Bon ça ne se passe pas en France mais au Québec. Mais le technicien m'a certifié que "c'est pareil chez tous les fournisseurs du monde" donc je souhaitais avoir votre avis.
Ma connexion ADSL est tombée, après quelques heures et quelques reboot de la box du FAI (Virgin Plus) j'appelle le support. Il m'annonce qu'il va falloir faire un reset de la box, ça ne m'enchante pas, je vais perdre mon paramétrage DHCP mais il me dit aussi que je pourrai remettre mon SSID : "WifiDeFaya". Interloqué, je lui demande si il accède, en plus de mon SSID, au mot de passe du Wifi. Et là il me répond "évidemment, je suis un technicien, c'est pareil partout dans le monde !" Il m'a ensuite assuré qu'il était au Maroc et ne viendrait donc pas s'asseoir devant chez moi pour se connecter à mon réseau local… M'enfin je trouve ça surprenant. Je sais qu'en utilisant mon propre routeur je pourrais éviter la blague mais j'ai choisi la facilité, à tort.
Bref, vous pensez qu'en France et ailleurs le support technique a accès à un tel niveau de détails sur le paramétrage des box ?
# Commentaire sans vérif ;-)
Posté par Cyrille Pontvieux (site web personnel, Mastodon) . Évalué à 5.
Probablement oui vu que la box sauvegarde sa configuration sur un serveur du FAI, j’imagine que c’est un pauvre json (ou équivalent) sans chiffrement.
Donc dedans il doit y avoir la clé Wifi.
# Pas sûr
Posté par Mimoza . Évalué à 4.
Perso ça m’étonnerai.
Autant pour le SSID j’imagine bien qu’ils peuvent le voir, mais pour le MdP ça me surprendrais. Ça reste une donnée sensible (réutilisation) et surtout la HotLine passerait pour un mémo au cas où le postit s’est décollé.
La clé par défaut est généré aléatoirement pour chaque box et imprimé au dos de cette dernière, donc pas vraiment de raison de sauvegarder celle que l’utilisateur configure.
Pour ton gars de la hotline, comme certains modèle de box sont plus ou moins répendu a travers le monde ils doit assurer le support pour plusieurs pays. Mais sa généralisation me semble hasardeuse.
[^] # Re: Pas sûr
Posté par Faya . Évalué à 4.
C'est ce que je lui ai dit. Mais il m'a expliqué que les gens ne savent pas changer le SSID ou trouve leur mot de passe donc ça leur permet de les aider plus facilement [:facepalm]
[^] # Re: Pas sûr
Posté par David Delassus (site web personnel) . Évalué à 7.
Et oui, il est facile d'oublier que la grande majorité de la population n'a pas une éducation technique.
Le routeur est une boite noire magique qui donne accès à Internet. Pas besoin d'en savoir plus.
Est-ce que c'est un mal ? Non bien sûr que non.
https://link-society.com - https://kubirds.com - https://github.com/link-society/flowg
[^] # Re: Pas sûr
Posté par FDF (site web personnel) . Évalué à 5.
:) J’ai toujours un faible pour l’ironie ou le cynisme.
[^] # Re: Pas sûr
Posté par devnewton 🍺 (site web personnel) . Évalué à 10.
Ce n'est pas une question d'éducation technique, mais juste de ne pas être complètement idiot côté utilisateur ET côté fournisseur :
Je pourrais encore énumérer beaucoup d'aberration de ce genre, mais je dois chercher le manuel de mon lave linge qui s'est bloqué sur le mauvais programme.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Pas sûr
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 5.
Depuis, on a inventé les QR-codes tout de même.
[^] # Re: Pas sûr
Posté par Renault (site web personnel) . Évalué à 6.
Ou le WPS qui permet de s'en passer. :)
[^] # Re: Pas sûr
Posté par Julien Jorge (site web personnel) . Évalué à 7.
Hé ! Colle pas mon mot de passe publiquement sur l'Internet !
[^] # Re: Pas sûr
Posté par Dr BG . Évalué à 6.
Ne vous en faites pas, nous avons changé votre mot de passe à distance.
Votre service client chéri.
[^] # Re: Pas sûr
Posté par Faya . Évalué à 7.
Le [:facepalm] n'est pas destiné à ceux qui ne savent pas changer le SSID mais au FAI (et leur technicien) qui trouve normal d'accéder à nos mots de passe sous prétexte d'aider ces gens. Pourquoi ne pas leur dire "copiez le mot de passe écrit sur la box" par exemple ? Si ils n'ont pas changé le SSID ils n'ont assurément pas changé le mdp. Bref cette excuse est bancale.
[^] # Re: Pas sûr
Posté par lejocelyn (site web personnel) . Évalué à 4.
Oui, mais y'a la nièce qui bidouille tout le temps qui a changé le mot de passe du wifi sans nous le dire.
[^] # Re: Pas sûr
Posté par Faya . Évalué à 5.
Très bien monsieur, vous allez appuyer sur le petit bouton qui se trouve sous la box, ça va la réinitialiser et vous pourrez utiliser le mot de passe wifi qui est écrit dessus. Vous ne trouvez pas le bouton ? Ne bougez pas je vous la réinitialise à distance.
[^] # Re: Pas sûr
Posté par Refuznik . Évalué à 1.
Comme dit plus bas, ton FAI a le SSID et le mot de passe fournit par défaut avec ta box on va dire admin/admin.
Rien ne t’empêche de les modifier.
[^] # Re: Pas sûr
Posté par tkr . Évalué à -2.
la clé wifi n'est pas une donnée sensible dans le sens où en dehors de la zone de réception de ton wifi, il n'y a aucune chance d'y avoir une intrusion, puisqu'il faut etre à proximité
je connais pas beaucoup de gros piratages, à l'époque de cyberguerre que nous vivons, dans lesquelles le wifi serait ciblé en proximité directe.
l'heure est plutot aux imsi catchers et aux Gàv pour les escrocs aux sms bancaires..
et le wifi n'est pas une donnée sensible, c'est un équipement appartenant à ton opérateur, qui peut meme etre loué ; si cela ne te conviens pas, tu es libre d'en changer en prenant les précautions correspondantes.
[^] # Re: Pas sûr
Posté par devnewton 🍺 (site web personnel) . Évalué à 8.
Si Dédé la cambriole connait Gégé le tech support, ça peut être rigolo d'avoir accès au wifi d'une maison pour ouvrir le portail connecté du garage et ne pas s'embêter avec la porte blindée.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Pas sûr
Posté par mahikeulbody . Évalué à 4.
Normalement l'accès au wifi ne suffira pas. Après, si ton portail est accessible en http ou avec 0000 comme mot de passe, c'est un peu comme si tu mettais tes clés sous le paillasson, c'est un autre problème. D'ailleurs, dans le monde des objets connectés, l'accès à distance (via internet) est courant, donc ce problème n'est pas spécifique au wifi.
[^] # Re: Pas sûr
Posté par Psychofox (Mastodon) . Évalué à 4. Dernière modification le 01 juin 2023 à 16:21.
Si Dédé la cambriole connait le tech support, ils vont se connecter à la box à distance directement sans avoir besoin du wifi.
C'est pas super finaud d'avoir une passphrase wifi en clair dans un fichier, mais de toute façon pour le voir tu as sûrement déjà accès au routeur à distance.
Après tout dépend si on parle de fichier en clair sur le routeur ou dans une DB distante.
[^] # Re: Pas sûr
Posté par Enzo Bricolo 🛠⚙🛠 . Évalué à 6.
"Dédé la cambriole" ? c'est le cousin de "enzo la bricole" ?
[^] # Re: Pas sûr
Posté par Faya . Évalué à 4.
Qui parle de gros piratage… Je parle du script teenager (pour ne pas dire kiddie) qui fait du support pour son 1er job et réalise que vu qu'il a l'adresse et le mdp du wifi, il lui serait facile de se poser devant la maison pour scanner le réseau. Un NAS ouvert, un cryptolocker, et voilà il arrondi ses fins de mois. J'ai d'ailleurs un ami Apple fanboy (donc sous MacOS) qui s'est fait chiffrer son NAS, il ne sait toujours pas par où ils sont passés mais il a payé pour récupérer ses photos de famille.
[^] # Re: Pas sûr
Posté par Psychofox (Mastodon) . Évalué à 4.
Le NAS a sûrement été cryptolocké depuis un de ses appareils à lui.
[^] # Re: Pas sûr
Posté par Faya . Évalué à 4.
C'est le plus probable oui. Je ne dis pas qu'ils sont passés par le wifi de la box, juste qu'il y a un intérêt aux "petits piratages".
[^] # Re: Pas sûr
Posté par oinkoink_daotter . Évalué à 2.
Bof. Ca nécessite de se déplacer physiquement à proximité de la cible, ce qui est à la fois cher et risqué pour l'attaquant. Alors que taper dans des bases de données d'email et balancer des mails pourris à x random, c'est quasi gratuit, et sans réel risque.
Aujourd'hui, c'est le risque le plus probable.
# est-ce légal ?
Posté par lejocelyn (site web personnel) . Évalué à 4.
Ça me surprend pas mal. Ce que je me demande, c'est simplement si c'est légal. À priori je dirais non, ça doit sûrement faire partie des données personnelles, mais je n'ai pas vérifié. Et il doit bien y avoir des réglementations qui imposent que ces mots de passe ne soient pas conservés en clair, non ?
[^] # Re: est-ce légal ?
Posté par gUI (Mastodon) . Évalué à 9.
Vu que la box ne t'appartient pas, soit déjà heureux qu'on te laisse le droit de modifier SSID et MdP :D
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
# Commentaire supprimé
Posté par Anonyme . Évalué à 10.
Ce commentaire a été supprimé par l’équipe de modération.
# De source interne : OUI
Posté par Emeric . Évalué à 10.
J'ai bossé sur les boxes des trois opérateurs SFR, Orange et Bytel et c'est très certainement le cas chez les autres :
Ils ont accès à toutes les infos (y compris les mots de passe Wifi, SSID, et co) de ta boxe.
Chez SFR pour avoir eu accès à l'interface utilisée par le service client, la conf complète de la box peut être lue depuis celle-ci. Ils peuvent même redéfinir le mot de passe Wifi, (dés)activer tel ou tel truc…
Il ne faut pas oublier que les opérateurs sont propriétaires des équipements qui sont loués par les utilisateurs.
Pour se prémunir contre ça, la seule solution est de mettre son propre routeur derrière voir même le remplacer.
[^] # Re: De source interne : OUI
Posté par Glandos . Évalué à 4.
Redéfinir un mot de passe peut se faire sans avoir besoin de pouvoir le lire.
Source : Unix/Linux, depuis quoi… 30 ans ?
[^] # Re: De source interne : OUI
Posté par Emeric . Évalué à 3.
Peut-être oui, mais ce que je dis ici, c'est qu'ils y ont accès en lecture
[^] # Re: De source interne : OUI
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 5.
Eh bien c'est juste scandaleux, pour plusieurs raisons :
Bon, comme je disais, c'est du PSK, c'est à dire un mot de passe est transformé et haché afin de créer une clef partagée, connue par la borne et par l'appareil connecté. On ne peut donc pas juste stocker un simple hachage du mot de passe. En revanche, ce qu'on peut stocker côté borne, c'est la clef dérivée du mot de passe. Ceci dit, à la différence d'un système de vérification de mot de passe, la connaissance de cette clef suffit à se connecter, donc ça reste imparfait comme solution.
[^] # Re: De source interne : OUI
Posté par Ph Husson (site web personnel) . Évalué à 4.
et déconnecter ses autres appareils dans la foulée?
[^] # Re: De source interne : OUI
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 10.
Alors, on est quand même dans un cas très, très peu fréquent.
Rappelons que presque personne ne sait qu'on peut changer le mot de passe du réseau wifi. Que parmi ceux qui savent qu'on peut le faire, très peu savent effectivement le faire.
Nous sommes donc ici dans le cas d'un client qui s'y connaît visiblement plutôt bien, puisqu'il fait partie de l'élite qui sait qu'on peut changer ce mot de passe, qui sait le faire, et qui l'a effectivement fait avec succès.
Nous sommes par ailleurs dans le cas encore plus rare où ce client qui s'y connaît plutôt bien a perdu le mot de passe qu'il a lui-même défini. Oui, dans ce genre de cas très rare, il me semble parfaitement acceptable de lui annoncer qu'on peut remettre le mot de passe par défaut, qu'il trouvera sous la boîte, et que ça aura pour effet de déconnecter ses appareils, comme s'il venait de prendre son abonnement à Internet.
Pour un client qui s'y connaît à ce point, reconfigurer ses appareils, ou changer à nouveau le mot de passe n'a rien d'insurmontable, surtout qu'il l'a déjà fait avec succès dans le passé. Et rassurez-vous ce n'est pas parce qu'il doit faire ça qu'il changera d'opérateur, donc ce genre de pratique n'expose l'opérateur à aucun risque de perte de clientèle, ni même d'insatisfaction puisqu'on aura quand même fourni un solution à un client qui sait qu'il a lui-même merdé.
[^] # Re: De source interne : OUI
Posté par Thomas Douillard . Évalué à 7.
Ces clients n’arrivent jamais au support pour ce genre de choses, peut-être contrairement aux grands-parents du petit fiston qui a configuré la box et les équipements, changé le mdp, mais qui ne l’ont plus sous la main au moment du pépin technique …
[^] # Re: De source interne : OUI
Posté par Psychofox (Mastodon) . Évalué à 4.
Vu que le mot de passe est sur l'étiquette et que seule un minorité des utilisateurs le change, il est de toute façon en clair le mot de passe.
[^] # Re: De source interne : OUI
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 4.
En clair oui, mais sur une étiquette sous la boîte. Il n'a aucune raison d'être stocké dans le SI de l'opérateur. La clef qui en dérive oui, mais pas le mot de passe lui-même.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 1.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: De source interne : OUI
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 7.
Je vous parle de votre boîtier de connexion, votre modem-routeur. J'espère que vous ne l'avez pas jeté ou perdu, il ne vous appartient pas. Et vous aurez du mal à vous connecter sans.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 0.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: De source interne : OUI
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 4.
Regarde mieux …si ta box n'est pas de mauvaise foi :)
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: De source interne : OUI
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à 2.
Tu crois qu'elle a aussi un compte sur LinuxFr ?
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: De source interne : OUI
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 1.
Y a un lien qui dit qu’elle a probablement un compte sur fabri.cant s’il y a uefi inside :)
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 2. Dernière modification le 01 juin 2023 à 12:44.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: De source interne : OUI
Posté par barmic 🦦 . Évalué à 3.
Qui a dit qu'ils étaient stocké en clair ? Ça montre qu'ils utilisent une fonction réversible pas qu'il s'agit de la fonction identité :)
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
# Un grep plus tard et c'est le drame
Posté par octane . Évalué à 5.
Les mots de passe wifi sont stockés en clair…
sudo grep "psk=" /etc/NetworkManager/system-connections/*
Et c'est pareil pour un hotspot, le mdp est en clair. Du coup si l'opérateur a un shell root sur la box (et je pense qu'il a un shell root), bin c'est pas très dur d'avoir le mdp wifi…
[^] # Re: Un grep plus tard et c'est le drame
Posté par lejocelyn (site web personnel) . Évalué à 5.
que l'utilisateur ait accès à ses mots de passe en clair, ok (après tout, son disque dur doit être chiffré ;), qu'un autre ait accès à ses mots de passe, ben non, je trouve que ça tue un peu le concept de mot de passe.
Et merci d'avoir rappelé où sont enregistrés les mots de passe, c'est toujours utile :=)
[^] # Re: Un grep plus tard et c'est le drame
Posté par octane . Évalué à 3.
là on parle du hotspot (la box quoi). Le hotspot il stock pareil les mots de passe, en clair. Et la box elle est sous le contrôle de l'opérateur.
Donc l'opérateur (le FAI, ou le technicien du FAI qui prend la main sur ta box quoi) a accès au mot de passe, y'a rien d'étonnant en vrai. De toute façon, la box est gérée par l'opérateur, il a de quoi pousser du code dessus (genre des mises à jour) donc il a un niveau de privilèges super élevé.
Du coup, soit tu lui fais confiance, soit tu considères la box comme hostile. Et là, tu ajoutes un firewall derrière et tu te connectes uniquement par le firewall (et encore ça résoudra pas forcément tous tes problèmes…)
# évidemment
Posté par tkr . Évalué à 2.
qu'en france les FAI ont accès à la clé du wifi, car en france presque toutes les box sont des clients du serveur informatique de ton FAI, pour simplifier
Et surtout : lorsque le tech intervient pour dépanner, il doit pas perdre dix minutes à chercher la clé, voir que c'est l'ancienne ou celle d'un autre AP, etc.. donc oui ils y ont accès et c'est tant mieux, de toute facon ils ont aucun intéret à ce que ca fuite.
[^] # Re: évidemment
Posté par Colin Pitrat (site web personnel) . Évalué à 3.
Le plus gros problème à mon avis c'est la réutilisation. Le support a accès à l'adresse email du client et son mot de passe wifi. Pour 80% des gens qui ont changé le mot de passe du wifi, y'a des chances que ce soit le même.
# Ça me donne une idée
Posté par cg . Évalué à 6.
mais voyons on a pas accès aux mots de passe# L'horreur ordinaire
Posté par sobriquet . Évalué à 2.
J'ai un ami qui a bossé dans une boîte de maintenance et assistance informatique pour PME et petites municipalités. Apparemment, les clients n'ont aucune envie de gérer leurs palanquées de mots de passe et préfèrent déléguer cette charge au prestataire. Résultat : toute l'équipe technique a accès en permanence à tous les mots de passe de tous les clients : box, Wifi, boîtes mail, sessions Windows, … La seule "sécurité" est que les accès aux données clients sont journalisées. Et tout le monde trouve ça normal, car ça rend service au client et ça permet à la boîte d'être plus efficace dans ses prestations.
C'est par ailleurs une boîte qui a l'air très attachée à ITIL :/
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.