Je suis actuellement en déplacement pour une mission et j'ai dû prendre un hôtel pour des raisons plus "pratiques" dirons-nous. Comme la plupart des hôtels, celui-ci propose le WiFi gratuit avec un superlogin et un superpass à enter via une interface Web. Bref. Après des heures et des heures de navigation, il me vient l'idée d'aller voir l'état de mon forfait mobile sur le site de Orange. Et là surprise...
Je suis connecté sous le compte de l'hôtel. C'est pas top ça, car on a accès aux factures, au mails, etc. Des informations supposées "personnelles".
Y'a plus qu'a prévenir Mister Orange et voir ce qu'il est possible de faire...
Donc si vous avez une LiveBox, méfiez-vous de l'auto-identification au site Orange !!!
Il faudrait peut-être que je leur en parle ...
http://blogs.orange-business.com/securite/ :)
En fait c'est l'hôtel qui a un problème. Ils doivent avoir une livebox "perso" comme dudule chez lui. Donc Orange considère qu'il ne doit y avoir que le propriétaire qui a le droit de se connecter sur la livebox et donc que le propriétaire qui peut voir sa page orange...
RépondreSupprimerCa veut dire ,sans doute, que l'hôtel n'a pas une infra qui trace les actions des clients correctement et en cas de problème ils pourraient avoir des problèmes avec la justice si lors d'une enquête on remontait à eux.
Bref c'est pas la peine de s'enflammer sur Orange parce qu'un hôtel partage un anbonnement type "particulier" :x
Comme tu dis, possible que l'hotel est un soucis de LiveBox. Il aurait peut être du choisir une LiveBox Pro (http://fr.wikipedia.org/wiki/Livebox). Mais bon quand on prend un abonnement Pro on devrait peut être avec un LiveBox Pro...
RépondreSupprimerEn tout cas "l'accouting" n'est pas la première chose à laquelle pense les hôtels. C'est mon humble avis, même si des solution existe comme Ucopia.
Pour finir de réagir, c'est vrai qu'il n'y a pas de quoi fouetter un chat (ou deux). La faille n'est pas critique en soit, mais je ne pense pas que la personne propriétaire du compte saute de joie en s'apercevant que son numéro de compte bancaire est visible par des "inconnus" (voir les petits numéros en bas de vos factures Orange). Un peu de social engineering et pourquoi pas obtenir plus ...
Le probleme est chez Orange.
RépondreSupprimerIl n'est pas normal que lorsqu'on a une livebox, il y ait uniquement sur l'IP une vérification.....
il est nécessaire de s'identifier dans on espace client, c'est le minimum...
quand le fournisseur pas bon, changer de fournisseur....
Comme tu le dis s., l'IP n'est pas suffisant en terme d'identification.
RépondreSupprimerMais le piège de l'authentification avec le portail Orange, c'est ce que je décris dans le post plus haut, il y a bien la case "Se souvenir de moi" mais il n'y a pas la case "Oubliez-moi".
Si on positive (comme avec Carrefour), Orange n'est pas "pas bon", il pourrait juste être mieux... :)