Journal Insécurité sur le WebMail de Free.fr

Posté par (page perso) .
Tags : aucun
0
9
mai
2004
Après une attente en vain d'une réponse de Free.fr, je me demande si je n'ai pas rêvé.
Une amie est venue sur mon site via le webmail (Imp) de Free.
En allant à l'url de ce référent je suis tombé sur le compte mail, avec la possibilité de consulter ses mail, en envoyer, etc.
Je voulais savoir si c'était un problème de Free ou d'Imp ?

N.B. : Je me suis rendu sur le webmail de free moins de 10 minutes après que mon amie ait laissé son référent dans mes stats. Donc, je suppose un problème de session.
Si j'ai une réponse je la posterais là : http://blog.flyounet.net/2004/05/09/BG5dR-Insecurite-Du-Webmail-Imp(...)
  • # J'ai eu aussi.

    Posté par (page perso) . Évalué à 8.

    J'ai été "victime" du même coup, via une url vers un blog dans un mail. Heureusement, la personne propriétaire du blog n'était pas un vilain pirate et m'en a informé :)
    Par la suite, avec un ami qui a aussi un compte free, on a pu reproduire très exactement le problème. En fait, pour accéder à une boîte imp.free déjà ouverte sous un navigateur, il suffit d'avoir le numéro de session à mettre dans l'url, ça marche depuis n'importe quel poste n'importe où. C'est un peu gros !!

    Je me suis fendu d'un rapport de bug détaillé (et exprimant clairement la gravité de la chose) à free mais pas de réponse à ce jour (ça fait quoi, une semaine maintenant). En attendant, je ne clique plus jamais sur une url dans un mail sous imp, et je ferme vite mes sessions !
    • [^] # Re: J'ai eu aussi.

      Posté par (page perso) . Évalué à 1.

      Ok, donc c'est pas une erreur de sa part (à mon amie) qui ne se serait pas déconnectée, ni rien de tout cela.

      Bon ben Free, ça fait peur. Si quelqu'un réussi à avoir une réponse de Free, je veux bien qu'il nous le communique ici.
      • [^] # Re: J'ai eu aussi.

        Posté par (page perso) . Évalué à 4.

        Tu as évoqué ton problème sur le newsgroup proxad.free.support ? A priori tu auras plus de chance de toucher le responsable du webmail que par mail.

        Pensez à l'environnement avant d'imprimer ce commentaire - Please consider the environment before printing this comment

        • [^] # Re: J'ai eu aussi.

          Posté par (page perso) . Évalué à 1.

          Non, je n'ai pas chercher sur les newsgroups. N'étant pas un abonné de Free, je ne sais pas si les newsgroups Free sont accessibles ou non aux non abonnés ?
          Par contre les abonnés Free peuvent peut-être se renseigner...
          • [^] # Re: J'ai eu aussi.

            Posté par (page perso) . Évalué à 4.

            Pour accéder à news.free.fr qui héberge les newsgroups il faut soit être connecté à Free soit utiliser des identifiants d'un compte gratuit accès libre.

            Sinon tu peux utiliser cette passerelle news-http pour poster ton message : http://www.webatou.net/modules.php?name=pxd&op=thread&group(...) (si tu ne veux pas avoir un nom générique il faut s'enregistrer sur Webatou).

            Au pire je pourrai poster ton message ce soir si tu n'es pas pressé...

            Pensez à l'environnement avant d'imprimer ce commentaire - Please consider the environment before printing this comment

        • [^] # Re: J'ai eu aussi.

          Posté par . Évalué à 2.

          Le problème a déjà été évoqué dans proxad.free.support il y a quelques mois.

          Aucune réponse...
  • # Ptet les autres

    Posté par . Évalué à 0.

    Ce n'est peut etre pas le seul webmail a etre faillible de cette facon
    • [^] # Re: Ptet les autres

      Posté par . Évalué à 6.

      C'est même une chose certaine : tout système d'identification basé uniquement que l'identifiant de session dans l'URL est faillible. Par exemple, il suffit que je recoive un mail de ta part avec l'URL de ton site et que je consulte mes messages avec un système comme IMP qui mettrait l'identifiant de session directement dans l'URL. Je clique sur l'URL de ton message et tu récupères mon identifiant de session dans tes logs de référants : si je suis encore connecté et que je n'ai pas terminé ma session, il te suffit de te rendre à l'URL contenant l'identifiant de session.

      Un solution simple serait d'associer une variable contenant l'adresse IP dans les données de session (avec PHP, c'est du côté serveur donc inacessible aux clients ) et de vérifier que la personne qui présente telle session a bien l'IP associée à cette session. Une autre solution pour encore plus de fiabilité est de ne pas encoder l'identifiant de session dans l'URL, mais directement dans le cookie côté client (la variable côté serveur associée à la session et qui contient l'IP permettra d'éviter qu'une migration du cookie sur une autre machine ne fonctionne, sauf si les deux machines sont derrières la même passerelle). Ce ne sont que des exemples, plusieurs solutions existent évidemment, mais celles-ci sont assez simple à mettre en oeuvre.

      « Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »

      • [^] # Re: Ptet les autres

        Posté par (page perso) . Évalué à 1.

        Un solution simple serait d'associer une variable contenant l'adresse IP dans les données de session

        Ah, ça ne marchera pas avec AOL, le navigateur intégré passe par un genre de proxy, et l'adresse IP vue du Ternet change à chaque requète http. Donc, on peut supposer que les gens passant par des proxys peuvent avoir le même souci d'@ flottante.

        * Ils vendront Usenet^W les boites noires quand on aura fini de les remplir.

        • [^] # Re: Ptet les autres

          Posté par (page perso) . Évalué à 2.

          Faudrait ajouter un cookie plutot (avec un info differnete, par exempel une version cryptée avec la clé du serveur de l'id de session)
      • [^] # Re: Ptet les autres

        Posté par (page perso) . Évalué à 2.

        phpbb fait un truc comme ca
        - identifiant de session, en cookie si possible, sinon en GET
        - vérification sur l'ip, il faut qu'elle soit quasiment identique (trois premiers groupes identiques je crois)
        matez phpbb pour regarder comment c'est fait

        Avec AOL, si on passe par un navigateur hors de leur interface ça marche, via l'interface c'est la merde.

        Voila
        Cédric
        éleveur de newbies sous AOL qui veulent accéder à son forum
  • # Ce qu'il faut faire

    Posté par . Évalué à 2.

    En fait il faut :

    1°/ Vérifier l'ip (mais le nat ça n'aide pas, vive ipv6)
    2°/ Utiliser un cookie aulieu du PHPSSID
    • [^] # Re: Ce qu'il faut faire

      Posté par (page perso) . Évalué à 2.

      Un début de réponse : http://blog.flyounet.net/2004/05/09/BG5dR-Insecurite-Du-Webmail-Imp(...)

      Free semble avoir désactivé les cookies car trop de support à faire avec les gens refusant les cookies.

      Reste le 1. En le stockant dans la session. Et à chaque changement, d'ip tu redemandes l'authentification. Mais comme tu dis avec du Nat, c'est pas valable.
      • [^] # Re: Ce qu'il faut faire

        Posté par (page perso) . Évalué à 2.

        la verif de l'ip ne marche pas partout :
        via aol ou chez certaines boites (edf), l'ip apparente change car il existe des proxys transparents (plusieurs, sur des ips publiques distinctes...)

        on a eu le coup avec alternc, alors l'authentificateur ne vérifie pas l'ip, il la stocke tout au plus dans les logs ...
  • # Ca semble étrange...

    Posté par . Évalué à 1.

    C'est normal si l'utilisateur ne s'est pas déconnecté.

    En fait doit y avoir un cookies qui indique le profile de la personne connectée + un numéro de session.

    Quand on se connecte à imp.free.fr avec son mot de passe + login on ouvre un numéro de session - aléatoire donc impossible en théorie à deviner et on a un cookie qui nous identifie...

    Le mélange cookie + numéro de session donne l'accès.

    Si une personne est connectée et ne se déconnecte pas alors une personne qui à le même ordinateur accède à son mail...

    En théorie ça marche presque comme ça - je ne connais pas IMP en profondeur...

    En tout cas, il ne me semble pas possible qu'une personne possédant uniquement le numéro de cession puisse se connecter à moins qu'il y a du CSS dans l'air mais bon c'est une autre histoire. Sans CSS c'est surement un bug de sécurité dans IMP car une personne qui génére de façon aléatoire des url avec numéro de session pourrait accèder à des comptes mails...

    Mais attention l'existance d'un tel bug me semble étrange pour IMP qui est assez sécurisé de réputation et reste à démontrer...
  • # petit test et explications

    Posté par . Évalué à 9.

    vous pouvez faire ce test :

    * ouvrir une session imp sur imp.free.fr
    * copier l'url
    * ouvrir un nagivateur dans un autre processus (completement indépendant, via les profil par exemple)
    * coller l'url et ouvrir.

    -> ouverture du compte sans mot de passe !

    cela signifie que l'intégralité des informations nécessaires a la connexion sont fournis dans l'URL. En effet, on voit qu'il y a une ou 2 clés. C'est le cas parce que les sessions ne sont pas transmises par cookie mais via l'url comme expliqué dans un post.

    les sessions en php sont gérées de 2 facons :
    * par cookies, mais pas toujours supportées (desactivé par les utilisateurs rebels),
    * par transmission d'une clé via l'url (c'est notre cas)


    et pourquoi ca peut-etre grave.

    hé bien, dans ce cas, cela peut etre tres grave si vous recevez des mails avec liens externes. En effet lorsque vous cliquez sur le liens, automatiquement le referer est transmis en meme temps que la requete. Et dans ce "referer", on dispose de toutes les informations de connexion. Ces informations de session assurant la connexion au compte perdurent le temps de la connexion sur imp. Elle peuvent donc durer une journée complete.

    Attention, il n'est point besoin de cliquer pour transmettre un referer. Un simple mail au format HTML avec un include d'une image devrait suffit. De la a réaliser un traitement automatique que l'on nomme virus ... et nous voila pas loin d'une tempete de l'internet.

    Pour corriger ce probleme :
    * demander a free.fr de remettre transitoirement les cookies,
    * faire en sorte que les referers ne soient pas transmis sur le serveur imp :
    ** au mieux c'est une configuration Apache,
    ** sinon, c'est un peu de code php : il est possible de forger un header a la mimine ...
    * jongler avec les adresses IP, mais c'est pas toujours tres facile suivant les lieux de connexion : proxy, entreprise, fai.
  • # hu ?

    Posté par . Évalué à 3.

    Personnelement, plutot que de risquer les comptes mails de mes administrés, je prefere les embeter a autoriser les cookies venant de mon site. Un navigateur digne de ce nom permet ce filtrage.

    D'après la doc PHP :

    "For example, if you want to protect users from simple social engineering tactics, you need to enable session.use_only_cookies. In that case, cookies must be enabled unconditionally on the user side, or sessions will not work."

    C un mauvais choix de free à mon avis.
    • [^] # Re: hu ?

      Posté par (page perso) . Évalué à 3.

      RAAAAAAAAaaaAAa, 'tain, je viens de tester sur mon IMP en prod à la boite:
      - dans mozilla, je refuse les cookies
      - tjrs dans mozilla, connection au webmail, copie de l'url (avec l'id de session)
      - lancement de konqueror
      - attente pendant le chargement de konqueror *
      - je fais du thé*
      - konqueror apparait lentement*
      - je colle l'url dans konqueror et hop, j'ai mes emails sans authentification :(

      Merci pour ton commentaire donc. Je regarde cette directive.

      * indice pour aider certains
  • # Autre solution

    Posté par . Évalué à 4.

    Si ils ne veulent pas du tout reactiver les cookies, ils peuvent de s'attaquer a l'effet visible de leur choix: le referer. En generant une page intermediaire qui faira une redirection vers le site donne dans le mail, ce qui permettra d'eviter ce genre de probleme. Meme si ce n'est qu'un placebo...
  • # La question est ouverte sur le newsgroup de Free

    Posté par (page perso) . Évalué à 1.

    Merci à la personne qui a créé le fil de discussion sur le newsgroup de Free ( accessible via http://www.webatou.net/modules.php?name=pxd&op=article&id=6(...) ).
  • # Et si ce n'était pas Free qui est en faute ?

    Posté par (page perso) . Évalué à 1.

    Hum, sans vouloir jeter de pavé dans la marre, le webmail de Free n'est pas développé par Free... mais bel et bien par Horde. Et oui, donc je reste assez perplexe vis-à-vis des mails que vous envoyez aux administeurs de ce très cher FAI. La faute semble plutôt reposer sur IMP en général, et pas l'installation de Free en particulier.

    De ce fait, je pense qu'il serait plus judicieux de voir du côté de Horde si ce problème a été réglé... et éventuellement proposer à Free de se mettre à jour...

    Voilà.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.