous le modem.

La BBox est pénalisée à cause d’une clé WPA par défaut non aléatoire. Numéricable à cause d’une sécurisation en WEP par défaut (qu’il vaut mieux considérer comme non sûre) tout en ne communiquant pas sur le WPA dans la documentation.

Enfin, free propose une approche différente puisque la configuration du réseau local est accessible sur la même interface que la gestion du compte client contrairement à ses concurrents. Cependant l’accès à l’interface n’est pas sécurisé, et il est possible depuis n’importe quel accès à internet. La désactivation du wifi par défaut est un bon point, par contre la sécurisation de ce dernier n’est pas proposée par défaut (pour les utilisateurs peu aguerris).

Conseils aux utilisateurs

Concernant le Wifi, le premier réflexe est de le désactiver si vous ne vous en servez pas. Ça consomme de l’énergie, émet des ondes (pour ceux que ça inquiète), et ça ouvre un accès potentiel à votre réseau domestique.

Pour ceux qui font usage du sans fil, sécurisez‐le en utilisant du WPA. Pour les utilisateurs de BBox, changez la clé par défaut. Pour les utilisateurs de Numéricable et Free, renseignez le mode de sécurisation WPA. Les utilisateurs de Free doivent également activer le mode routeur, afin de profiter d’un firewall.

Conseils aux FAI

Pour free : sécuriser absolument l’accès à l’interface d’administration des comptes avec du HTTPS.

Pour numéricable : passer du mode WEP au WPA par défaut ! Le WEP, c’est dépassé !

Pour la BBox : changer la manière de générer les clés WPA par défaut sur les nouvelles box (au minimum) en choisissant une génération vraiment aléatoire.

Pour presque tous : désactivez le wifi par défaut, et proposez un mot de passe par défaut aléatoire pour accéder à l’interface d’administration de la box.

Administration du compte client

OrangeFreeNeufboxNumericableBBox
Authentification HTTPS /220222
Navigation HTTPS /100111
Procédure de perte de mot de passe /300000
Total /620333

Sur cette rubrique, tous les FAI devraient avoir 6 points sur les 6.

La Neufbox de SFR, Numericable et la BBox font mieux que leurs concurrents avec 3 points en proposant au moins un accès sécurisé à l’interface de gestion des comptes client.

Orange fait le minimum en sécurisant uniquement l’authentification des utilisateurs.

Free ne sécurise pas cette interface de gestion, alors qu’à partir d’elle on peut accéder aux information client, configurer les services de téléphonie, de télé, de mail et également gérer le réseau local !

Enfin, et c’est encore une honte pour les 5 FAI comparés, la procédure de perte de mot de passe n’est toujours pas à la hauteur ! Puisque les mots de passe oubliés ne sont pas réinitialisés mais fournis aux clients, cela signifie qu’ils ne sont pas stockés avec un codage irréversible (hachage), or c’est le B.A-BA de la sécurité informatique !

Conseils aux utilisateurs

Rien à faire pour vous, sinon choisir un fournisseur qui propose un minimum de garanties. Essayez de communiquer sur cette procédure absurde de perte de mots de passe si vous le pouvez !

Conseils aux FAI

Vous devez au moins avoir 5 points sur 6 pour la sécurisation des accès clients ! Il n’est pas très coûteux de sécuriser l’accès à l’interface d’administration en utilisant le HTTPS, et c’est très efficace.

Enfin, il faut absolument revoir cette procédure absurde de perte de mot de passe : ceux‐ci ne doivent jamais être stockés sans être hachés.

Téléphonie

En matière de sécurisation de la téléphonie, je n’ai pu comparer que l’accès aux message vocaux à distance. Mais cette comparaison est assez instructive.

OrangeFreeNeufboxNumericableBBox
Consultation à distance désactivée par défaut /100000
Mot de passe par défaut /110101
Documentation sur la modification du mot de passe /110110
Total /320211

Orange et Neufbox se détachent finalement de leurs concurrents en proposant à la fois un paramétrage lors de l’activation du répondeur, ainsi qu’une documentation sur la manière de changer celui‐ci, ce qui le différencie de la BBox.

Free propose quand‐à‐lui un mot de passe par défaut 0000 (comme numericable) et un manque de documentation sur la manière de changer ce mot de passe.

Conseils aux utilisateurs

Changer votre code confidentiel de répondeur, soit par l’interface de gestion de votre compte quand c’est possible, soit en appelant votre répondeur depuis votre ligne fixe.

Conseils aux FAI

Demandez au minimum un code lors de l’activation du répondeur et proposez de la documentation aux utilisateurs pour changer ce code, offrez la possibilité de le modifier par le web.

Enfin, demander l’activation ou non de l’accès à distance lors de l’activation du répondeur serait un plus car tout le monde n’en a pas besoin.

Palmarès final

OrangeFreeNeufboxNumericableBBox
Accès aux emails /1411111
Lutte contre le spam /932211
Réseau domestique /181081289
Administration du compte client /620333
Téléphonie /320211
Total /501811201415

Finalement, et comme je m’y attendais, le bilan est peu reluisant pour nos FAI français en ce qui concerne la sécurité. Aucun n’obtient la moyenne de 25 points sur 50.

Le meilleur fournisseur d’accès à la lecture de ce comparatif, est Neufbox de SFR avec 20 points sur 50 possibles. Orange le talonne de près avec deux point de moins avec 1850.

Free fini dernier de ce comparatif, en proposant souvent à ses utilisateurs tous les outils pour mettre en place le même niveau de sécurité que chez les concurrents mais sans assistance pour les moins informaticiens.

Tous ont d’énormes progrès à réaliser notamment dans la sécurisation de l’accès au courrier électronique, à l’interface client, ou encore sur les procédures de perte/récupération d’un mot de passe. J’espère en tout cas que ce comparatif contribuera à faire bouger les lignes.

Commentaires

61 Comments sur « Sécurité : comparatif des FAI »

  1. Spica dit :

    Bon, je n’utilise pas l’email de mon FAI (mais un GMail), je n’utilise pas le routeur de ma box mais mon propre routeur entièrement configuré par mes soins (avec Firewall, cryptage WPA/WPA2, filtrage par adresse MAC, etc.) et je n’utilise pas ma ligne téléphonique associée puisque je ne me sers que du portable… Finalement, je m’en sors pas si mal vu le niveau des opérateurs ?!

    D’ailleurs, tu aurais peut‐être pu détailler les paramètres de sécurisation du wifi qu’offre chacune des box (à moins que ce soit toutes exactement les mêmes). Parce que je sais que certaines box font du filtrage par adresse mac par défaut (il faut appuyer sur un bouton de la box pour lui associer un ordinateur) alors que pour d’autre, rien n’est activé (bon, ok, c’est pas LA grosse protection, juste un des nombreux paramètre, mais c’est pour l’exemple).

  2. Ghusse dit :

    Si tu utilises GMail en activant le SSL pour la navigation, ou pour l’IMAP c’est vrai que c’est mieux.
    Pour la configuration du réseau local, ça doit être kifkif puisque tous les FAI proposent toutes les options de sécutisation qui vont bien. Je me suis plutôt attaché à savoir dans quelle mesure ils aidaient l’utilisateur à les mettre en place. En effet, dans 80% des cas ce sont les paramètres par défaut qui sont utilisés pour le wifi…

    Pour les paramètres de sécurisation du wifi, j’ai simplement regardé si le WPA était activé par défaut avec une clé solide. Le filtrage par adresse MAC n’a pas de sens à mon avis, car cette protection est bien plus facilement contournable qu’un WPA avec une bonne clé. C’est pour cette raison que les livebox et les neufbox ont la même note de ce côté : l’un filtre les adresses mac par défaut, l’autre non.

  3. Yan dit :

    Pour l’antispam neuf/sfr, notez que s’il est activé dans le webmail il l’est en fait sur le serveur => utilisé avec un client dédié (Thunderbird par exemple) en SMTP/IMAP|POP, l’antispam est actif.

    D’accord par contre sur l’absence de SSL, qui fait que le compte du FAI n’est configuré que sur une machine ne bougeant pas de la maison, afin de limiter les risques de se faire piquer le mdp (celui‐ci ne circulant que sur l’intranet du FAI, donc sous sa stricte responsabilité en cas d’usurpation après sniffage des authentifiants en clair).

    De fait, j’utilise essentiellement mon compte gmail, configurable à partir du webmail en tout HTTPS et pour du SMTPS et de l’IMAPS (cryptés SSL).

    Par ailleurs, je trouve votre notation trop permissive: Pour sfr/neuf, il est certes bien d’avoir du HTTPS pour le compte client… mais vu que l’accès initial est donné sur l’adresse SFR par défaut (=> passe en clair entre le serveur mail et le client), ceci ruine toute la sécurité du compte client dès le départ!

    En sécurité, un seul maillon faible sur la chaine suffit à tout détruire et votre notation ne mets pas en valeur ce fait en dissociant trop des éléments en réalité dépendants niveau sécurité.

    Ce manque flagrant de considération pour la plus élementaire sécurité de la part des FAI promets, avec l’hadopisation des masses qui va commençer.

  4. Ghusse dit :

    Merci pour ce commentaire intéressant.

    Concernant l’anti-spam, je suis d’accord et c’est d’ailleurs ce que je préconise : utiliser un logiciel tel que Thunderbird ou un client qui sait détecter les courriers indésirables. Dans tous les cas, cela demande une manipulation supplémentaire de la part de l’utilisateur.

    À propos de la notation trop permissive, je m’attendais plutôt à la remarque inverse avec une note max de 2050. Je suis d’accord que la sécurité de la chaîne dépend du maillon le plus faible, et c’était d’ailleurs tout l’objet de ce test, de montrer que les services de nos FAI sont perfectibles et qu’ils mettent en danger nos données personnelles.

    Je suis également d’accord pour dire qu’il manque un critère dans ce test, qui porterait sur la manière dont est fourni le mot de passe client. Critère sur 2 ou 3 points. Étant donné ce que je connais des autres FAI, cela ne changerait cependant pas le résultat final de ce comparatif.

  5. richard dit :

    Bravo pour cette excellente enquête.

    Un grand merci aux FAI pour leur travail en matière de sécurité ;-(

  6. jmdesp dit :

    Bon dossier, juste une remarque sur le zéro pour Free sur la sécurisation du réseau Wifi par défaut. Je crois qu’on est obligé de sécuriser le Wifi chez Free ? On peut mettre du WEP, mais *si* on lit les explications, le WPA/TKIP+AES est recommandé. Peut‐être que ce qu’ils devraient faire est inverser la liste pour mettre le plus sûr en premier et le sélectionner par défaut. Un truc qui quand même pas si mal, c’est le bouton pour générer automatiquement une clé WiFi aléatoire.

    Sur l’absence de SSL pour l’accès à la console et au mail, c’est clair, ils méritent un zéro pointé, peut‐être même une note négative :-[ Toute occasion de rappeler leur défaillance sur ce point est bonne à prendre.

  7. Duncane dit :

    Je tiens à préciser que contrairement à ce qui est indiqué dans le comparatif, Free passe automatiquement tout les mails entrant à travers leur plateforme «maison» de MX Proxy qui fait anti‐spam/anti‐virus.

    La plateforme a initialement été ouverte en beta test pour les utilisateur Dedibox avant d’être mise en place sur l’ensemble du trafic mail @free.fr.

    Plus d’info sur la techno : http://www.mxproxy.com/ .

    Free mérite donc à mon sens +3 points sur les mails pour l’anti-spam/anti-virus qui sont présents et actifs par défaut.

    Cordialement,

  8. clawfire dit :

    Je me permet d’ajouter qu’il est faux de dire que SFR ne propose pas de chiffrage SSL pour son pop et imap, depuis l’acquisition de Club Internet par neuf il est en effet possible de se connecter avec une connection ssl a sa boite mail en pop/smtp, pour l’imap je n’ai pas vérifié cependant …

    Pour ce qui est du wifi de free desactivé par defaut, j’ai envie de dire heuresement ! avec leur plateforme de configuration en ligne à la con, il est impossible de rentrer une clé wpa2 AES ne contenant autrechose que des caractere alphanumérique. Or l’intéret de ce type de clé, outre sa taille de 63 caractere, et de pouvoir y inclure tout type de symbole, rendant son cassage par bruteforce quasi impossible. pour ceux que ca interesse, en fait leur serveur web fait un htmlentities() sur les données du formulaire mais ne decrypte pas les données avant de les passer a la box, tout caractere non alphanumérique est donc remplacé par son equivalent en entities …

  9. Ghusse dit :

    @jmdesp C’est vrai que j’ai été dur sur ce point avec free, vu que le wifi est désactivé par défaut. Il est vrai qu’ils n’autorisent pas de wifi ouvert, mais permettent de chiffrer en WEP et c’est à l’utilisateur de choisir une clé.
    Ce que je voulais souligner, c’est que pour l’utilisateur pas très au fait, la sécurisation du wifi demande un travail et une documentation.
    Ils ont eu les points en ce qui concerne justement cette documentation car il est bien expliqué que le WPA est plus sûr.

    @Duncane Je me suis basé sur l’option désactivée par défaut de filtre des spam, laquelle est accessible depuis la console d’administration. Merci pour les précisions sur l’anti-spam de toute façons mis en place en amont de leur part, qui filtre en effet une bonne partie des indésirables.

    @clawfire Je n’ai trouvé aucune documentation sur internet sur l’accessibilité de POP ni IMAP en SSL chez @srf.fr, d’où mon zéro. Je n’ai pas trouvé de doc sur le site de sfr non plus : bref, il faut tester mais comme je n’ai pas de compte chez eux, ce test m’est impossible. J’aimerai toutefois avoir la confirmation que cet accès est bien disponible.

  10. JOJO dit :

    Intéressant mais bon…
    Premièrement ce sont des fournisseurs d’accès pas des fournisseurs de services sécurisé, comme le suggérait le premier commentaire, la sécurité c’est à nous de la fournir.
    La sécurité est un domaine ou il faut tout de même un certain niveau d’expertise.
    Qu’est ce qui est plus dangereux, une personne qui accède a votre espace perso de votre fournisseur, ou une personne qui accède à votre pc ?
    Ce type de comparaison est un peu ambigüe, serai‐je plus en sécurité chez orange SFR ou Free ? Réponse: Aucun
    Un fournisseur d’accès n’est pas obliger de vous fournir une interface sécurisé pour vos mail car ce n’est pas à mon sens pas son job, c’est un plus.
    Le plus important quand on sélectionne un providers n’est pas le catalogue de services disponibles mais bien sa disponibilité et la qualité de ses réseaux.

  11. Gummy dit :

    3/3 pour le mot de passe par défaut pour free ??

    Petite anecdote : J’ai pris il y a quelques années un appart. Je m’abonne à free, et je recois donc mon mot de passe par défaut. Je le change, le temps passe, je déménage.
    Un ami reprend mon appart. Il s’abonne à son tour à Free, et reçoit son mot de passe.
    Le même que celui que j’avais reçu.
    Super sécurisé. En effet, ça vaut 3/3.

  12. Ghusse dit :

    @JOJO Certains points ne sont pas sous notre contrôle, pour prendre l’exemple des mail : si le FAI ne fournit pas un accès SSL on ne peut pas l’inventer. Or aujourd’hui, dès lors qu’on utilise un réseau sans fil ouvert (dans un restaurant, café, hotel) le fait d’utiliser l’adresse fournie par le FAI nous oblige à faire transiter en clair notre mot de passe ainsi que nos mails. Ce sont dans ce cas des informations très très très très facilement récupérables.

    @Gummy Intéressant comme anecdote ! Je n’étais pas au courant, mais il faut avouer que c’est mieux que admin/admin… As‐tu une référence sur ce point ?
    Évidemment, je ne suis pas allé auditer en interne tous les FAI pour fournir ce comparatif, je me suis basé sur mon expérience, la consultation de la documentation sur le net et le questionnement de quelques utilisateurs (que je remercie). J’ai pu louper des erreurs comme celle‐ci.

  13. CastorJunior dit :

    @JOJO : oui mais Free pourrait passer son interface de gestion en HTTPS. On peut tout faire avec, c’est risqué de laisser ça ouvert à n’importe qui…Qu’il n’y ait pas de SSL pour les mails à la limite, mais pour la gestion de tous leurs services…
    Pour le reste, ça demande une bonne connaissance de la sécurité informatique que n’ont pas de nombreuses personnes.
    Pour le mot de passe stocké et envoyé en clair, c’est clair que c’est dangereux s’il y avait une attaque de la base de stockage mais de toute façon, si on attaque votre email, qu’il y ait un lien avec un mdp aléatoire ou un mdp en clair, le résultat est le même. Le plus sûr serait de renvoyer le mdp à l’adresse courrier mais bonjour le délai.

  14. JOJO dit :

    Aujourd’hui tous les fournisseurs offre le wifi un choix de cryptage suffisant, à chacun de bien choisir.
    Aujourd’hui il existe des hébergeurs de messagerie sécurisé gratuit.
    Ce comparatif encore une fois peut être mal interprété.
    Aucun fournisseur ne vous offrira de la sécurité, il ne suffit pas d’avoir une serrure à une porte pour s’imaginer que ce qu’elle est inviolable (demandez au pére Noêl).
    Concernant la messagerie:
    Existe‐t‐il un provider qui nous empêche de nous connecter à toute autre messagerie gratuite et très sécurisée? Réponse non
    Si le choix n’existait pas je serais d’accord avec vous, mais nous avons le choix il ne faut pas que les providers deviennent comme les grosses enseignes de supermarché offrant tout et n’importe quoi.
    Chacun possède une serrure mais les plus paranos ont la plus cher et la plus sophistiqué parce qu’ils sont sensible à leur sécurité.
    La sécurité c’est avant tout personnel et le provider doit lui me fournir un réseau de qualité.
    Bientôt il faudra mettre des airbags sur les rebords d’autoroute.
    Pour la gestion en htpps du portail free.
    Pour que l’on puisse récupérer ton mot de passe (autre que les voies impénétrable ou d’une longue jumelle) il faudrait que l’on te snif, soit tu à un réseau avec plusieurs pc et… Bingo l’un est déjà piraté, soit ton réseaux une machine externe est dans ton réseau local (wifi ou câblé) et là bingo tu a besoin de ou d’aide sur comment bien sécurisé ton wifi ou tu arrête de partager ton réseaux avec tes voisins ou invités, ou … tu as une machine qui moucharde tout.
    Dans chacun de ses cas ton provider ne peut rien.
    Ton provider te fournis tout à toi de choisir.
    Maintenant si il faut comparer les providers comparons‐les sur des indicateurs de performance.

  15. stroumpf dit :

    a‐t‐on des infos sur ce qui se fait à l’étranger ?

  16. Misterdam dit :

    Juste pour info concernant la sécurité de l’accès à la console de gestion pour les abonnés Free : l’accès n’est peut‐être pas sécurisée mais il est impossible de changer les paramètres les plus importants si l’abonné ne se connecte pas de chez lui (repérage en fonction de l’adresse IP)…

    Certains diront qu’ils peuvent avoir accès aux infos et ensuite se connecter depuis la box concernée.… mais un 06 pour l’authentification du compte client est peut‐être exagéré

  17. seb dit :

    Sachant que Orange, Neuf/SFR et Free filtrent par défaut les SPAM au niveau du serveur SMTP. Que Neuf/SFR, Orange (service payant) filtrent aussi les virus au niveau du serveur SMTP… je me pose des questions sur le protocole de test de la messagerie…

  18. Jc dit :

    Vous dites : «Tout d’abord parce qu’elles sont un moyen de vous garder captifs : si vous changez de FAI, vous devez aussi changer d’adresse, communiquer à tous vos contacts votre nouvelle adresse et espérer n’avoir oublié personne : très fastidieux.»

    Ceci est faux pour le FAI Free, qui ne détruit jamais les boîtes mail après résiliation d’un compte d’abonné. Les adresses sont permanentes chez Free, que l’on soit (ex-)client ou non.

  19. nef dit :

    Je suis un peu dubitatif devant cette recherche

    Concernant le maintien des boites mails quant on quitte un FAI, il y a deux solutions pour les garder : 1, demander au service client pour la garder, 2, s’ils ne veulent pas, demander à passer son abonnement en accés RTC gratuit. C’est testé et éprouvé chez Orange et Neuf…

    Concernant la lutte antispam/antivirus, quels tests ont été effectués? parce que ca m’etonnerait fortement que les FAI n’aient aucun moyen de lutte en place pour protéger leurs plateformes… pas de blacklists? pas de regle contre le spam? pas d’analyse antispam? pas d’antivirus?
    Que ce soit pour leur image de marque vis‐a‐vis des autres plateformes de mail comme pour economiser sur les flux et le stockage, il me parait aberrant qu’il n’y ait rien. prend un des virus les + prolifique du moment, envoi le par mail et verifie qu’il arrive REELEMENT. je pense qu’on aura des surprises, car sur plusieurs tests, pas sur qu’on les voit tous arriver! pareil pour le spam
    Ca n’empeche qu’il est evident qu’un bon antivirus ET un bon antispam chez soi sont nécessaires. pour l’antivirus, car chaque antivirus a ses failles. pour l’antispam, ils ne sont jamais aussi efficaces que lorsqu’ils sont personnalisés. Un antispam pour une plateforme mail ne peut faire aussi bien que pour un utilisateur
    Pour finir sur le sujet des plateformes mails, il faut savoir que ce genre de plateforme représente probablement des dizaines voir des centaines de serveurs. ce sont d’enormes boites noires… je suis donc vraiment sceptique sur les resultats

    reste qu’effectivement, le gros manque est l’accés sécurisé, que ce soit le pops, l’imaps ou le https. A l’heure ou les acces WIFI domestiques sont facilement hackés on peut admettre que ce serait bienvenu.

  20. Khisanth dit :

    Petites précisions pour Neuf / SFR (je ne connais pas les autres) :

    L’accès au réseau WiFi peut être filtré pour n’autoriser que certaines adresses MAC. Certes, cela demande 23 manips et connaissances (comprendre à quoi correspond l’adresse MAC, l’intérêt de la manip), mais c’est — il me semble — un bon outil de sécurisation de son réseau familial.

  21. Chris dit :

    j’adore le «Authentification HTTPS à l’interface d’administration» can on sait qu’aucun router (les box sont des routers qui gerent l’ADSL et la VOIP) n’ont pas de ssl pour leur interface de configuration.

    l’article manque aussi le point que Free propose un login et mot de passe différent de celui du compte utilisateur pour le mail principal. Alors que SFR utilise le meme combo login+password pour la partie gestion de compte et le mail principal. En gros le mail principal et son mot de passe = votre login pour l’interface de gestion… et ils n’offrent pas de TLS/SSL pour les comptes POP…

  22. Yan dit :

    @Khisanth:
    Le filtrage par adresse MAC n’est pas une sécurité: Si qqun a reussi à trouver la clef réseau (ou pire, s’il n’y a pas de cryptage activé), ce qui avec du wep ou une passphrase WPA(2) sortie tout droit d’un dico (même le mongol ancien, sisi!) peut aller très vite (qq dizaines de mn avec une bonne carte graphique ou un service dédié en cloud)… c’est pas l’adresse MAC qui va le bloquer: Suffit de sniffer le traffic d’une station associée (MAC et IP pour en déduire une plage d’IP valides probable)… d’usurper sa MAC et de configurer une IP non utilisée en dur.

    Sous linux, la commande ifconfig fait ça en moins de temps qu’il ne faut pour l’expliquer…

    => Avec un bon cryptage (WPA‐AES: eviter la version TKIP, ou WPA2) et une passphrase longue et pas sortie de combinaisons de mots d’un dico, rajouter le filtrage d’adresse MAC ne sert à rien! Sauf à vouloir donner 10 secondes de travail en plus (sur qq dizaines de minutes!) a celui qui voudrait pêter ton wifi…

    Le filtrage d’adresse MAC n’est en général utile que pour interdire certaines plages horaires d’accès internet a un PC de la maison, genre celui du gamin, si celui‐ci n’est pas encore trop astucieux!

    Sinon, pour ceux qui désirent pouvoir administrer une box à distance en sécurité… il y a une parade aux pages de config non HTTPS si on a localement un PC sur lequel tourne un serveur SSH (PC Linux… ou XP avec cygwin et openssh d’installé/configuré): Car au delà de pouvoir donner une console texte distante, celui‐ci intègre en effet un proxy socks qu’il est possible d’utiliser (si la config du serveur ne l’interdit pas) avec une option dans le client (ssh en ligne de commande avec l’option -D , putty sous windows dans le coin du clicodrome prévu à cet effet…) précisant un numéro de port P.

    Dès lors, si une telle connection est établie de l’extérieur sur un PC du réseau interne derrière la box, modifier temporairement la config du navigateur distant pour y préciser l’utilisation d’un proxy socks sur localhost:P et on surfe à distance comme si on était sur le réseau derrière la box depuis le PC faisant tourner le serveur SSH.

    Ainsi, point besoin d’autoriser l’administration distante de la box pour y acceder de manière sûre, les données étant cryptées par SSH qui fait ça très bien.

    Attention toutefois à la configuration de SSH, qui doit respecter aussi les règles essentielles de sécurité… on trouve de la documentation sur le web sans peine, a appliquer avant d’ouvrir l’accès.

  23. lol dit :

    Pour la sécurité de l’accès aux e‐mails orange, il y a https://webmailssl.orange.fr

  24. VincentAlex dit :

    Précision chez SFR, concernant l’authentification à l’interface d’administration de la neufbox. Même si elle n’est pas en HTTPS, ni l’identifiant, ni le mot de passe ne sont émis en clair car ils sont hachés pas un javascript avant d’être transmis à la neufbox.

  25. ZigZoug dit :

    Etant abonné Free, je me permet d’apporter quelques précisions concernant ce FAI bien moins mauvais en terme de sécurité que vous le prétendez.

    Je suis tout à fait d’accord pour le fait que Free DEVRAIT utiliser HTTPS pour sécuriser son interface d’administration.

    Veuillez noter cependant que les actions les plus dangereuses (qui pourrait causer surfacturation) ne sont accessibles que depuis la connexion correspondant à l’abonnement. C’est une maigre sécurité, mais elle est à signaler.
    Toute la configuration passant par cette interface, la sécurité est d’autant plus importante certes, mais Free s’en trouve pénalisé sur chaque option ce qui n’est pas très objectif !

    De plus, la console de gestion de Free est une solution très nettement supérieure en terme de sécurité vis à vis des solutions concurrentes car elle est évolutive, propose de la documentation, des tas d’options visuelles (concernant les options de téléphonie par exemple) et surtout elle est chez Free et donc sauvegardée. Un Reset ou même un changement de votre modem ne vous fait pas tout perdre, ce qui est le cas chez les autres et auquel vous attribuez des points !!
    Vous attribuez également des points au fait que l’accès soit local, ce qui n’est pas plus sécurisé si l’on utilise HTTPS mais ne propose aucune garantie de sauvegarde par ailleurs.

    Concernant le Wifi, même sans lire la doc, il est écrit en toutes lettres dans l’interface d’utiliser le WPA (TKIP+AES) et si votre matériel ne supporte pas WPA (AES/CCMP) etc… jusqu’à WEP dans le pire des cas. Aucun autre fournisseur ne vous fournis ces options et informations.
    Vous pouvez choisir la clé mais vous êtes incité à en choisir une longue et un bouton GENERER vous permet d’en créer une très sécurisée.
    Il est également bizarre de considérer que le wifi désactivé n’est pas «sécurisé» par défaut. Il me semble qu’il n’existe pas meilleure sécurité…

    La gestion du mot de passe de la console est effectivement à améliorer, mais la possibilité de retrouver son mot de passe Wifi ensuite ou sur la TV est très pratique (le but étant de sécuriser son réseau de l’extérieur mais pas d’être inaccessible pour vous).
    Vous attribuez 0 pour la procédure de changement de mot de passe Wifi alors qu’il est possible de le retrouver et de le changer dans la console de gestion.

    De la même façon qu’orange, free vous propose une option «sécurité» avec McAfee pour vos ordinateurs.

    La consultation du répondeur à distance ne fonctionne pas si vous n’avez pas modifié votre mot de passe au préalable.

    Globalement, je trouve votre article intéressant et il est très important de souligner les lacunes de nos fournisseurs en particulier l’accès aux emails et à la console de gestion.
    Cependant je suis déçu car il est trop incomplet pour être significatif.

  26. goundoulf dit :

    Merci pour cet article qui est intéressant, mais reste assez superficiel, pour moi c’est comme comparer les caractéristiques des appareils photos sur un catalogue…

    Au niveau de la sécurité wifi, le simple fait de passer en WPA n’assure pas une sécurité absolue, car si l’utilisateur met «bonjour» comme clé ça ne va pas resister longtemps aux attaques…

    Il n’y a qu’une seule façon de sécuriser son wifi, et c’est le chiffrement (couplé a une bonne clé évidemment) : il faut choisir WPA/WPA2 en CCMP/AES, et DESACTIVER le TKIP. Il ne suffit pas de ne pas choisir TKIP, il faut aussi le désactiver, car il suffit qu’une seule station utilise TKIP pour que tout le groupe l’utilise aussi, et soit donc vulnérable…

    Pour la clé, ne pas hésiter à en prendre une très longue, de toutes façons une fois qu’elle est enregistrée sur l’ordi, on n’a plus à la retaper. Donc au moins une vingtaine de caractères. Et mélanger les lettres, chiffres, et caractères spéciaux.

    Tout le reste c’est du pipo : cacher le SSID, et filtrage par adresse MAC. Il suffit qu’il y ait du traffic entre une station et le point d’accès pour retrouver ces informations très rapidement.

    Et de toutes façons, la plupart des utilisateurs ne sait même pas qu’il y a une interface de configuration pour leur box ADSL, qui du coup reste dans la configuration par défaut. D’où l’importance de paramètres par défaut bien choisis, pour faire un compromis entre facilité d’utilisation et sécurité pour l’utilisateur, ce qui est un équilibre pas évident… Un FAI ne peut pas se permettre par exemple d’envoyer toutes ses box avec chiffrement wifi en WPA CCMP/AES avec TKIP désactivé par défaut, car dans ce cas le Nabaztag de Madame Michu ne pourra pas se connecter, peut‐être son imprimante wifi non plus, voire même son ordi portable. Un FAI ne maîtrise ni ne connait l’ensemble des périphériques wifi chez tous ses clients… Et est‐ce que Madame Michu va être contente de recopier une clé wifi de 20 caractères aléatoires, même si on lui dit que c’est pour sa sécurité ?

    PS : en français on dit «chiffrement» et non pas «cryptage» 🙂

  27. goundoulf dit :

    Et pour la sécurité wifi, un blog de référence en français : http://sid.rstack.org/blog/

    L’auteur publie des articles très complets, bien fouillés, et sans langue de bois 🙂

  28. Ghusse dit :

    @ZigZoug Je tiens à signaler que Free ne perd qu’un seul point en ce qui concerne le wifi, sur les 6 possibles (donc sa note est de 56). Il a deux points pour le wifi désactivé par défaut, deux points pour les possibilités de sécurisation et un point (sur un possible) pour la documentation effectivement bien fournie.
    En contrepartie, un wifi sécurisé par défaut ne rapporte qu’un seul point à comparer aux deux points d’un wifi désactivé par défaut…

    Il n’y a pas de 0 sur la procédure pour retrouver son mot de passe Wifi mais pour celle pour le mot de passe permettant d’accéder à la console.

    @goundoulf En effet, ce comparatif n’a pas vocation à tester la sécurité de votre réseau domestique, vos mails ou autre. Le but est de montrer les lacunes de nos FAI en terme de sécurité par défaut, ou d’outils permettant d’assurer la sécurité de nos données (qui des fois sont absents et pour lesquels on ne peut rien faire).

    @VincentAlex Ça revient presque au même, car il est possible de sniffer et de rejouer l’envoi du MD5 pour accéder au compte client.

    @lol Merci pour le lien, intéressant de savoir que ça existe ! Je ne l’avais pas trouvé sur le net !

  29. goundoulf dit :

    @Ghusse : pour moi la sécurité de la box ADSL est primordiale

    Un petit exemple tout simple : si tu peux modifier les DNS dans la box, tu peux contrôler toutes les communications d’un abonné, et à partir de là les possibilités sont infinies… Par exemple, alors qu’il croit être sur le site de sa banque, il est sur un site malicieux. Et les conséquences seront désastreuses.

    Donc tout ce qui permet de prendre le contrôle de la box d’un abonné est très dangereux, et il y a plus d’un manière d’y parvenir : XSS, CSRF, exploitation d’une faille dans l’un des logiciels utilisés par la box, fuzzing du wifi ou bluetooth, cassage de la clé wifi,…

    Concernant l’authentification sur l’interface d’administration de la neufbox, la fonction de hachage utilisée n’est pas MD5 mais SHA256 (MD5 est mort depuis un petit moment déjà), et la méthode utilisée est identique à celle du protocole CHAP, donc le rejeu n’est pas possible. Cela ne protège pas le compte client, mais l’interface d’administration de la neufbox.

  30. Ghusse dit :

    @goundoulf Je suis d’accord pour dire que la sécurité de l’interface d’admin de la box est importante, et visiblement pour la neufbox ils se sont posés des questions.
    Reste un soucis, tant que tout passe en clair entre la box et celui qui s’y connecte, il est possible d’intercepter les cookies d’authentification (une fois la personne connectée), et de les rejouer.
    Si neuf a aussi pensé à ça en faisant du chap sur chaque requête client, on peut dire qu’ils ont bien réfléchi à leur affaire, mais aussi qu’ils ont réinventé la roue ce qui est toujours dommageable en termes de sécurité (généricité, possible fausse impression de sécurité alors qu’une faille peut exister).
    Et quid d’un navigateur avec javascript désactivé ?

    Tu as l’air de bien connaitre comment ça se passe pour la neufbox, tu as participé à son élaboration ?

  31. Oliv dit :

    Je ne suis pas d’accord sur la captation prétendue quand on utilise l’adresse email proposée par son FAI. J’ai quitté Free il y a bientôt 10 ans et j’utilise toujours mon adresse free.fr en POP et Webmail.

    100% d’accord sur le problème de l’absence de sécurité de l’accès Web. Il vaut mieux ne pas consulter ses mails sur un réseau Wifi auquel on ne fait pas confiance, ce qui est une grosse limitation.

  32. Expert comptable dit :

    0.5 + 0.5 + 0.5 + 0.5 + 1 = 4 Bravo !
    2 + 1 = 2 Bravo !
    1 + 9 + 3 + 1 = 15 Bravo !

    Dommage que cela impacte 2 classements…

  33. Ghusse dit :

    Merci, en effet, je n’ai pas assez vérifié ma recopie des résultats.

    Pour l’avant dernier, pas d’erreur d’addition puisque c’est une note sur 1, je ne peux pas mettre deux. Donc erreur de recopie.

    Pour le dernier idem : il manquait un «1» dans une case (la première).

    En tout cas, c’est corrigé. Seul orange perd un point en passant à 1850 et reste à la deuxième place.

  34. goundoulf dit :

    Non, mais je suis sur le forum http://www.neufbox4.org dont le but est de construire un firmware alternatif pour la neufbox. En gros, on la bidouille, et on fait ce qu’on veut avec 🙂

    La sécurité informatique est un domaine qui m’intéresse beaucoup, donc j’ai un peu fouillé la neufbox pour voir comment ils avaient fait.

    Pour l’authentification sur l’interface d’administration de la neufbox, il y a 4 possibilités :
    — Désactivé
    — Mot de passe
    — Bouton service
    — Mot de passe et bouton service

    Par défaut, c’est «Mot de passe et bouton service», ce qui permet soit de s’authentifier de façon classique avec identifiant et mot de passe, soit en appuyant 5 secondes sur le bouton service de la neufbox (bouton multicolore en façade) puis en cliquant sur «Continuer» sur la page d’accueil de l’interface d’administration.

    Appuyer sur ce bouton physiquement n’est pas possible pour un attaquant, sinon ça veut dire qu’il est chez vous, et vous avez d’autres problèmes plus urgents 🙂

    Et ça permet à Mme Michu de s’authentifier très simplement sans identifiant ni mot de passe sur l’interface d’administration. Et pour ceux chez qui la box n’est pas accessible simplement, ou alors dans une autre pièce, il est toujours possible de s’authentifier par identifiant et mot de passe.

  35. maxime dit :

    Très bon comparatif, bravo.

    Pour info j’avais signalé l’incroyablement mauvaise sécurité de leur accès web à Free, et ce que cela impliquait, sur leur newsgroup. On m’a répondu que l’accès à cette interface de gestion ne devait être fait que depuis sa freebox, en filaire … Je vous laisse méditer cette réponse (sachant que non seulement l’accès depuis n’importe où est possible, mais qu’en plus c’est utilisé pour des fonctions telles que l’enregistrement à distance).

    Y a encore du progrès à faire …

  36. Gazza dit :

    Hello,

    Je m’attendais à plus de tests et moins de suppositions et d’experiences personnelles pour un article aussi sérieux. Mais c’est quand même un gros boulot que tu as fait. Cela aurai été mieux de le faire à plusieurs pour recouper les infos.

  37. corrector dit :

    en fait leur serveur web fait un htmlentities() sur les données du formulaire mais ne decrypte pas les données avant de les passer a la box, tout caractere non alphanumérique est donc remplacé par son equivalent en entities

    Ah c’était donc ça… En plus, le bouton «générer» génère des caractères quelconques, donc ça ne marche pas! Mais avant, je vous garanti que ça marchait. Je ne change pas la PSK souvent (quasiment jamais en fait), donc je ne sais pas quand ça a été cassé.

    De toutes façons, on peut arriver à une entropie bien suffisante avec [[:alnum:]]* (Mais le fait que le bouton «générer» soit inutilisable est navrant.)

    Par contre, la clef est visible dans l’interface TV (Paramètres -> Réseau -> Wifi) sans aucun code. Il suffit d’avoir la télécommande et que la TV soit allumée (si vous habitez au RdC, danger!). Il suffit de quelques secondes pour accéder à cette information; c’est très mauvais si la clef est simple. Mais de longues clefs aléatoires sont passablement difficiles à recopier, surtout avec des homographes (I/l). Mais avec un APN, c’est possible de voler la clef rapidement!

    Donc je considère que c’est une faiblesse potentielle.

    En dehors de ça, je considère que le Wifi en WPA-PSK/CCMP(AES) avec PSK complètement aléatoire est très sûr. Beaucoup plus que le PC typique et tous ses logiciels clients complexes.

  38. corrector dit :

    On m’a répondu que l’accès à cette interface de gestion ne devait être fait que depuis sa freebox, en filaire …

    C’est un corps Free qui a sorti cette débilité?

    1. Connecté en filaire ou sur le Wifi *personnel* (s’il est paramétré correctement, pas en WEP, pas avec un mot du dico comme clef…), c’est aussi sûr.
    2. L’idée même qu’un Webmail est prévu pour être utilisé *uniquement* de chez soi est grotesque. Le mot de passe du Webmail est le même que l’interface de gestion. Les différents Webmails (IMP, Horde, RoundCube, Zimbra) ont toujours été en http.
    3. L’interface de gestion permet d’écouter les messages du répondeur téléphonique sans être chez soi. (Chez soi on peut avoir cette information plus facilement sur la TV.)

    Ce que j’ai lu des corps Free (de mémoire, pas au mot près) : «l’usage du SSL ne se justifie pas pour ce type d’usage (particuliers)».

  39. corrector dit :

    Il vaut mieux ne pas consulter ses mails sur un réseau Wifi auquel on ne fait pas confiance, ce qui est une grosse limitation.

    Il y a aussi le fait que le «réseau communautaire» FreeWifi est un Wifi ouvert, donc même si l’AP auquel on se connecte est une vraie Freebox de chez Freebox (ce qui déjà est invérifiable quand on se connecte), n’importe qui à portée de signal peut écouter tout le trafic IP.

    Ce qui inclus les mots de passe en clair si on consulte son mail Free par Webmail ou IMAP, si on accède à la console de gestion…

    Le problème est le même avec tous les Wifi ouverts, évidemment. Le fait de ne pas avoir d’interface SSL pour les mails et la console chez Free aggrave les choses et fait une combinaison assez effarante.

  40. corrector dit :

    Par exemple, alors qu’il croit être sur le site de sa banque, il est sur un site malicieux. Et les conséquences seront désastreuses.

    Tu connais un site Web d’une banque dont la partie accès au compte n’est pas en https?

    Ou bien, tu veux dire que beaucoup d’utilisateurs ne s’inquiéteront pas si un jour le site est en http?

    C’est un problème entre la chaise et le clavier. En admettant qu’on ne peut pas intervenir entre la chaise et le clavier, il faudrait un protocole par lequel le site de la banque indique qu’il n’existe qu’en https (la partie http sert juste à rediriger vers le https). Le brouteur mémoriserait cela et ne se connecterait qu’en https.

    En fait, je pense que c’est un tort d’utiliser le même brouteur qui sert à fouiller les poubelles du Web pour se connecter à sa banque. Il faudrait un navigateur spécial, qui peut être le même logiciel, mais configuré pour se connecter uniquement en https à quelques sites de confiance. Avec un compte utilisateur différent pour isoler le plus complètement possible.

    Le grand scandale du Web, c’est la non‐isolation par défaut des sites de confiance. Les applications Web c’est du bricolage.

  41. corrector dit :

    Reste un soucis, tant que tout passe en clair entre la box et celui qui s’y connecte, il est possible d’intercepter les cookies d’authentification (une fois la personne connectée), et de les rejouer.
    Si neuf a aussi pensé à ça en faisant du chap sur chaque requête client, on peut dire qu’ils ont bien réfléchi à leur affaire, mais aussi qu’ils ont réinventé la roue ce qui est toujours dommageable en termes de sécurité (généricité, possible fausse impression de sécurité alors qu’une faille peut exister).
    Et quid d’un navigateur avec javascript désactivé ?

    Et si la personne a une possibilité d’écoute, peut‐être est‐elle sur le LAN, et alors elle a aussi une possibilité de MITM (par ARP‐spoofing) .

    Et alors l’éventuel simili‐CHAP en Javascript ne sert plus à rien!

    Seule vraie solution, SSL (uniquement à ce problème; SSL ne va pas résoudre magiquement les autres problèmes de sécurité — ça va sans dire, mais ça mieux en le rappelant).

  42. corrector dit :

    L’accès au réseau WiFi peut être filtré pour n’autoriser que certaines adresses MAC. Certes, cela demande 23 manips et connaissances (comprendre à quoi correspond l’adresse MAC, l’intérêt de la manip), mais c’est — il me semble — un *bon outil de sécurisation* de son réseau familial.

    C’est justement à cause de ce genre de remarques (fausses) que je félicite Free d’être un des rares FAI à ne *PAS* proposer le filtrage par adresse MAC.

    Avec un public de béotiens (et on ne leur demande pas de devenir experts informatique), il n’est pas correct de proposer des «sécurités» inutiles qui *risquent* de faire illusion.

    Par ailleurs, j’ai lu (il y a environ 2 ans) dans un de ces magasines informatiques moisi (tout juste bon à comparer les cartes graphiques) que la «triple‐sécurisation» (masquage du SSID + WEP + filtrage par MAC) était *largement* suffisant pour un particulier (sic lol). Il y a beaucoup de personnes, qui ne comprenant RIEN aux réseaux, peuvent donner de mauvais conseils.

    Le fait d’additionner les pseudo‐sécurités peut donner l’illusion de faire de la «défense en profondeur», alors qu’on empile des tours de Pise. (La «défense en profondeur» suppose *plusieurs* protections *solides*.)

    Au contraire, le fait qu’ebtables et iptables permettent de filtrer par MAC ne me gêne absolument pas, car ces outils s’adressent à des utilisateurs qui, sans être forcément experts réseau, sont censés comprendre suffisamment ce qu’ils font pour savoir ce que garanti le filtrage (je sais qu’en pratique ce n’est pas toujours le cas). (Elle est lourde cette dernière phrase j’y crois pas.)

  43. corrector dit :

    Veuillez noter cependant que les actions les plus dangereuses (qui pourrait causer surfacturation) ne sont accessibles que depuis la connexion correspondant à l’abonnement.

    Tu parles de la souscription d’options supplémentaires là?

    En tous cas, les informations bancaire sont accessibles. En principes, elles ne servent à rien sans une autorisation de prélèvement signée… en principe.

  44. corrector dit :

    l’article manque aussi le point que Free propose un login et mot de passe différent de celui du compte utilisateur pour le mail principal. Alors que SFR utilise le meme combo login+password pour la partie gestion de compte et le mail principal. En gros le mail principal et son mot de passe = votre login pour l’interface de gestion…

    Attention, chez Free, le fait de souscrire un contrat ADSL ne créé pas automatiquement de compte email. Pour souscrire un accès Freebox (ADSL), il faut *déjà* avoir une adresse email.

    Par «mail principal» tu veux sans doutes parler d’un email @free créé pour pouvoir souscrire un accès Freebox. Si on a pas d’adresse email, il faut créer un compte Free Accès Gratuit (avant de créer un compte Freebox). C’est un contrat *indépendant* du compte Freebox, donc avec des identifiants différents.

    Un freenaute n’a pas forcément de «mail principal», mais juste un email de contact (qui n’a pas besoin d’être chez Free).

    On peut se faire envoyer le mot de passe du compte ADSL sur l’email de contact. On peut aussi se faire envoyer les mots de passe de tous les comptes email secondaire du compte ADSL. Donc si le mot de passe du mail de contact est compromis, tout est compromis.

    Si on a son email de contact chez Free, si par exemple on consulte cette BAL par Webmail sur un Wifi ouvert (comme par exemple le FreeWifi), alors n’importe qui à portée de radio peut récupérer passivement (sans risque de se faire repérer) le mot de passe. Alors, si l’espion sait que c’est l’email de contact d’un compte Freebox donné, il peut se faire envoyer le mot de passe Freebox sur l’email de contact. Après, il peut effacer ce email, donc il récupère le mot de passe Freebox *sans que l’abonné le sache* (sauf si l’abonné relève sa BAL exactement au moment où l’espion opère).

    Bon, il faut reconnaitre que ça en fait des «si». Mais la sécurité, c’est justement de s’arranger pour éviter les problèmes, même quand les «si» deviennent vrais.

  45. corrector dit :

    Donc tout ce qui permet de prendre le contrôle de la box d’un abonné est très dangereux, et il y a plus d’un manière d’y parvenir : XSS, CSRF,

    Il faut savoir que la console de gestion des comptes Freebox ADSL et email Free utilise des URL secrètes, comme :
    http://adsl.free.fr/compte/console.pl?id=578…&idt=401ea6f…

    Avantage : on ne se repose pas sur un cookie magique, donc pour le «confused deputy» tu repasseras. C’est plutôt rassurant. Le seul risque serait que quelqu’un injecte du contenu dans la console de gestion elle‐même (et pas ailleurs sur le site).

    Problème : que l’URL *est* le mot de passe (la clef temporaire, plus exactement, mais «mot de passe» c’est plus dramatique ;), ce qui est *inhabituel*; de temps en temps, un freenaute qui ne connait pas ce système poste cette URL dans un forum.

    En principe, il suffit d’aller sur la page en question et de cliquer sur «Déconnexion» pour révoquer cette clef temporaire (mais parfois, sur certaines pages, le bouton ne marche pas!), donc si on a fait la bourde de poster un screenshot montrant l’URL on peut facilement supprimer l’information (à condition de savoir qu’on a fait une bourde).

    En plus, les URL expirent; depuis quelques temps, elles expirent beaucoup trop vite, on n’a même plus le temps de remplir un formulaire complexe, c’est hyper‐chiant. Il faut avoir un onglet en auto‐refresh à coté pour maintenir la validité de l’URL!

    C’est typiquement le coup d’un problème de sécurité qui est traité beaucoup trop violemment et surtout stupidement, en compromettant la facilité d’utilisation pour la sécurité (peut‐être selon l’idée stupide que l’un est inversement proportionnel à l’autre).

    Ce qu’il fallait faire, c’est *ajouter* un cookie magique (que la plupart des Web applications utilisent) au secret dans l’URL, et pas raccourcir le timeout à ce point!

    La console de gestion Free est reconnue un modèle d’anti-ergonomie.

  46. corrector dit :

    Et quid d’un navigateur avec javascript désactivé ?

    Est‐ce qu’il y a des utilisateurs qui désactivent globalement JS, sans même une liste banche (à la NoScript)?

    Il me semble raisonnable de mettre l’interface de son modem‐routeur en liste banche. 😉

  47. corrector dit :

    @CastorJunior

    Le plus sûr serait de renvoyer le mdp à l’adresse courrier mais bonjour le délai.

    C’est la seule façon de se faire envoyer le mdp d’un compte Free Accès Gratuit. Pensez à mettre à jour votre adresse en cas de déménagement!

    @nef

    Ca n’empeche qu’il est evident qu’un bon antivirus ET un bon antispam chez soi sont nécessaires.

    Un anti‐virus? pour quoi faire???

  48. corrector dit :

    @VincentAlex

    Concernant l’authentification sur l’interface d’administration de la neufbox, la fonction de hachage utilisée n’est pas MD5 mais SHA256 (MD5 est mort depuis un petit moment déjà)

    En terme de collisions, donc en terme de signature… mais ça reste une fonction non inversible, non?

    et la méthode utilisée est identique à celle du protocole CHAP, donc le rejeu n’est pas possible.

    Pour une preuve de connaissance de K :
    A->B : N
    B->A : MD5(N + K)
    je ne crois pas que MD5 soit cassé. (Mais ça reste scabreux d’utiliser une fonction aussi usée.)

  49. corrector dit :

    que vous vous connectez à votre messagerie, votre mot de passe est communiqué en clair et il est visible très facilement

    Pas toujours : si on utilise le POP chez Free, la méthode APOP est supportée, si on l’utilise le mot de passe n’est *pas* transmis en clair.

    Mais en IMAP, Free ne propose pas la fonctionnalité équivalente. 🙁

    C’est-à-dire que tous vous envoient le mot de passe (que vous avez oublié) en clair. Chacun y a accès en clair.

    Bien sûr, en clair. Comment peuvent‐ils l’envoyer, avec PGP?

    Soyons sérieux! On parle de sécurité minimale, pas de sécurité idéale et parfaite.

    Or le B.A.-BA en sécurité informatique consiste justement à stocker les mots de passe de manière à ce qu’on ne puisse pas découvrir leur valeur.

    C’est très discutable, ce n’est pas parce que c’est répété souvent que c’est vrai; en fait, c’est précisément le genre d’affirmation simpliste qui doit être nuancée.

    Si Free n’avait pas le mot de passe en clair, il ne pourrait pas proposer la méthode APOP.

    Qu’est-ce qu’on doit craindre le plus : l’interception d’un mot de passe lors de sa transmission ou bien que Free soit piraté? La réponse me semble évidente : l’interception. (Même si je n’exclus pas la 2ème possibilité.)

    Si Free n’avait pas les mots de passe en clair, ce serait un recul net de la sécurité.

    L’idéal pour la conservation des mots de passe sur le serveur, serait de les conserver en deux fois : une moitié en clair (transmise hashée), une moitié conservée chiffrée (transmise en clair). (Si vous me suivez très bien, sinon aucune importance.) Et il faudrait adapter tous les protocoles d’authentification! Infaisable.

    Mais cela me parait surtout une question académique (pour ne pas dire de la br… intellectuelle).

    Les risques les plus grands, c’est les saloperies éventuelles sur son PC et le fait de ne pas être en SSL.

  50. corrector dit :

    Appuyer sur ce bouton physiquement n’est pas possible pour un attaquant, sinon ça veut dire qu’il est chez vous, et vous avez d’autres problèmes plus urgents

    Pas d’accord; ce n’est pas si simple. Je peux avoir des invités. Dans ce cas, je ne laisse pas trainer des papiers importants, les clefs ou de l’argent, le courrier…

    Ils peuvent venir avec un PC et utiliser mon réseau. Par contre, je ne veux pas qu’ils aient accès à une interface d’administration, ni qu’ils puissent récupérer des clefs de réseau, ou autre.

    Tout est une question de degré.

  51. goundoulf dit :

    @corrector :

    «Et si la personne a une possibilité d’écoute, peut‐être est‐elle sur le LAN, et alors elle a aussi une possibilité de MITM (par ARP‐spoofing) .

    Et alors l’éventuel simili‐CHAP en Javascript ne sert plus à rien!

    Seule vraie solution, SSL (uniquement à ce problème; SSL ne va pas résoudre magiquement les autres problèmes de sécurité — ça va sans dire, mais ça mieux en le rappelant).»

    Tu connais http://www.thoughtcrime.org/software/sslsniff/ ? 🙂

  52. goundoulf dit :

    @ corrector :
    » Il me semble raisonnable de mettre l’interface de son modem‐routeur en liste banche. 😉 »

    Justement non ! Tu connais les XSS ? 🙂

    Pour la même raison je ne met pas le site de ma banque en liste blanche.

  53. bahaman dit :

    Bonsoir,

    Concernant Free, il est à noter que dorénavant l’accès à l’interface de gestion est désormais sécurisé, ainsi que la navigation à l’intérieur de celle‐ci.

  54. Neotenien dit :

    C’est nle monde à l’envers, attribuer les meilleures notes à Orange pour la sécurités des email ??? Mais c’est quoi ces test bidons ?

    Avant les années 2000, free possédait l’un des meilleurs système de filtres anti‐spam sur le marché des FAI (pour avoir comparé entre free et Wanadoo à l’époque, je sais de quoi je parle!!).

    De plus, lorsuq’uon accède à notre messagerie webmail chez free, il utilise les cookies et donc, les session «chronométrée». Si au bout de 10 mn, aucune action n’est effectuée sur le webmail, ça se déconneftena tout seul!! En revanche, quelle ne fut pas la mauvaise surprise de voir, il y a 2 ans, dans une association, que les sessions webmail orange/wanadoo ne se fermaient pas au bout d’un certain temps!! Du genre une autre personne qui ralume le PC le lendemain et tombe sur la messagerie webmail d’une autre personne en toute liberté!! De qui s emoque ton ? Ce rapport a‐t‐il été pondu par un salarié chez Orange ?

    De plus, concernant la sécurité de connexion d’accès à son compte, désolé de le dire mais free est devant là aussi comparé à Orange!! Là aussi il y a des session (le seul HTTPS ne suffit pas).

    Par contre, concernant la perte du mot de passe, je suis d’accord sur la méthode du hachage (et donc de redonner un password aléatoire), surtout quand il s’agit de gérer des millions de comptes (pas comme quand il y a une vingtaine de compte abonné où là, un renvoi du mot de passe par email peut être suffisant, enfin moi en tout cas, j’ai développé ça comme ça dans mes petits sites Internet, c’est du bénévolat alors faut pas demander la lune non plus)

  55. Neotenien dit :

    Pour info je signale également que le «filtre anti spam» proposé par free (pas actif par défaut car il laisse le choix à l’internaute de pouvoir l’activer) permet aussi d’exclure tous les courriels contenant des exécutables (Il y a 4 options dans le filtre anti spam). De plus, il permet de rejeter les bounce.

    J’en reviens à la connexion à son compte chez free, elle est bel et bien sécurisé (protocole HTTPS) donc l’info trouvée ici sur free est fausse.

    De plus, free propose depuis peu, d’activer le protocole SMTP‐Auth (le but de ce protocole me parait assez flou!! Sert‐il à authentifier l’envoie d’un email via le serveur SMTP de free ? ou alors à authentifier les emails reçu ???)

  56. corrector dit :

    «J’en reviens à la connexion à son compte chez free, elle est bel et bien sécurisé (protocole HTTPS) donc l’info trouvée ici sur free est fausse.»

    Quelle connexion? quel compte?

  57. Ghusse dit :

    @Neotenien : Merci pour ces précisions. Effectivement, la connexion à l’interface d’administration du compte free est désormais en HTTPS. Cependant, le reste de la navigation une fois connecté est toujours en HTTP.

    Ce comparatif date du 3 janvier 2010. Depuis, certains FAI ont fait évoluer leurs mesures de sécurité. J’ai décidé de laisser ce comparatif en l’état, car il reflète la situation à la date de publication. J’espère pouvoir publier un autre comparatif complet qui sera mis à jour.

    Pour information, la sécurisation de l’accès n’est pas passée inaperçue, j’ai publié un article le 12 mars 2010 à ce sujet : L’interface de gestion des comptes Free.fr passe au HTTPS.

Laisser un commentaire