Journal Le support technique du FAI a accès au mot de passe du wifi !?

Posté par  . Licence CC By‑SA.
15
30
mai
2023

Bon ça ne se passe pas en France mais au Québec. Mais le technicien m'a certifié que "c'est pareil chez tous les fournisseurs du monde" donc je souhaitais avoir votre avis.
Ma connexion ADSL est tombée, après quelques heures et quelques reboot de la box du FAI (Virgin Plus) j'appelle le support. Il m'annonce qu'il va falloir faire un reset de la box, ça ne m'enchante pas, je vais perdre mon paramétrage DHCP mais il me dit aussi que je pourrai remettre mon SSID : "WifiDeFaya". Interloqué, je lui demande si il accède, en plus de mon SSID, au mot de passe du Wifi. Et là il me répond "évidemment, je suis un technicien, c'est pareil partout dans le monde !" Il m'a ensuite assuré qu'il était au Maroc et ne viendrait donc pas s'asseoir devant chez moi pour se connecter à mon réseau local… M'enfin je trouve ça surprenant. Je sais qu'en utilisant mon propre routeur je pourrais éviter la blague mais j'ai choisi la facilité, à tort.

Bref, vous pensez qu'en France et ailleurs le support technique a accès à un tel niveau de détails sur le paramétrage des box ?

  • # Commentaire sans vérif ;-)

    Posté par  (site web personnel, Mastodon) . Évalué à 5.

    Probablement oui vu que la box sauvegarde sa configuration sur un serveur du FAI, j’imagine que c’est un pauvre json (ou équivalent) sans chiffrement.

    Donc dedans il doit y avoir la clé Wifi.

  • # Pas sûr

    Posté par  . Évalué à 4.

    Perso ça m’étonnerai.
    Autant pour le SSID j’imagine bien qu’ils peuvent le voir, mais pour le MdP ça me surprendrais. Ça reste une donnée sensible (réutilisation) et surtout la HotLine passerait pour un mémo au cas où le postit s’est décollé.

    La clé par défaut est généré aléatoirement pour chaque box et imprimé au dos de cette dernière, donc pas vraiment de raison de sauvegarder celle que l’utilisateur configure.

    Pour ton gars de la hotline, comme certains modèle de box sont plus ou moins répendu a travers le monde ils doit assurer le support pour plusieurs pays. Mais sa généralisation me semble hasardeuse.

    • [^] # Re: Pas sûr

      Posté par  . Évalué à 4.

      Ça reste une donnée sensible

      C'est ce que je lui ai dit. Mais il m'a expliqué que les gens ne savent pas changer le SSID ou trouve leur mot de passe donc ça leur permet de les aider plus facilement [:facepalm]

      • [^] # Re: Pas sûr

        Posté par  (site web personnel) . Évalué à 7.

        [:facepalm]

        Et oui, il est facile d'oublier que la grande majorité de la population n'a pas une éducation technique.

        Le routeur est une boite noire magique qui donne accès à Internet. Pas besoin d'en savoir plus.

        Est-ce que c'est un mal ? Non bien sûr que non.

        https://link-society.com - https://kubirds.com

        • [^] # Re: Pas sûr

          Posté par  (site web personnel) . Évalué à 5.

          :) J’ai toujours un faible pour l’ironie ou le cynisme.

        • [^] # Re: Pas sûr

          Posté par  (site web personnel) . Évalué à 10.

          Ce n'est pas une question d'éducation technique, mais juste de ne pas être complètement idiot côté utilisateur ET côté fournisseur :

          • le routeur est souvent fourni sans un vrai manuel d'utilisation digne de ce nom ;
          • la plupart des utilisateurs vont de toute façon perdre le vrai manuel d'utilisation digne de ce nom dans les 42 minutes suivant l'acquisition du routeur ;
          • heureusement le SSID et le mot de passe par défaut sont sur le routeur, MAIS, peut être pour économiser sur le prix de l'étiquette, le constructeur utilise une police taille 6 qui ne permets pas de différencier I/l ou 0/O, bref illisible pour toute une bonne partie de la population ;
          • le mot de passe ressemble à DLKFJOM1lFJOINVDdsflmdksdd!sdfsdjksdflkjZEIEF, bonne chance pour le taper du premier coup sans erreur surtout quand les IHM le masquent avec des étoiles.

          Je pourrais encore énumérer beaucoup d'aberration de ce genre, mais je dois chercher le manuel de mon lave linge qui s'est bloqué sur le mauvais programme.

          Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

        • [^] # Re: Pas sûr

          Posté par  . Évalué à 7.

          Le [:facepalm] n'est pas destiné à ceux qui ne savent pas changer le SSID mais au FAI (et leur technicien) qui trouve normal d'accéder à nos mots de passe sous prétexte d'aider ces gens. Pourquoi ne pas leur dire "copiez le mot de passe écrit sur la box" par exemple ? Si ils n'ont pas changé le SSID ils n'ont assurément pas changé le mdp. Bref cette excuse est bancale.

          • [^] # Re: Pas sûr

            Posté par  (site web personnel) . Évalué à 4.

            Oui, mais y'a la nièce qui bidouille tout le temps qui a changé le mot de passe du wifi sans nous le dire.

            • [^] # Re: Pas sûr

              Posté par  . Évalué à 5.

              Très bien monsieur, vous allez appuyer sur le petit bouton qui se trouve sous la box, ça va la réinitialiser et vous pourrez utiliser le mot de passe wifi qui est écrit dessus. Vous ne trouvez pas le bouton ? Ne bougez pas je vous la réinitialise à distance.

      • [^] # Re: Pas sûr

        Posté par  . Évalué à 1.

        Comme dit plus bas, ton FAI a le SSID et le mot de passe fournit par défaut avec ta box on va dire admin/admin.

        Rien ne t’empêche de les modifier.

    • [^] # Re: Pas sûr

      Posté par  . Évalué à -2.

      la clé wifi n'est pas une donnée sensible dans le sens où en dehors de la zone de réception de ton wifi, il n'y a aucune chance d'y avoir une intrusion, puisqu'il faut etre à proximité

      je connais pas beaucoup de gros piratages, à l'époque de cyberguerre que nous vivons, dans lesquelles le wifi serait ciblé en proximité directe.
      l'heure est plutot aux imsi catchers et aux Gàv pour les escrocs aux sms bancaires..

      et le wifi n'est pas une donnée sensible, c'est un équipement appartenant à ton opérateur, qui peut meme etre loué ; si cela ne te conviens pas, tu es libre d'en changer en prenant les précautions correspondantes.

      • [^] # Re: Pas sûr

        Posté par  (site web personnel) . Évalué à 8.

        Si Dédé la cambriole connait Gégé le tech support, ça peut être rigolo d'avoir accès au wifi d'une maison pour ouvrir le portail connecté du garage et ne pas s'embêter avec la porte blindée.

        Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

        • [^] # Re: Pas sûr

          Posté par  . Évalué à 4.

          Normalement l'accès au wifi ne suffira pas. Après, si ton portail est accessible en http ou avec 0000 comme mot de passe, c'est un peu comme si tu mettais tes clés sous le paillasson, c'est un autre problème. D'ailleurs, dans le monde des objets connectés, l'accès à distance (via internet) est courant, donc ce problème n'est pas spécifique au wifi.

        • [^] # Re: Pas sûr

          Posté par  (Mastodon) . Évalué à 4. Dernière modification le 01 juin 2023 à 16:21.

          Si Dédé la cambriole connait le tech support, ils vont se connecter à la box à distance directement sans avoir besoin du wifi.

          C'est pas super finaud d'avoir une passphrase wifi en clair dans un fichier, mais de toute façon pour le voir tu as sûrement déjà accès au routeur à distance.

          Après tout dépend si on parle de fichier en clair sur le routeur ou dans une DB distante.

          Jami: beabb2b063da0a2f0a2acaddcd9cc1421245d5de

      • [^] # Re: Pas sûr

        Posté par  . Évalué à 4.

        je connais pas beaucoup de gros piratages, à l'époque de cyberguerre que nous vivons, dans lesquelles le wifi serait ciblé en proximité directe.

        Qui parle de gros piratage… Je parle du script teenager (pour ne pas dire kiddie) qui fait du support pour son 1er job et réalise que vu qu'il a l'adresse et le mdp du wifi, il lui serait facile de se poser devant la maison pour scanner le réseau. Un NAS ouvert, un cryptolocker, et voilà il arrondi ses fins de mois. J'ai d'ailleurs un ami Apple fanboy (donc sous MacOS) qui s'est fait chiffrer son NAS, il ne sait toujours pas par où ils sont passés mais il a payé pour récupérer ses photos de famille.

        • [^] # Re: Pas sûr

          Posté par  (Mastodon) . Évalué à 4.

          Le NAS a sûrement été cryptolocké depuis un de ses appareils à lui.

          Jami: beabb2b063da0a2f0a2acaddcd9cc1421245d5de

          • [^] # Re: Pas sûr

            Posté par  . Évalué à 4.

            C'est le plus probable oui. Je ne dis pas qu'ils sont passés par le wifi de la box, juste qu'il y a un intérêt aux "petits piratages".

            • [^] # Re: Pas sûr

              Posté par  . Évalué à 2.

              juste qu'il y a un intérêt aux "petits piratages"

              Bof. Ca nécessite de se déplacer physiquement à proximité de la cible, ce qui est à la fois cher et risqué pour l'attaquant. Alors que taper dans des bases de données d'email et balancer des mails pourris à x random, c'est quasi gratuit, et sans réel risque.
              Aujourd'hui, c'est le risque le plus probable.

  • # est-ce légal ?

    Posté par  (site web personnel) . Évalué à 4.

    Ça me surprend pas mal. Ce que je me demande, c'est simplement si c'est légal. À priori je dirais non, ça doit sûrement faire partie des données personnelles, mais je n'ai pas vérifié. Et il doit bien y avoir des réglementations qui imposent que ces mots de passe ne soient pas conservés en clair, non ?

    • [^] # Re: est-ce légal ?

      Posté par  (Mastodon) . Évalué à 9.

      Ce que je me demande, c'est simplement si c'est légal.

      Vu que la box ne t'appartient pas, soit déjà heureux qu'on te laisse le droit de modifier SSID et MdP :D

      En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

  • # Commentaire supprimé

    Posté par  . Évalué à 10.

    Ce commentaire a été supprimé par l’équipe de modération.

  • # De source interne : OUI

    Posté par  . Évalué à 10.

    J'ai bossé sur les boxes des trois opérateurs SFR, Orange et Bytel et c'est très certainement le cas chez les autres :
    Ils ont accès à toutes les infos (y compris les mots de passe Wifi, SSID, et co) de ta boxe.
    Chez SFR pour avoir eu accès à l'interface utilisée par le service client, la conf complète de la box peut être lue depuis celle-ci. Ils peuvent même redéfinir le mot de passe Wifi, (dés)activer tel ou tel truc…

    Il ne faut pas oublier que les opérateurs sont propriétaires des équipements qui sont loués par les utilisateurs.

    Pour se prémunir contre ça, la seule solution est de mettre son propre routeur derrière voir même le remplacer.

    • [^] # Re: De source interne : OUI

      Posté par  . Évalué à 4.

      Ils peuvent même redéfinir le mot de passe Wifi, (dés)activer tel ou tel truc…

      Redéfinir un mot de passe peut se faire sans avoir besoin de pouvoir le lire.

      Source : Unix/Linux, depuis quoi… 30 ans ?

      • [^] # Re: De source interne : OUI

        Posté par  . Évalué à 3.

        Redéfinir un mot de passe peut se faire sans avoir besoin de pouvoir le lire.

        Peut-être oui, mais ce que je dis ici, c'est qu'ils y ont accès en lecture

    • [^] # Re: De source interne : OUI

      Posté par  (site web personnel) . Évalué à 5.

      Eh bien c'est juste scandaleux, pour plusieurs raisons :

      • stocker un mot de passe en clair, ça craint juste complètement : dans des systèmes conçus avec un minimum de sérieux, on stocke un hachage du mot de passe (là, c'est pour du PSK, donc c'est un chouïa plus compliqué que ça, voir plus bas) ;
      • stocker un mot de passe en clair est parfaitement inutile, même pour pouvoir le rappeler au client : s'il ne se souvient pas du mot de passe, il suffit de lui remettre celui par défaut qui est écrit sur le boîte (et pour ça, il n'est même pas nécessaire que l'opérateur connaisse lui-même ce mot de passe).

      Bon, comme je disais, c'est du PSK, c'est à dire un mot de passe est transformé et haché afin de créer une clef partagée, connue par la borne et par l'appareil connecté. On ne peut donc pas juste stocker un simple hachage du mot de passe. En revanche, ce qu'on peut stocker côté borne, c'est la clef dérivée du mot de passe. Ceci dit, à la différence d'un système de vérification de mot de passe, la connaissance de cette clef suffit à se connecter, donc ça reste imparfait comme solution.

      • [^] # Re: De source interne : OUI

        Posté par  (site web personnel) . Évalué à 4.

        stocker un mot de passe en clair est parfaitement inutile, même pour pouvoir le rappeler au client : s'il ne se souvient pas du mot de passe, il suffit de lui remettre celui par défaut qui est écrit sur le boîte

        et déconnecter ses autres appareils dans la foulée?

        • [^] # Re: De source interne : OUI

          Posté par  (site web personnel) . Évalué à 10.

          Alors, on est quand même dans un cas très, très peu fréquent.

          Rappelons que presque personne ne sait qu'on peut changer le mot de passe du réseau wifi. Que parmi ceux qui savent qu'on peut le faire, très peu savent effectivement le faire.

          Nous sommes donc ici dans le cas d'un client qui s'y connaît visiblement plutôt bien, puisqu'il fait partie de l'élite qui sait qu'on peut changer ce mot de passe, qui sait le faire, et qui l'a effectivement fait avec succès.

          Nous sommes par ailleurs dans le cas encore plus rare où ce client qui s'y connaît plutôt bien a perdu le mot de passe qu'il a lui-même défini. Oui, dans ce genre de cas très rare, il me semble parfaitement acceptable de lui annoncer qu'on peut remettre le mot de passe par défaut, qu'il trouvera sous la boîte, et que ça aura pour effet de déconnecter ses appareils, comme s'il venait de prendre son abonnement à Internet.

          Pour un client qui s'y connaît à ce point, reconfigurer ses appareils, ou changer à nouveau le mot de passe n'a rien d'insurmontable, surtout qu'il l'a déjà fait avec succès dans le passé. Et rassurez-vous ce n'est pas parce qu'il doit faire ça qu'il changera d'opérateur, donc ce genre de pratique n'expose l'opérateur à aucun risque de perte de clientèle, ni même d'insatisfaction puisqu'on aura quand même fourni un solution à un client qui sait qu'il a lui-même merdé.

          • [^] # Re: De source interne : OUI

            Posté par  . Évalué à 7.

            Ces clients n’arrivent jamais au support pour ce genre de choses, peut-être contrairement aux grands-parents du petit fiston qui a configuré la box et les équipements, changé le mdp, mais qui ne l’ont plus sous la main au moment du pépin technique …

      • [^] # Re: De source interne : OUI

        Posté par  (Mastodon) . Évalué à 4.

        Vu que le mot de passe est sur l'étiquette et que seule un minorité des utilisateurs le change, il est de toute façon en clair le mot de passe.

        Jami: beabb2b063da0a2f0a2acaddcd9cc1421245d5de

      • [^] # Re: De source interne : OUI

        Posté par  . Évalué à 3.

        Qui a dit qu'ils étaient stocké en clair ? Ça montre qu'ils utilisent une fonction réversible pas qu'il s'agit de la fonction identité :)

        https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

  • # Un grep plus tard et c'est le drame

    Posté par  . Évalué à 5.

    Les mots de passe wifi sont stockés en clair…

    sudo grep "psk=" /etc/NetworkManager/system-connections/*
    si vous êtes pas convaincus.

    Et c'est pareil pour un hotspot, le mdp est en clair. Du coup si l'opérateur a un shell root sur la box (et je pense qu'il a un shell root), bin c'est pas très dur d'avoir le mdp wifi…

    • [^] # Re: Un grep plus tard et c'est le drame

      Posté par  (site web personnel) . Évalué à 5.

      que l'utilisateur ait accès à ses mots de passe en clair, ok (après tout, son disque dur doit être chiffré ;), qu'un autre ait accès à ses mots de passe, ben non, je trouve que ça tue un peu le concept de mot de passe.

      Et merci d'avoir rappelé où sont enregistrés les mots de passe, c'est toujours utile :=)

      • [^] # Re: Un grep plus tard et c'est le drame

        Posté par  . Évalué à 3.

        que l'utilisateur ait accès à ses mots de passe en clair, ok (après tout, son disque dur doit être chiffré ;), qu'un autre ait accès à ses mots de passe

        là on parle du hotspot (la box quoi). Le hotspot il stock pareil les mots de passe, en clair. Et la box elle est sous le contrôle de l'opérateur.

        Donc l'opérateur (le FAI, ou le technicien du FAI qui prend la main sur ta box quoi) a accès au mot de passe, y'a rien d'étonnant en vrai. De toute façon, la box est gérée par l'opérateur, il a de quoi pousser du code dessus (genre des mises à jour) donc il a un niveau de privilèges super élevé.

        Du coup, soit tu lui fais confiance, soit tu considères la box comme hostile. Et là, tu ajoutes un firewall derrière et tu te connectes uniquement par le firewall (et encore ça résoudra pas forcément tous tes problèmes…)

  • # évidemment

    Posté par  . Évalué à 2.

    qu'en france les FAI ont accès à la clé du wifi, car en france presque toutes les box sont des clients du serveur informatique de ton FAI, pour simplifier

    Et surtout : lorsque le tech intervient pour dépanner, il doit pas perdre dix minutes à chercher la clé, voir que c'est l'ancienne ou celle d'un autre AP, etc.. donc oui ils y ont accès et c'est tant mieux, de toute facon ils ont aucun intéret à ce que ca fuite.

    • [^] # Re: évidemment

      Posté par  (site web personnel) . Évalué à 3.

      Le plus gros problème à mon avis c'est la réutilisation. Le support a accès à l'adresse email du client et son mot de passe wifi. Pour 80% des gens qui ont changé le mot de passe du wifi, y'a des chances que ce soit le même.

  • # Ça me donne une idée

    Posté par  . Évalué à 6.

    1. Mettre un mot de passe du genre mais voyons on a pas accès aux mots de passe
    2. Téléphoner au support et demander son mot de passe wifi
    3. Rire sous cape
  • # L'horreur ordinaire

    Posté par  . Évalué à 2.

    J'ai un ami qui a bossé dans une boîte de maintenance et assistance informatique pour PME et petites municipalités. Apparemment, les clients n'ont aucune envie de gérer leurs palanquées de mots de passe et préfèrent déléguer cette charge au prestataire. Résultat : toute l'équipe technique a accès en permanence à tous les mots de passe de tous les clients : box, Wifi, boîtes mail, sessions Windows, … La seule "sécurité" est que les accès aux données clients sont journalisées. Et tout le monde trouve ça normal, car ça rend service au client et ça permet à la boîte d'être plus efficace dans ses prestations.

    C'est par ailleurs une boîte qui a l'air très attachée à ITIL :/

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.