http://www.orange.fr/portail
Et là, je viens de vivre un petit moment d'effroi... suivez moi 2 minutes.
Tout d'abord, je prête le PC de mon fils à une personne de ma famille de passage chez moi et qui veut se connecter à son mail "Orange". D'un œil distrait, je la vois se connecter au portail en question. Et là, je tombe sur le cul : je suis connecté. Oui moi ! avec mon nom, mon prénom. Je vois des mails, il y a des factures, elles me sont visiblement destinées ... Tout est accessible sans avoir saisi le moindre login ou mot de passe, avec du http de base, donc non chiffré. J'essaye de faire bonne figure et on finit par trouver le bouton qui permet de s'identifier en utilisant un autre login.
Pourtant, j'en suis sûr, je ne me suis jamais connecté sur le portail d'Orange, avec le PC de mon fils (ni avec aucun autre PC d'ailleurs).
Un peu affolé, je vais sur mes autres PC (tous des linux). Même résultat. Avec mon smartphone connecté en wifi. Idem. Dans tous les cas je suis auto-connecté! J'essaye des navigateurs différents (iceweasel, konqueror, opera) encore pareil. Je suis connecté et je peux administrer mon compte orange ADSL. Peut-être même faire des achats !
J'en viens à me dire que c'est un symptôme linux, mais je ne crois pas. C'est trop énorme. Sûr que les utilisateurs d'autres OS ont la même chose (depuis, je me le suis fait confirmé ...).
Mais d'abord, comment ce fournisseur procède t-il pour m'auto-connecter ?
Voyons, un peu de sang froid! Dans une première analyse, on peut penser que le fournisseur utilise une requête simple pour identifier le titulaire de la ligne en s'appuyant sur l'IP publique affectée à la livebox (regardez par exemple whoami vous connaîtrez l'IP publique qui est attribuée au titulaire de l'accès internet que vous êtes en train d'utiliser). Pour faire bonne mesure, l'adresse ethernet de la livebox est peut-être aussi utilisée (cette adresse est unique pour tout appareil connecté sur l'internet) par une requête arp avec l'adresse IP de la passerelle (qui est une adresse privée, très facile a récupérer)
Bon, pour cette base de données, j'espère qu'ils ont fait la déclaration à la CNIL ...
Ça serait quand même sympa de connaître précisément les infos qui remontent sur les serveurs d'Orange pour notre identification. Vous trouvez pas ?
Du coup, ça nous met un doute. Et s'ils savent faire ça, sans trop nous le dire, ça signifie peut-être qu'ils font d'autres choses ou alors qu'ils sont sur les starting blocks pour en faire d'autres encore plus glauques ...
Bon, je suis sûr qu'un lecteur un peu avisé (ou mieux renseigné que moi) pourra nous en dire un peu plus. N'hésitez pas à y aller de vos contributions ...
1. Est-ce l
Changer de fournisseur et/ou faire pression pour faire changer le comportement du fournisseur.
Et surtout, s'empresser de créer une boite mail supplémentaire associée à votre abonnement internet ADSL. Dès le lendemain (ce n'est semble t-il pas immédiat !), la saisie de l'identifant et du mot de passe deviennent nécessaires pour se connecter (ce que je n'ai d'ailleurs pas testé : pas trop l'envie).
Et surtout ne pas/plus utiliser ce portail : en l'état, il n'est pas digne de confiance.
On peut se dire que c'est l'évolution de l'internet... Bientôt, seules les box de fournisseurs pourront se connecter. Or il y a de moins en moins de fournisseurs d'accès ... Une box c'est de la vente/location forcée associée à un abonnement. Bientôt, il ne sera plus possible d'utiliser des équipements banalisés pour se connecter à internet. Pour ces 3 ou 4 modèles de box, il sera facile d'exiger des fournisseurs d'accès de compiler le fameux parefeu Openoffice préconisé par Mme Albanel directement dans les box pour définitivement assurer notre sécurité !
La stratégie d'Orange va dans ce même sens : forcer les titulaires à sécuriser leur connexion internet. Et c'est clair qu'avec un tel trou de sécurité, on a envie de sécuriser son accès internet.
Un moment, je vais de ce pas vérifier sur ma facture Orange ADSL ... papier.
