En tout cas, il y a un verrou sur la porte en bois…
Free vient de modifier la page de connexion à l’interface de gestion de ses abonnés. Celle-ci utilise désormais le protocole HTTPS qui permet de crypter les données envoyées au serveur.
Le nom du compte ainsi que le mot de passe ne circuleront donc plus « en clair » sur le réseau lorsque vous consulterez vos factures ou modifierez les options du routeur.
Free est depuis longtemps l’objet de critiques au sujet de la sécurité des données utilisateurs. L’interface de gestion était l’un des cas les plus décrié.
En effet, lorsque vous vous connectiez sur cette page, le mot de passe n’était jusqu’à présent pas crypté. Cela signifie que toute personne malintentionnée qui surveillerait ce que vous faites sur le net (via un réseau d’entreprise, par exemple) avait tout loisir de le récupérer s’il le souhaitait pour le réutiliser ultérieurement à votre insu. C’était encore plus grave si vous vous connectiez à l’interface depuis un réseau wifi ouvert. Dans ce cas, n’importe quelle personne à portée de signal avait accès à ces données.
Les bricolages made in Free
Pour contourner le problème Free avait mis en place un palliatif qui consistait à autoriser certaines manipulations uniquement depuis l’adresse IP correspondant à l’abonnement. Il est ainsi impossible d’activer le protocole SIP ailleurs qu’à son domicile… Ce qui était extrêmement peu pratique. Dans le même registre, le SIP a été bridé pour limiter les destinations disponibles aux seuls numéros métropolitains, ce qui diminue fortement l’intérêt du service.
Espérons que Free lèvera tout ou partie de ces limitations, maintenant que la sécurité est améliorée.
Tout est réglé ?
Même avec cette amélioration, la situation est loin d’être parfaite. En effet, seule la page d’accueil est cryptée. Cela signifie donc que toutes les données transitent en clair une fois que vous êtes connecté. Cela inclus notamment vos factures ou le détail de vos communications téléphoniques, numéros compris, si vous les consultez. En effet, les autres pages de configuration n’utilisent pas le protocole HTTPS.
Il est donc toujours nécessaire de se demander à quel point vous avez confiance dans le réseau que vous utilisez avant de vous connecter. Un administrateur de cybercafé ou d’hôtel mal intentionné peut techniquement détourner les informations transitant sur leur réseau à des fins malhonnêtes.
Prochaine étape : sécuriser l’accès au mail ?
Source : Univers Freebox