Résolu

Wi-Free VOO_HOMESPOT devrait utiliser un autre identifiant et mot de passe que celui de myVOO


Badge +1
Le service Wi-Free VOO_HOMESPOT devrait utiliser un autre identifiant / mot de passe que celui de myVOO et devrait être crypté en WPA2 (AES).
Actuellement, il semble possible de créer un faux réseau VOO_HOMESPOT pour récupérer les identifiants et mots de passe de tous les abonnés VOO qui essaient de s'y connecter.
Une fois ces informations collectées, il est possible d'utiliser l'identifiant / mot de passe d'un abonné pour se connecter aux vrais points VOO_HOMESPOT et il est possible de se connecter aux comptes myVOO des abonnés pour récupérer leurs données personnelles, les modifier et souscrire d'autres services VOO.
Cela me semble une faille de sécurité importante.
Qu'en pensez-vous ?
icon

Meilleure réponse par roylion15 8 mars 2017, 17:57

Hello
Oui beaucoup de choses sont possibles avec des si et des connaissances apronfondies en programmation web qui génèrerait une fausse page de formulaire de login Voo etc... oui mais réalisables par tout le monde , certainement pas ...
Néanmoins je suis d'accord sur le fait qu'on devrait pouvoir utiliser des identifiants personnalisés pour le homespot et non ceux de myVOO , pareil aussi pour voomotion...
Afficher l'original

12 commentaires

Niveau d'utilisateur 3
Badge +7
moi s est pour sa que je l ai fait desactiver justement

Actuellement, il semble possible de créer un faux réseau VOO_HOMESPOT pour récupérer les identifiants et mots de passe de tous les abonnés VOO qui essaient de s'y connecter.
?


Hellowww Cyril,

" Il semble possible " c'est pas très précis comme info :$
Quelles sont tes sources ?
Niveau d'utilisateur 7
Badge +12
Hello
Oui beaucoup de choses sont possibles avec des si et des connaissances apronfondies en programmation web qui génèrerait une fausse page de formulaire de login Voo etc... oui mais réalisables par tout le monde , certainement pas ...
Néanmoins je suis d'accord sur le fait qu'on devrait pouvoir utiliser des identifiants personnalisés pour le homespot et non ceux de myVOO , pareil aussi pour voomotion...
Badge +1
Mon message est au conditionnel parce que je n'ai pas trouvé d'exemple fonctionnel ciblant le service Wi-Free VOO_HOMESPOT, mais les méthodes décrites ci-dessous semblent tout à fait applicables pour VOO_HOMESPOT :
http://www.panoptinet.com/cybersecurite-decryptee/le-piege-des-faux-hotspots-wi-fi-honeypots-evil-twins/
http://www.techniques-ingenieur.fr/actualite/articles/pirater-un-reseau-wi-fi-public-un-jeu-denfant-1666/
https://assistance.orange.fr/livebox-modem/toutes-les-livebox-et-modems/installer-et-utiliser/connecter-et-associer-votre-materiel/la-connexion-wifi-en-mobilite-hotspot/hotspot-et-wifi-partage-precautions-d-usage_47026-47903
J'ai aussi des liens vers des tutoriels et une application Android, mais il ne serait pas approprié de les indiquer ici.
En tout cas, il me semble important d’au moins dissocier les comptes myVOO et VOO_HOMESPOT.
Niveau d'utilisateur 7
Badge +12
Certes vous avez entièrement raison pour les identifiants et ce serait d' une plus grande sécurité pour myVOO qui est le centre de contrôle de notre abonnement et qui contient aussi toutes nos infos personnelles... Mais tout cela n'est pas vraiment nouveau ce genre de pirates et perso je suis particulièrement méfiant avec tous les réseaux Wifi publics ou hot spots wifi, je préfère utiliser la 4G ou encore passer par mon VPN mais ce n'est pas le cas de la plupart des gens ...
Badge +14
Je vais remonter le point concernant la sécurité.

Par contre, la dissociation des comptes myVOO / VOOmotion / Wi-Free peut poser problème. Il s'agit d'une même entité avec des impératifs techniques importants qui pourraient engendrer des problèmes d'utilisation dans certains cas (si le fils de la famille change les codes, comme le reste de la famille, et donc le titulaire du compte, pourra-t-il faire le nécessaire ?). Par ailleurs, il y a aussi une raison logique (pour ne pas dire légale) : un abonnement est lié à une personne. C'est cette personne quoi doit avoir le droit sur tous les services, donc le même identifiant semble le fonctionnement le plus simple. Enfin, ceci rendrait les choses plus compliquées pour certains clients d'avoir des accès différents (pas pour des habitués comme vous évidemment :)).

Pour l'instant, il n'y a que pour Le Forum qu'il y a un accès différents pour toutes ces raisons d'ailleurs 🙂
Niveau d'utilisateur 7
Badge +12
Hello
Le titulaire du compte pourrait donner ainsi accès au services wifree et voomotion aux autres membres de la famille sans d'office donner accès à la gestion du compte qui permet trop de choses comme activer des options non forcément désirées par le titulaire du compte et se retrouver avec une facture ne correspondant pas à ce qu'il s'attendait...
Badge +14
Oui, vous aviez déjà remonté la chose. Je vais être plus précis dans ma remonté car c'est en effet très important mais à double tranchant... Car un titulaire d'un compte pourrait donner l'accès à VOOmotion à, par exemple, son voisin sans que celui-ci ne paie pour le service... Par contre, le titulaire d'un compte ne donnera pas ses accès VOOmotion si ceux-ci permettent d'avoir accès aux données personnelles 🙂

Netflix permet de le faire d'ailleurs (avoir un compte partagé entre plusieurs personnes sans accès aux données privées du titulaire du compte).

Niveau d'utilisateur 7
Badge +12
Il faudrait aussi qu'il donne accès à sa connexion ou son wifi alors, non ?
Badge +14
Pas spécialement, s'il est client VOO uniquement pour le NET. Je prends bien pour exemple VOOmotion uniquement mais ça peut aussi fonctionner avec le Wi-Free et certains l'utilisent évidemment (un étudiant qui arrive en kot dans un centre ville surpeuplé de Homespot par exemple) 🙂
Niveau d'utilisateur 7
Badge +12
Hum oui possible mais vous pensez chez VOO qu'on va forcément chercher à détourner l'usage normal du cadre familial par exemple...
nous on y voit plutôt un gros renforcement de la sécurité de notre compte client contre la récupération de nos données clients via des homespot frauduleux ou autres méthodes illicites.
Badge +14
Une partie, certainement 🙂 ça reste un manque à gagner important... Mais le sujet initial concernant la sécurité des homespots reste intéressant.

Commenter

    Gestion des cookies

    Nous utilisons des cookies pour améliorer et personnaliser votre expérience. Si vous acceptez ou continuez de naviguer, vous acceptez règles relatives aux cookies. En savoir plus sur nos cookies

    Accepter les cookies Paramètres de cookies