S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Le FreeWifi_Secure de Free n’était pas si Secure

Logique, Free Mobile n’est pas gratuit non plus !

Le FreeWifi_Secure de Free n’était pas si Secure

Illustration : Flock

Le FreeWifi_Secure a officiellement fermé boutique le 1ᵉʳ octobre 2025. Il n’était déjà plus que l’ombre de lui-même, puisque absent des dernières générations de box. Ce n’est pas plus mal, puisqu’il comportait une importante faille de sécurité lors de l’authentification des smartphones.

Il y a plus de 15 ans que Free a lancé son réseau Wi-Fi communautaire. Les abonnés Freebox pouvaient partager une partie de leur connexion en échange d’un accès sur les box d’autres clients lors d‘un déplacement. On en parle au passé, car le service est arrêté depuis le 1er octobre pour les clients Free Mobile. C’était déjà le cas pour les clients Freebox depuis 2021.

Free n’est pas le seul à couper les vannes : entre 2021 et 2023, les trois autres opérateurs ont également mis fin à leur réseau Wi-Fi communautaire. Il faut dire que les utilisateurs s’en servaient de toute façon de moins en moins. Entre la quantité de Go dans les forfaits mobiles qui ne fait quasiment qu’augmenter au fil du temps, et la couverture qui s’améliore (comme les débits), passer en Wi-Fi ne représentait plus le même intérêt.

Pas besoin d’IMSI-catcher, l’IMSI est diffusé en clair !

Mais dans le cas de Free, l’histoire a un arrière-gout un peu particulier : celui d’une faille de sécurité. Elle a été révélée par Flavien Ruffel alias 7h30th3r0n3, « hacker éthique » et pentester (expert qui fait des tests d’intrusion) selon son profil LinkedIn. Dans un billet de blog, il détaille « la vulnérabilité qui a tué FreeWifi_Secure ».

Contacté, Free nous confirme bien l’arrêt de FreeWifi_Secure et le justifie par les bonnes performances de son réseau 4G et 5G. L’opérateur n’a par contre pas souhaité répondre à nos questions concernant les informations relevées par Flavien Ruffel. La suite de cet article se base donc exclusivement sur l’analyse de l’expert en cybersécurité.

Dans son histoire, il explique avoir découvert une brèche en testant son Evil-M5 – « un outil innovant développé pour le piratage éthique et l’exploration des réseaux WiFi », selon ses dires – à proximité de sa Freebox. Problème, les smartphones « diffusent leur IMSI en clair lors de l’authentification EAP-SIM ».

IMSI pour International Mobile Subscriber Identity est un numéro unique « attribué à chaque mobile ayant accès au réseau cellulaire », explique Frédéric Launay de l’université de Poitiers. L’IMSI comprend trois parties :

  • « MCC : Mobile Country Code permet de désigner le pays dans lequel est situé l’opérateur.
  • MNC : Mobile Network Code permet de spécifier l’opérateur dans un pays.
  • MSIN : Mobile Subscriber Identification Number, identifie de manière unique un client de l’opérateur »

« Un grave problème de confidentialité »

Aucune attaque particulière n’est nécessaire, il suffit d’être proche de la Freebox et « d’écouter » pour récupérer les IMSI des smartphones à proximité qui veulent se connecter. Pour Flavien Ruffel, c’est « un grave problème de confidentialité permettant le suivi, la corrélation entre IMSI et utilisateur et même une exploitation potentielle via des protocoles de télécommunications comme SS7 ».

En examinant les trames à l’aide de WireShark (logiciel libre pour faire de l’analyse de paquet), il en a remarqué une en particulier contenant son numéro IMSI au complet et en clair : 20815XXXXXXXXXX@wlan.mnc015.mcc208.3gppnetwork.org. Après des tests complémentaires, il confirme que ce n’était pas un cas isolé.

Fin du FreeWifi = fin du problème

Le hacker éthique a alors contacté Free, qui aurait rapidement répondu et reconnu le problème, précisant au passage que la faille était déjà connue en interne. Free n’a pas souhaité non plus nous répondre sur ce point.

L’opérateur lui aurait alors demandé « de retarder la divulgation publique afin qu’il puisse d’abord déployer un programme mondial pour désactiver FreeWifi_Secure sur les appareils concernés », explique-t-il. Ce qu’il a fait, son but n’étant pas d’exposer des données avant que le souci ne soit corrigé.

Le réseau FreeWifi_Secure n’était déjà plus diffusé par les Freebox Delta, Pop et Ultra, mais c’était encore le cas d’anciennes Freebox. Il n’en reste pas moins que, selon le chercheur, « d’innombrables IMSI ont pu être capturés en silence dans l’espace public, sans que les utilisateurs ne le sachent jamais ».

Fermer complétement le réseau Freewifi_Secure règle dans tous les cas définitivement le problème.

Commentaires (20)

votre avatar
Est-ce spécifique à Freewifi_Secure ou est-ce un fonctionnement normal et prévu d'EAP-SIM ?

Dans ce dernier cas, ça ne me parait pas délirant : les téléphones publient bien leur adresse mac quand ils se connectent à un réseau wifi, et, pareil, il suffit d'écouter pour obtenir un numéro unique permettant d'identifier un appareil, et c'est un fonctionnement tout à fait normal et prévu ainsi - même si on utilise de plus en plus les mac randomisées.

Ici, ça fait fuiter l'opérateur de l'utilisateur en plus d'un numéro unique d'identification, mais ça n'est pas particulièrement moins privaticide qu'une autre authentification WiFi.
votre avatar
Je me posais la même question.
Présenté comme c'est, la faille semble venir de Free, mais comme l'IMSI est envoyé en clair, on s'attend à ce que ce soit le mobile qui l'envoie, et donc que la faille vienne du mobile... Du coup, il y a quelque chose qui m'échappe ici.


EDIT : D'après le billet de blog :
If you care about privacy, assume this pattern still exists outside Free: any ISP or roaming Wi-Fi deployment that uses SIM-based auth without protected identities can be trivially profiled.
Ça semble être une faille dans le protocole EAP-SIM avec, si j'ai bien compris, une erreur de "configuration" côté Free qui fait que le téléphone envoie l'IMSI en entier. Mais j'avoue qu'il me manque des billes encore pour bien comprendre en quoi le problème viendrait spécifiquement de FreeWifi_secure, ni pourquoi on ne pourrait pas se faire passer pour un FeeeWifi_secure et ainsi récupérer plein de IMSI (au moins des abonnés Free)...
votre avatar
Est-ce spécifique à Freewifi_Secure ou est-ce un fonctionnement normal et prévu d'EAP-SIM ?
Les deux. La spec précise qu'on peut "optionnellement" utiliser une identité temporaire au lieu de l'identité permanente pour un meilleur anonymat.

https://www.rfc-editor.org/rfc/rfc4186#section-4.2.1.2
4.2.1.2. Identity Privacy Support
EAP-SIM includes optional identity privacy (anonymity) support that can be used to hide the cleartext permanent identity and thereby make the subscriber's EAP exchanges untraceable to eavesdroppers. Because the permanent identity never changes, revealing it would help observers to track the user. The permanent identity is usually based on the IMSI, which may further help the tracking, because the same identifier may be used in other contexts as well. Identity privacy is based on temporary identities, or pseudonyms, which are equivalent to but separate from the Temporary Mobile Subscriber Identities (TMSI) that are used on cellular networks
votre avatar
Malgré la lecture de l'article et des commentaires, je n'arrive pas à comprendre en quoi l'IMSI est si sensible que ça.
La comparaison avec l'adresse MAC me semble pertinente mais en quoi est-ce si problématique ?
votre avatar
C'est indiqué sur la partie SS7 (protocole de signalisation).
En grossier, avec l'IMSI et un opérateur peu scrupuleux ou hacké tu peux te faire passer pour un autre téléphone qui serait en roaming dans un autre pays pour intercepter les SMS 2FA ou te faire passer pour lui.
C'est aussi le cas avec les IMSI catcher, mais c'est en général repérable par le téléphone et les opérateurs.
La ce qui est embêtant c'est la facilité d'exploitation et le fait que contrairement à une mac tu ne peux pas changer ton IMSI et que ton téléphone accrochait les FreeWifi.

Par contre, j'étais certain d'avoir deja vu passer cette faille sur un forum expliquant comment utiliser l'eap-sim de free depuis un pc qui pointait le manquement du passage par une id temporaire.
Et je me demande aussi si cela comble réellement la faille car cela n'enlève pas la configuration des téléphones pour essayer de s'y accrocher..
votre avatar
"En grossier" :D

Merci pour les explications !
votre avatar
Merdalors, mettre "_Secure" ne sécurise donc pas ? :mdr:
votre avatar
alors qu'avec "_Secure_Pro" ce serait plus professionnel donc de la vrai sécurité !
votre avatar
Bon sang, mais c'est bien sûr ! Vite, appelez le marketing !
votre avatar
J'aime le titre et le sous-titre de l'article. ✨

Perso, j'ai toujours détesté les noms commerciaux chez Free, à commencer par le mot "Free" qui veut mélanger plein de définitions mais surtout celle du « gratuit » alors même qu'à l'origine, il fallait un abonnement France Telecom et payer les communications internet dont une partie étaient reversées à "Free". Le FAI Oreka était vraiment gratuit mais pas vraiment libre. Quand c'est gratuit, c'est vous le produit !
votre avatar
À mes yeux, le sens de la marque commerciale Free n'a jamais été "gratuit" (l'offre 56k demandait de payer le prix d'une communication locale, elle ne l'était donc pas) mais "libre". Not "free" as "free beer" but "free speech".

Free proposait des abonnements sans engagement, à la différence de la concurrence à l'époque.
votre avatar
Toute leur communication de lancement était liée à la gratuité, parce que tu n'avais pas à payer de forfait mensuel, ni de numéro surtaxé. Voir la fameuse pub d'époque.

Je n'ai pas souvenir que l'engagement était la norme sur le 56k, c'est plutôt un truc arrivé avec l'ADSL. Quelques opérateurs proposaient une offre avec engagement contre une solide ristourne (AOL Illimité, 99 francs/mois avec engagement 24 mois, 199 francs sans engagement) mais c'était plutôt l'exception ce me semble.

Aux tous débuts de l'ADSL, bien avant leur fameuse offre "30€/mois" et les débuts du dégroupage, Free retentera d'ailleurs l'ADSL "gratuit" : aux débuts de l'ADSL en effet, il fallait payer, outre la ligne téléphonique, un abonnement supplémentaire ADSL à France Télécom + un abonnement à un FAI. Free avait proposé une offre où ils renonçaient à faire payer l'abonnement de leur côté. Restait donc à payer la ligne + l'abo ADSL FT. Ça n'a pas duré longtemps et ça ne marchait, paraît-il, pas très bien.
votre avatar
L'engagement c'est parce qu'en ADSL la mise en place de la ligne coûtait quelque chose à l'opérateur, il voulait donc éviter que son client parte au bout de 2 mois. Alors qu'en RTC l'opérateur n'y avait d'autre à faire que rajouter un client dans sa base de données et/ou lui créditer des heures.

En RTC on pouvait aussi ne pas payer d'abonnement et acheter des heures prépayées au coup par coup, chose impossible en ADSL où c'était abonnement obligatoire et non facturé à l'heure.
votre avatar
Yep. Pour le RTC je me souviens de 3 grandes périodes, par ordre chronologique (à noter que je n'ai pas connu les tous débuts, je sais ce qui s'est passé à partir de 97-98 environ) :


  • Abonnement mensuel payant + communication au prix du tarif local pendant X heures. Si tu dépassais ton quota, tu basculais sur du surtaxé à la minute (Club-Internet avait commencé sur ce type d'offres de mémoire).

  • Abonnement mensuel payant + communication au prix du tarif local illimité (LibertySurf par exemple). Pas de surtaxe. OU Abonnement gratuit mais communication surtaxée très cher dès la première minute (Freesurf par exemple, à ne pas confondre avec Free).

  • Abonnement mensuel payant communications incluses pendant X heures (après tu basculais sur de la tarification au prix d'une comm locale) [Offre Liberty Telecom Premium de LibertySurf par exemple] OU abonnement gratuit et tarification à la minute au prix d'une comm locale dès la première minute [offre Free par exemple].



Pendant la troisième grande période, certains opérateurs ont proposé des abonnements mensuels communications incluses en illimité. Mais beaucoup ont arrêté rapidement ou mis des limitations énormes ou bien ça fonctionnait très mal (OneTel, WorldOnline...). Les seuls qui ont "tenu le coup" à ma connaissance ça a été AOL, et ça leur a probablement coûté plus que ça ne leur a rapporté (mais à l'époque l'important c'était probablement la croissance, faire grossir sa base d'utilisateurs, pas forcément la rentabilité à court terme).

Il y a eu aussi quelques offres purement gratuites comms incluses comme Oreka (18h/mois puis 6h/mois) et M6Net (6h/mois), mais pareil, ça n'a pas fait long feu, ça n'a jamais été rentable.
votre avatar
Oreka avec sa barre de connexion avec des pubs. Il y avait même une invention super à l'époque : les cashbarres on pouvait mettre des barres de pubs et gagner de l'argent. Elles étaient même cumulables.
votre avatar
Houlaaa.... la grande époque de la rue Montgallet, de Surcouf et des CD de connexion sur les comptoirs Free et Liberty Surf :win:
votre avatar
Team Liberty Surf ici, CD récupéré dans un magasin Darty. :D
votre avatar
Wanadoo, Club Internet, AOL, Tiscali... j'en ai fait quelques uns perso :transpi:

Tiscali s'était lui aussi mis à faire un illimité comme AOL à 100 balles par mois, voilà qui permettait de moins souffrir et d'arrêter de me faire tuer à cause de la facture télécom. Désormais je me faisais juste tuer parce que la ligne était tout le temps occupée.
votre avatar
Modem DIVA LibertySurf commandé dans un magasin Darty ^^ Ça ne nous rajeunit pas tout ça...
votre avatar
Fermer complétement le réseau Freewifi_Secure règle dans tous les cas définitivement le problème.
Pas vraiment, rien n’empêche de créer un SSID Freewifi_Secure, et tout les téléphones avec le SSID d'enregistré et à proximité devraient tenter de se connecter en EAP-SIM