Journal FreeMobile ou comment vouloir faire aussi mal que les banques...

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
31
22
fév.
2012

Bonsoir,

Pour les abonnés à Free Mobile, il semblerait que les gens de Free aient eu la magnifique idée de faire comme beaucoup de banques et ils ont mis en place un vieux clavier virtuel immonde. La raison de cette modification semble être que Free n'apprécie pas du tout les applis de "suivi conso" qui commencent à fleurir sur l'Android Market et l'iTruc Store.

Résultat: Comme chez les petits copains. C'est frustrant et énervant de se logger à son compte abonné.

Solution: Je viens de développer ce petit script GreaseMonkey http://userscripts.org/scripts/show/126492

J'attire votre attention sur le fait que je ne suis pas développeur web / JS et que c'est mon 1er script GreaseMonkey. Le code est sûrement crado et/ou pas optimisé mais ça fonctionne et ça permet de retrouver le site tel qu'il était avant cette horrible modification.

  • # Applications

    Posté par  (site web personnel) . Évalué à 10.

    C'est peut être aussi parce que bon nombre de ces applications en profitent pour récupérer le mot de passe et le carnet d’adresses du téléphone...
    Ce n'est pas forcément une bonne réaction, une appli officielle serait mieux, mais en attendant ils ont du choisir de faire ça ce qui permet de rendre ces applis inutiles.

    • [^] # Re: Applications

      Posté par  (site web personnel) . Évalué à 10.

      Je comprends bien pourquoi ils font cela. Quelque-part, on ne peut pas leur en vouloir sauf que:
      1) Interdire les applis réalisées par des "gus dans un garage", pourquoi pas, mais alors ils sortent des applis officielles estampillées "Free Mobile" et tout le monde sera content.
      2) Ils avaient 2 ans pour se préparer et développer en interne ce genre d'appli.

      Dans tous les cas, je ne suis pas intéressé par ce genre d'appli sur mon téléphone et je n'ai pas envie de me coltiner leur saleté de clavier virtuel quand j'ai besoin de consulter mon espace abonné depuis mon PC (et malheureusement aussi sur le browser de mon tél).

      • [^] # Re: Applications

        Posté par  . Évalué à 3.

        2) Ils avaient 2 ans pour se préparer et développer en interne ce genre d'appli.

        Ah ah :-) Vu à quel point ils sont à l'arrache sur le développement de leur offre (les services sont censés s'activer petit à petit) et sur le déploiement du réseau, ça m'étonnerait qu'ils aient eu le temps ne serait-ce qu'à penser à des applis de suivi de conso :-)

        • [^] # Re: Applications

          Posté par  (site web personnel) . Évalué à 5.

          Vu à quel point ils sont à l'arrache sur le développement de leur offre (les services sont censés s'activer petit à petit) et sur le déploiement du réseau, ça m'étonnerait qu'ils aient eu le temps ne serait-ce qu'à penser à des applis de suivi de conso :-)

          Je crois qu'il y a une erreur :

          Vu à quel point ils sont à l'arrache, ça m'étonnerait qu'ils aient eu le temps ne serait-ce que de penser.

          (oué désolé, mais mettre en place une belle archi pour retransmettre leur conf et ne pas être foutu de consolider le site d'inscription, ne pas être foutu de faire la différence entre une string et un int - genre suppression des 0 au début des valeurs des RIB, etc. La liste est longue quand même...)

          • [^] # Re: Applications

            Posté par  . Évalué à 6.

            Ils sont à la bourre, c'est de leur faute, mais il ne faut pas oublier qu'il y avait une date limite mi-janvier, et que s'ils ne l'avaient pas respecté, ils risquaient de perdre leur licence. Lancer leur offre était donc obligatoire, et ils l'ont lancée dans l'état, c'est à dire à l'arrache grave sur tous les plans. Personne ne dit que ce n'est pas de leur faute, par contre une fois à la bourre, ils ne pouvaient rien faire d'autre.

            • [^] # Re: Applications

              Posté par  (site web personnel) . Évalué à 8. Dernière modification le 23 février 2012 à 12:58.

              Oué enfin c'est pas comme si free ne donnait pas l'impression de tout faire de cette manière.
              Free a de très bon côté, mais celui là n'en fait pas partie. C'est toujours à l'arrache ce qu'ils font.
              Et pourtant, ils ont bien réussi à avoir une archi correcte pour leur retransmission.

              par contre une fois à la bourre, ils ne pouvaient rien faire d'autre.

              Ils ont bien recodé le site dans la nuit (enfin avec plein d'erreurs mais bon)

              Et je ne vois pas comment ils ne pouvaient pas s'attendre à un tel afflux...

              (note : j'aime bien free, mais parfois ils donnent vraiment le bâton pour se faire battre...)

              • [^] # Re: Applications

                Posté par  . Évalué à 7.

                Et je ne vois pas comment ils ne pouvaient pas s'attendre à un tel afflux...

                Ils ont du regarder les chiffres des migration vers B&Y, Carré, ou Sosh, et se sont calé la dessus pour quantifier la demande, et ils n'ont pas prévus que certains n'ont pas eu envie de changer deux fois d'opérateur (ou d'abonnement) en moins de 6 mois.

                Sinon, il se sont dit que de toutes façons ils ne tiendrait pas la charge, que ça ferait parler d'eux, et que ça leur coûterai autant de client que ça en rapporterait, voir même que ce serait rentable et que ça ferait de la pub à moindre coût, c'est pas ça qui va changer leur image de marque.

                Il ne faut pas décorner les boeufs avant d'avoir semé le vent

                • [^] # Re: Applications

                  Posté par  . Évalué à 9.

                  Ou alors ils se sont dit que de toute façon, ils ont déjà une fanbase suffisamment importante pour s'abonner quitte à essuyer les plâtres et que le prix à lui tout seul pourrait de toute façon attirer du monde.

            • [^] # Re: Applications

              Posté par  . Évalué à 10.

              C'est moi où tu es limite en train d'expliquer que s'ils étaient en retard c'est à cause des dates butoirs ?

              L'échéance ils l'avaient depuis longtemps, le reste ça s'appelle de la gestion de projet. C'est un métier à ce qu'il paraît.

              Je présume qu'ils ont mis plus de soin à faire de la com' avec leur videos en streaming sur internet qu'à « benchmarker » leur site.

              Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

              • [^] # Re: Applications

                Posté par  . Évalué à 9.

                C'est pas non plus comme si tu pouvais prendre les gars de la com pour leur faire faire de la review de code. La com était au point, les autres non. Mais d'après ce que j'ai compris, il n'y a pas que le site web qui a été fini à 4h du mat la veille, certaines antennes d'après des médisants sont cablées avec du cuivre, Orange trouve que son réseau est un peu trop occupé par rapport à ses prévisions, il faut 3 semaines pour recevoir sa puce SIM, etc etc. Donc oui, je crois qu'ils étaient juste à l'arrache partout. Chez Free, ça a l'air d'être une culture d'entreprise -- des mecs qui courent dans les couloirs en criant "putain putain putain" :-)

                • [^] # Re: Applications

                  Posté par  . Évalué à 3.

                  C'est pas non plus comme si tu pouvais prendre les gars de la com pour leur faire faire de la review de code.

                  Non, mais vu les délais qu'ils avaient, ils pouvaient se payer un ou deux développeurs en Freelance ou une SSII en plateau pour leur bricoler l'appli. Ca aurait pris quoi ? Deux ? Trois mois ?

                • [^] # Re: Applications

                  Posté par  . Évalué à 1.

                  il faut 3 semaines pour recevoir sa puce SIM

                  Sur ce point-là, la faute n'est pas de leur coté mais de celle du GIE qui gère les portages de numéro entre opérateurs : il n'était pas dimensionné pour un pic tel que celui-ci...

                  • [^] # Re: Applications

                    Posté par  . Évalué à 8.

                    C'est pas le GIE qui envoie les cartes SIM. D'ailleurs des gens se sont retrouvés sans aucun forfait parfois pendant plusieurs semaines parce que le GIE avait bel et bien fait la portabilité, mais que Free n'avait pas envoyé la SIM.

                    Il y a effectivement eu un problème de dimensionnement au niveau du GIE, dû aussi au fait que Free (qui en fait partie !) n'avait pas correctement prévu la charge.

                    • [^] # Re: Applications

                      Posté par  (site web personnel) . Évalué à -4.

                      ils ne peuvent envoyer les cartes SIM si le transfert de numéro n'est pas fait...

                      • [^] # Re: Applications

                        Posté par  . Évalué à 9.

                        Si si, ils peuvent.

                        Quand tu vas dans une boutique et que tu fais transférer ton numéro, on n'attends pas que ça soit effectif pour te donner ta carte SIM. On te file même souvent un numéro temporaire pour que tu puisses l'utiliser de suite.

                        • [^] # Re: Applications

                          Posté par  (site web personnel) . Évalué à 2.

                          Ils peuvent mais ne veulent pas pour ne pas avoir de remarque style « Ça fait 3 semaines que j'ai ma SIM mais elle ne fonctionne toujours pas à cause de la portabilité du n° qui n'est pas faite. D'ailleurs pourquoi ils mettent tant de temps, Free, pour porter mon n° ? »

                          C'est compréhensible et avec l'histoire que ça fait, ils se justifient en pointant du doigt le GIE, plutôt que de se faire engueuler.

                          Après, le coup du captcha de merde sur leur site, c'est une GROSSE connerie ! Surtout que l'identifiant est chiant à retenir !

                          Being a sysadmin is easy. As easy as riding a bicycle. Except the bicycle is on fire, you’re on fire and you’re in Hell.

                          • [^] # Re: Applications

                            Posté par  . Évalué à 5.

                            Quel est la différence pour leur image entre ça :

                            Ça fait 3 semaines que j'ai ma SIM mais elle ne fonctionne toujours pas à cause de la portabilité du n° qui n'est pas faite. D'ailleurs pourquoi ils mettent tant de temps, Free, pour porter mon n° ?

                            et ça

                            Ça fait 3 semaines que j'ai mon compte mais j'ai toujours pas ma SIM à cause du trop pleins de demandes qu'ils ont d'un coup. D'ailleurs pourquoi ils mettent tant de temps, Free, pour m'envoyer la SIM ?

                            ?

                            Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

                            • [^] # Re: Applications

                              Posté par  . Évalué à 3.

                              En effet. Par contre j'aurais bien vu ce troisième cas qui aurait été bien mieux pour tout le monde :

                              Mon portage de numéro est un peu à la bourre, mais c'est pas grave, j'ai quand même reçu ma carte SIM Free et j'ai un numéro temporaire en attendant.

                              • [^] # Re: Applications

                                Posté par  . Évalué à 1.

                                De toute façon le coup du GIE pour justifier les délais il n'explique en aucun cas le fait qu'il y ait aussi du retard quand tu ne fais pas de portabilité.
                                Personnellement ma portabilité est allée plus vite que ma commande sans porta.

                                Je dirai plutôt qu'ils sont à la bourre pour envoyer les cartes SIM et quand par hasard le GIE traite un dossier y'a un mec qui courre dans les couloirs de Free en hurlant "putain putain putain grouillez vous d'envoyer une SIM a M. Machin il va avoir sa porta".

                        • [^] # Re: Applications

                          Posté par  (site web personnel) . Évalué à 1.

                          En effet, il y a un an, en changeant d'opérateur et de téléphone, j'ai reçu une nouvelle SIM et un numéro de tel temporaire en 07 pendant une semaine avant que mon 06 soit porté chez mon nouvel opérateur.

                          • [^] # Re: Applications

                            Posté par  (site web personnel, Mastodon) . Évalué à 4. Dernière modification le 24 février 2012 à 10:17.

                            Pour info je suis passé chez Free Mobile récemment, j'ai reçu ma SIM 2 jours avant la portabilité, et je n'avais pas un numéro temporaire, mais mon numéro en cours de portabilité. Donc pendant 2 jours, mes appels sortants de deux téléphones avaient le même numéro. Par contre en attendant la portabilité, tous les appels entrants arrivaient forcément sur l'ancienne SIM.

                            WeeChat, the extensible chat client

                • [^] # Re: Applications

                  Posté par  . Évalué à 3.

                  C'est pas non plus comme si tu pouvais prendre les gars de la com pour leur faire faire de la review de code.

                  Tu as tout à fait raison c'est la politique de l'entreprise d'embaucher des commerciaux/marketeur plutôt que de techniciens.

                  Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

                  • [^] # Re: Applications

                    Posté par  . Évalué à 5.

                    Mais là, en l’occurrence, la politique de l'entreprise c'est pas d'embaucher des commerciaux, c'est de laisser les internautes et même les journalistes faire la com et le marketing à partir d'une fusée en ASCII.

                  • [^] # Re: Applications

                    Posté par  (site web personnel) . Évalué à 3.

                    c'est la politique de l'entreprise d'embaucher des commerciaux/marketeur plutôt que de techniciens.

                    T'a surement du mettre souvent les pieds chez Iliad...

                    • [^] # Re: Applications

                      Posté par  . Évalué à 2.

                      Et ? Ils embauchent des "bras cassés" pour la techniques et un virtuose pour la communication ? Ou alors ils ont d'excellents techniciens mais personnes pour leur dire quoi faire ?

                      En tout cas une chose est sûr pour leur lancement la com était fantastique (même si je ne le vois pas d'une manière positive) et la partie technique a souffert à plusieurs niveaux.

                      Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

                • [^] # Re: Applications

                  Posté par  (site web personnel) . Évalué à 7.

                  des mecs qui courent dans les couloirs en criant "putain putain putain" :-)

                  C'est idiot, mais j'ai immédiatement imaginé la scène avec des geeks et nerds portant des polos marqués "Free" et courant partout en criant ça, et je me suis mis à rire tout seul devant mon écran... :D

                  C'est grave docteur ?

  • # ah oui, c'est moche

    Posté par  . Évalué à 4. Dernière modification le 22 février 2012 à 23:43.

    meme la fonction memoriser le mot de passe de firefox refuse de fonctionner.
    il faut retaper son identifiant avec le clavier virtuel

    du coup, je vais devoir noter mon identifiant quelque part car je ne vais pas m'en souvenir pour l'instant, sympa comme securité

    • [^] # Re: ah oui, c'est moche

      Posté par  (site web personnel) . Évalué à 10.

      En fait, si tu essayes mon script GreaseMonkey, tu verras que ton navigateur n'a pas oublié ton ID si tu l'as mémorisé précédemment...

      Leur truc là c'est vraiment naze et facilement contournable (sinon je n'y serais pas arrivé :).

  • # A choisir

    Posté par  . Évalué à -9.

    Les gens comme toi qui gueulent à cause de l'impossibilité de sauvegarder son mot de passe sont moins nombreux que les gens qui gueulent parce qu'ils se sont fait pirater leur compte à cause de la possibilité de sauvegarder son mot de passe.

    • [^] # Re: A choisir

      Posté par  (site web personnel) . Évalué à 10.

      Je ne sais pas si nous sommes nombreux ou pas mais à lire les commentaires sur, par exemple, cette news: http://www.universfreebox.com/article16589.html je me dis que je ne suis pas un cas isolé !

      Bon... Leur truc ça m'a permis d'écrire mon premier script GreaseMonkey et je suis débarassé de leur machin. Pour les autres... Dommage pour eux :).

    • [^] # Re: A choisir

      Posté par  . Évalué à 10.

      Il me semble que l'on parle d'un couple identifiant/mot de passe envoyé par mail (donc non chiffré et pour beaucoup de monde stocké en clair sur un serveur tiers).

      Il y a quand même bien d'autres points de sécurité à améliorer en premier lieu (ne serait-ce que la possibilité de changer le mot de passe pour avoir quelque chose qui n'a pas transité en clair par internet) plutôt que de pondre une «innovation» non ergonomique et ne respectant pas les critères d'accessibilité.

      En tout cas, merci à l'auteur du script. Ça me permet de ne pas avoir à garder l'identifiant dans un coin de ma tête (mais seulement le mot de passe).

      • [^] # Re: A choisir

        Posté par  . Évalué à -10.

        Je n'ai rien contre le script mais le titre et le ton du journal sont un brin inadaptés.

        • [^] # Re: A choisir

          Posté par  (site web personnel) . Évalué à 10.

          Pardon Monseigneur. La prochaine fois, j'éviterai de partager ce genre de script en pensant qu'il puisse éventuellement aussi servir à d'autres personnes qui ne peuvent pas coder ou qui n'ont pas le temps de le faire.

          Pour le ton du journal, oui, j'avoue que ça m'a énervé leur "invention" là et que ça n'apporte vraiment rien de plus par rapport aux deux champs de saisie classiques login + passwd.

          • [^] # Re: A choisir

            Posté par  . Évalué à -10.

            Ton commentaire n'a aucun sens.

            • [^] # Re: A choisir

              Posté par  (site web personnel) . Évalué à 10.

              C'était hier soir... Il était tard et la fatigue était bien là après une dure journée de boulot et quelques heures dans la soirée à mettre au point ce script.

              Bref. Si ça plaît à certaines personnes, je suis ravi et, pour les autres, vu qu'il n'y a aucune obligation de l'installer, ils seront ravis également.

          • [^] # Re: A choisir

            Posté par  . Évalué à 2.

            ça n'apporte vraiment rien de plus par rapport aux deux champs de saisie classiques login + passwd

            Je ne connais pas le bidule de Free dont on parle mais si j'ai bien compris il s'agit d'un clavier virtuel comme sur certains sites bancaire. Ce que ça apporte c'est d'éviter de voir le mot de passe enregistré par un éventuel keylogger. Donc c'est quand même une petite sécurité supplémentaire. Ou j'ai rien compris ?

            • [^] # Re: A choisir

              Posté par  . Évalué à 5.

              Du coup, la personne derrière toi à bien le temps de te regarder taper le mot de passe.

              • [^] # Re: A choisir

                Posté par  . Évalué à 3.

                Moi si j'ai un mec qui me regarde taper mon mot de passe je l'arrête tout de suite : Euh tu peux me laisser taper mon mot de passe tranquillement ?

            • [^] # Re: A choisir

              Posté par  (site web personnel) . Évalué à 2.

              Ouais enfin si t'as un horrible keylogger qui s'éveille quand tu vas sur le site de ta banque, il peut aussi prendre des captures d'écran...

              • [^] # Re: A choisir

                Posté par  . Évalué à 2.

                C'est quand même plus dur, par exemple la position du clavier virtuel est aléatoire...

                • [^] # Re: A choisir

                  Posté par  . Évalué à 2.

                  Bah pas vraiment, il est juste sous la souris, et c'est le genre d'info qu'une application peut facilement récupérer.

                  Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

                  • [^] # Re: A choisir

                    Posté par  . Évalué à 3.

                    Ah bah c'est mal foutu en effet. Sur le site de ma banque l'emplacement est aléatoire, ainsi que l'ordonnancement des touches. Et puis au bout de trois essais infructueux ça verrouille. Après c'est sûr ce n'est aucunement une preuve de sécurité, et ça ne m'empêche pas de changer le code régulièrement et de garder en tête qu'un jour peut-être je vais me faire pirater mon compte...

                    • [^] # Re: A choisir

                      Posté par  . Évalué à 5.

                      Ah bah c'est mal foutu en effet. Sur le site de ma banque l'emplacement est aléatoire, ainsi que l'ordonnancement des touches.

                      Qu'est-ce qui empêche au keylogger de prendre un printscreen complet de l'écran à chaque clic?

                      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                    • [^] # Re: A choisir

                      Posté par  . Évalué à 5.

                      Sur le site de ma banque l'emplacement est aléatoire, ainsi que l'ordonnancement des touches.

                      Ça ne change à ce qu'il dit : la touche que tu cliques se trouve sous le curseur de ta souris, au moment du clic ! Donc un screenshot de cette zone suffit à connaitre le chiffre...

                      • [^] # Re: A choisir

                        Posté par  . Évalué à 4.

                        Tu peux même te contenter d'un screenshot à la fin de la saisie, vu que le numéro du compte est de toute façon écrit bien en clair sur l'écran.

                        • [^] # Re: A choisir

                          Posté par  . Évalué à 2.

                          le numéro du compte est de toute façon écrit bien en clair sur l'écran.

                          Non quand même pas. Mais je comprends bien le coup des captures d'écran à chaque clic...

                          • [^] # Re: A choisir

                            Posté par  . Évalué à 3.

                            Si si, au fur et à mesure que tu tapes, il s'affiche à l'écran.

            • [^] # Re: A choisir

              Posté par  . Évalué à 3.

              Non en fait c'est plus rigolo que ça, ça n'est pas le mot de passe qui est à rentrer avec le clavier virtuel, mais le numéro de compte ! Le mot de passe, lui, est toujours dans un champ PASSWORD classique. Comme ça le keyloggueur peut quand même récupérer le mot de passe. Lumineux !

              C'est par ici que ça se passe pour le voir par soi même :
              https://mobile.free.fr/moncompte/

              • [^] # Re: A choisir

                Posté par  . Évalué à 0.

                En même temps vu les mots de passe de free vaut mieux pas avoir à les saisir sur un clavier virtuel...
                Vu la tête de mon mot de passe, je peux que pratiquer le copier coller depuis le mail qu'ils m'ont envoyé.

                • [^] # Re: A choisir

                  Posté par  . Évalué à 3.

                  C'est là qu'on se rend compte que pour sécuriser les mots de passe, plutôt que d'arrêter d'en envoyer un unique par mail, non modifiable et stocké en clair, ils ont préféré utiliser un clavier virtuel pour "sécuriser" le login. Ça fait sérieux.

      • [^] # Re: A choisir

        Posté par  . Évalué à 8.

        Il y a quand même bien d'autres points de sécurité à améliorer en premier lieu (ne serait-ce que la possibilité de changer le mot de passe pour avoir quelque chose qui n'a pas transité en clair par internet)

        Je ne sais pas si ca a été fixé mais au début, les mots de passe étaient carrément stoqués en clair sur le serveur puisqu'on pouvait en redemander un autre et réobtenir le meme...

        Donc effectivement, au niveau sécurité, on est franchement a poil.

        • [^] # Re: A choisir

          Posté par  (site web personnel) . Évalué à 10.

          C'est toujours pas changé: mon père a rien compris à leur interface de merde, et a demandé à recevoir son mot de passe par email.
          Résultat: le mot de passe envoyé est le même qu'il y a 2 mois quand il s'est inscrit. C'est définitivement stocké en clair....

          J'attends les premiers hacks d'ici peu...

          • [^] # Re: A choisir

            Posté par  . Évalué à 5.

            Ils ont peut être sécurisé la chose avec un ROT13 !

            • [^] # Re: A choisir

              Posté par  . Évalué à 1.

              Ou le password est obtenu par une dérivation mathématique du login. SAAAALLLLLLLEEEEEe !

              • [^] # Re: A choisir

                Posté par  . Évalué à 4.

                Pis bon, vla le bricolage : je n'ai jamais jamais jamais jamais vu un site qui demande de saisir son identifiant avec un clavier virtuel. WTF ? Ben oui, c'est vrai un mot de passe alphanumérique avec des caractères à la con, c'est dur à saisir avec un clavier virtuel à 10 chiffres ... Fallait ptet y penser un peu avant, non ?

                • [^] # Re: A choisir

                  Posté par  (site web personnel) . Évalué à 4.

                  Tain mais franchement, ils pouvaient pas SIMPLEMENT foutre un CAPTCHA?

                  Je sens qu'ils vont se faire pOwner en règle tellement les gens vont être mécontents.

                  • [^] # Re: A choisir

                    Posté par  (site web personnel) . Évalué à 3.

                    Ah non pas de captcha ! A part emmerder les humains et être inefficace contre les bots, je ne vois pas à quoi ça peut bien servir.

                  • [^] # Re: A choisir

                    Posté par  . Évalué à 2.

                    Toi tu es peut être capable de réussir un captcha, mais il y a des gens pour qui s'est impossible à réaliser ou presque.
                    Moi quand je vois un captcha je renonce si j'ai pas un absolu besoin de franchir cette barrière et parfois je suis contraint de me faire aider...
                    Je préférerai largement un clavier virtuel sur lequel taper un code à 100 chiffres à n'importe quel captcha.

    • [^] # Re: A choisir

      Posté par  . Évalué à 4.

      Le problème n'est pas d'enregistrer le mot de passe, le problème est que l'identifiant est un identifiant de merde (ENCORE UN IDENTIFIANT À RETENIR) et que leur mot de passe est un mot de passe fourni par leur soin… et qu'il est impossible de changer à l'heure actuelle.
      Donc, si je suis en déplacement, et que je veux voir ma conso: Soit je retiens mes identifiants, soit je garde les identifiant/motdepasse en clair dans mes mails.
      Je choisi quoi?

      • [^] # Re: A choisir

        Posté par  . Évalué à 5.

        Je choisi quoi?
        Un outil qui mémorise les mots de passe pour toi et qui les chiffres?

        Bon, j'avoue, comme je fais comme toi, je serais également dans la merde...

  • # J'en avais fait un

    Posté par  (site web personnel) . Évalué à 4.

    J'avais déjà réalisé le script GM à cette adresse :
    http://userscripts.org/scripts/show/126488
    ;)

    Je trouve clairement inutile ce genre de « protection » qu'il n'en est pas une. La preuve est que les applis commencent à redevenir compatible.

    Pour renforcer la sécurité, il aurait été plus judicieux et productif de proposer une API d'accès à certaine donné via une clé couplé à un mot de passe, le tout différent des identifiants de connexion à l'espace abonné.

  • # L’art de faire chier le monde.

    Posté par  . Évalué à 10.

    Alors, les chiffres changent (les images sont générer à la volé) mais apparaissent en clair dans le code (cf. indent_addNumber) :

    <img onclick="ident_addNumber(1, 0)" src="chiffre.php?pos=0" class="ident_chiffre_img pointer" alt="chiffre"><img onclick="ident_addNumber(8, 1)" src="chiffre.php?pos=1" class="ident_chiffre_img pointer" alt="chiffre"><img onclick="ident_addNumber(5, 2)" src="chiffre.php?pos=2" class="ident_chiffre_img pointer" alt="chiffre"><img onclick="ident_addNumber(7, 3)" src="chiffre.php?pos=3" class="ident_chiffre_img pointer" alt="chiffre"><img onclick="ident_addNumber(2, 4)" src="chiffre.php?pos=4" class="ident_chiffre_img pointer" alt="chiffre"><img onclick="ident_addNumber(9, 5)" src="chiffre.php?pos=5" class="ident_chiffre_img pointer" alt="chiffre"><img onclick="ident_addNumber(4, 6)" src="chiffre.php?pos=6" class="ident_chiffre_img pointer" alt="chiffre"><img onclick="ident_addNumber(3, 7)" src="chiffre.php?pos=7" class="ident_chiffre_img pointer" alt="chiffre"><img onclick="ident_addNumber(0, 8)" src="chiffre.php?pos=8" class="ident_chiffre_img pointer" alt="chiffre"><img onclick="ident_addNumber(6, 9)" src="chiffre.php?pos=9" class="ident_chiffre_img pointer" alt="chiffre">							</div>
    
    

    En fait, un humain ne doit pas être capable de rentrer rapidement son mot de passe mais un robot si ! C’est lumineux !

    • [^] # Re: L’art de faire chier le monde.

      Posté par  (site web personnel) . Évalué à 4.

      C'est clair qu'il ne m'a pas fallu beaucoup de temps pour comprendre le fonctionnement de leur truc. J'ai plus galéré à coder le script (car je ne connais pas du tout GreaseMonkey et le JS).

    • [^] # Re: L’art de faire chier le monde.

      Posté par  . Évalué à 7.

      Et même si les chiffres n'apparaissaient pas en clair dans le code, l'image est en PNG et est indentique à chaque fois pour le même chiffre. Donc il suffit d'en calculer le MD5 et de garder en mémoire une correspondance MD5 vers chiffre affiché.

      C'est ce qu'utilise le module Perl pour La Banque Postale et c'est surement la technique utilisée par Boobank.

      • [^] # Re: L’art de faire chier le monde.

        Posté par  . Évalué à 8.

        Et le jour où il s'amuseront à rajouter un bruit aléatoire sur l'image il suffira d'utiliser un module d'OCR qui se débrouillera mieux qu'un humain pour le faire. Mais le but ce n'est absolument pas d'augmenter la sécurité, ou d'empêcher les robots. Le but, c'est d'augmenter l'impression de sécurité (auprès d'une écrasante majorité de la population) (Le problème est qu'il suffit, pour cela, d'inventer un nouveau système et de dire "c'est super sécurisé" et ça marche.)

        Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

        • [^] # Re: L’art de faire chier le monde.

          Posté par  . Évalué à 7. Dernière modification le 23 février 2012 à 18:35.

          Le fait est que je suis en train de m'intéresser au problème pour weboob. Et le md5, aucune chance. L'image change à chaque rechargement (l'effet de profondeur des touches du clavier, la couleur du rouge qui compose le chiffre, etc).

          Clairement, le problème ici est d'empêcher les robots. Ils ne se seraient pas fait autant chier si c'était pour une illusion de sécurité. Typiquement, pour beaucoup de banque le MD5 suffit, ou à défaut un filtre sur une couleur particulière de l'image, qui ne change jamais. Rien de bien compliqué, et c'est normal ils ne cherchent pas à bloquer les robots (a priori).

          Ici, c'est probablement faisable en filtrant avec les pixels qui dépassent une certaine valeur de rouge. Mais on est plus dans l'illusion pour l'utilisateur lambda, on rentre bien dans l'emmerdement maximum pour programmer des applications.

        • [^] # Re: L’art de faire chier le monde.

          Posté par  . Évalué à 5.

          Le but, c'est d'augmenter l'impression de sécurité (auprès d'une écrasante majorité de la population)

          Ou peut-être auprès du décideur pressé qui exige une solution solide pour demain.
          Et là, le chef de projet lui sort un truc "comme les banques" donc hein, c'est sécurisé à mort.

    • [^] # Re: L’art de faire chier le monde.

      Posté par  . Évalué à 3.

      Et donc, les applis contre lesquelles ils prétendent vouloir lutter vont très vite s'adapter.

      THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

  • # merci!

    Posté par  . Évalué à 3.

    merci beaucoup pour ton script, très pratique !! ce genre d'authentification m'a toujours fortement déplu..

  • # Ouch...

    Posté par  (site web personnel) . Évalué à 3.

    Ça n'aura pas duré longtemps... Free vient de modifier son site et mon script il est tout cassé !!!

    Ça semble un poil plus compliqué maintenant mais je vais voir si je peux contourner leur truc.

    • [^] # Re: Ouch...

      Posté par  . Évalué à 2.

      Bof, pas grand chose n’est cassé, ils ont juste changé le premier argument de indent_addNumber de int vers string.

      • [^] # Re: Ouch...

        Posté par  (site web personnel) . Évalué à 7.

        Non... Je pensais aussi au début mais leur modif est un peu plus subtile que ça...

        Pas grave, le script est à présent à jour et fonctionne !!!

  • # Ils ne savent pas que c'est moi ?

    Posté par  . Évalué à 0.

    Quand je me connecte avec mon tél, ils pourraient faire l'effort de faire le lien avec mon compte.
    Pas sur que ce soit moi qui manipule le téléphone, mais la personne qui aurait mon tél a certainement mieux à faire que pirater mon compte free quitte à profiter de la situation.

  • # marche pas ?

    Posté par  (site web personnel) . Évalué à 1.

    je viens de l'installer (pas question que j'apprenne les 2 identifiants qu'ils m'ont donné !), le formulaire s'affiche bien, je peux choisir mes identifiants (en effet précédemment mémorisés), il me met le mot de passe, mais quand je valide il revient au formulaire (pas de message d'erreur)...
    z'ont encore changé qqch ?

    • [^] # Re: marche pas ?

      Posté par  (site web personnel) . Évalué à 1.

      Oui... Encore ! Et là, c'est un peu plus galère à contourner (du moins avec mes maigres connaissances) !

  • # hard mode

    Posté par  . Évalué à 1.

    Maintenant on a des touches avec un arrière plan qui change un peu. Il va falloir passer à l'OCR.

    S'ils voulaient faire simple et sécurisé ils prendraient le numéro de tél en id et ils enverraient un mdp par sms, comme fait Google.

    • [^] # Re: hard mode

      Posté par  . Évalué à 3.

      Ouhai mais non ils ont préféré nous refourguer des identifiants et mots de passe impossibles à mémoriser pour être sur qu'on les garde sur un post-it (numérique ou non).

      Bon ceci dit, critiquons pas trop, limite je trouve que leur site développé à l'arrache, disposant de 0 fonctionnalité est déjà plus utile / pratique que celui d'orange ;)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.