Où l’on reparlera du HTTPS chez Free…
Les identifiants de compte Free sont le sésame permettant d’accéder à une grande variété de services. Configuration du mode routeur de la Freebox, envoi de fax, consultation des factures, commande d’accessoires payants… tout, ou presque, est possible depuis l’interface de gestion. Néanmoins, ils nécessitent une protection maximale contre les utilisateurs mal intentionnés qui pourraient vouloir s’en emparer…
Vos identifiants sont précieux. Ils sont une donnée sensible, en ce sens qu’ils permettent d’opérer toute une série d’opérations, certaines étant payantes et débitées directement sur votre compte bancaire.
Mettons-nous du point de vue d’un pirate ; si une personne mal intentionnée n’aura que peu d’intérêt à effectuer des commandes d’accessoires à votre nom, il y a néanmoins des usages plus aptes à être détournés à des fins lucratives. Prenons par exemple le service SIP : celui-ci permet d’utiliser votre ligne téléphonique depuis n’importe quel ordinateur dans le monde grâce à un protocole spécifique. Une arnaque typique consisterait à mettre en place, dans un premier temps, un numéro de téléphone, de préférence lourdement surtaxé, sur lequel on toucherait au moins une partie des revenus (exemple : Allopass). Dans un second temps, il n’y aurait plus qu’à appeler massivement ce numéro à l’aide d’identifiants SIP volés sur l’interface de gestion d’un Freenaute… ainsi, c’est ce dernier qui paye l’appel, et le pirate engrange des sommes non-négligeables pour peu qu’il automatise l’opération.
Le scandale du piratage des comptes SIP, courant 2007, a fait beaucoup de bruit à l’époque. De nombreux Freenautes s’étaient retrouvé avec des factures téléphoniques allant parfois jusqu’à plus de 1000 euros ! Free avait officiellement invité les personnes touchées à porter plainte contre X pour piratage, mais n’a jamais donné plus d’informations sur ce qui s’était réellement passé. Nous ne prétendons pas non plus le savoir, même si l’explication ci-dessus est tout à fait plausible.
Depuis cette époque, les opérations les plus sensibles sur l’interface de gestion du compte (comme par exemple l’activation du service SIP ou le changement de son mot de passe) ne peuvent être effectués qu’à domicile, directement sur la ligne du compte concerné. De plus, les appels susceptibles d’être facturés (numéros internationaux, spéciaux, etc.) ont été retirés du service SIP. Cette solution, qui confirme à demi-mot qu’un tiers peut, sous certaines conditions, avoir accès à votre console de gestion à distance, n’est qu’à moitié satisfaisante.
De longue date, les internautes avertis ou soucieux de la question de la confidentialité de leur compte réclament une connexion à l’interface de gestion… sécurisée. On sait que Free est capable de générer des certificats sécurisés (délivrés par Equifax) depuis la sortie du service Free WiFi dont le portail d’accès est protégé par HTTPS. Néanmoins, un tel système n’a toujours pas été déployé sur l’interface principale… c’est dommage.
Une nouvelle forme de danger plus récente, et moins évidente au premier abord, fait progressivement son apparition. On parle beaucoup des applications mobiles freenautes (permettant, par exemple, de programmer ses enregistrements à distance) ; celles-ci sont bien pratiques et de plus en plus à la mode. Elles reposent néanmoins sur la confiance que l’utilisateur accorde au développeur, puisqu’il faut donner ses identifiants Free pour pouvoir s’en servir…
Il convient de ne pas céder à la paranoïa (il reste peu probable qu’une application mobile détourne effectivement vos identifiants à l’heure actuelle), d’autant que certains programmes de ce type sont disponibles en open source (ce qui permet de vérifier par soi-même qu’ils ne contiennent aucun bout de code malicieux). Dans le cas de FreeGo, on peut également accorder une confiance légitime au développeur de l’application : GoProd est bien connu de Free et a conclu plusieurs partenariats avec ce dernier. Avec un peu de discernement, on peut donc rester à l’abri des problèmes. Mais certaines applications n’apportent aucune garantie tangible…
En vérité, le simple fait que le détournement d’identifiants soit possible devrait inciter les développeurs de Free à chercher une solution. De nombreux sites ont été confrontés à ce problème, y compris quelques mastodontes : Facebook ou Twitter. Récemment encore, les applications pour Twitter réclamaient les identifiants de l’utilisateur pour fonctionner (et certaines le font toujours). La solution la plus courante consiste à mettre en place un système d’identification sécurisé : l’application tierce ne demande ainsi plus les mot de passe elle-même mais renvoie vers le site du prestataire principal (Free, dans notre cas), sur lequel l’utilisateur peut s’authentifier comme d’habitude. L’application reçoit alors un certificat sécurisé lui permettant d’accéder aux données nécessaires à son fonctionnement, sans pour autant avoir eu accès une seule seconde aux identifiants de l’utilisateur. Dans le cas de Twitter, l’API sécurisée passe par le système OAuth. Facebook a mis au point Facebook Connect. De nombreux sites recourent à un principe similaire de délivrance de certificat, avec les OpenID…
Free n’implémentera sans doute rien de ce genre s’il ne l’estime pas nécessaire, d’autant que l’utilisateur n’est (normalement) pas censé utiliser ses identifiants ailleurs que sur le site officiel. Mettre son mot de passe entre des mains inconnues serait-il un risque à courir pour bénéficier d’applications tierces pratiques au quotidien ? Voilà qui ressemble plutôt à une porte ouverte sur un nouveau type de phishing potentiel…
Retrouvez chaque semaine l’édito du lundi sur Freenews