Double intrusion chez Orange : le gouvernement répond à un sénateur

Je vais bien, tout va bien...

Double intrusion chez Orange : le gouvernement répond à un sénateur

Le 01 août 2014 à 09h40

Commentaires (28)

votre avatar
votre avatar







Crazy Diver a écrit :



Juste pour le fun : une facture de 1500 x nb de clients impactés par ce défaut de sécurisation caractérisé ça ferait un bon exemple …







@Crazy driver



+100

En fait les sociétés font le calcul suivant :

coût de la sécurisation comparé à coût du piratage.

Comme les gens ont bien gentiment intégré que mais non ma petite dame on peut rien y faire! coût du piratage = négligeable. C’est pas pour rien que dans beaucoup de boîtes le responsable informatique est aussi le comptable.

Pas besoin d’une br…tte législative de plus, la solution la plus simple la classe action. Si orange se retrouve à payer 15 000€ par adresse compromise je sens qu’ils se décideront à vérifier les saisies utilisateurs et les accès en base de donnée. Mais heureusement le gouvernement à exclu les providers du dispositif de class action <img data-src=" />

Et j’aimerais savoir ce qu’on entend par “compromis” les entrées en BD elles étaient cryptées? Salées? Hashées? Ou alors en clair comme pour le site de Pearl?





votre avatar







flamwolf a écrit :



@Crazy driver



+100

En fait les sociétés font le calcul suivant :

coût de la sécurisation comparé à coût du piratage.

Comme les gens ont bien gentiment intégré que mais non ma petite dame on peut rien y faire! coût du piratage = négligeable. C’est pas pour rien que dans beaucoup de boîtes le responsable informatique est aussi le comptable.

Pas besoin d’une br…tte législative de plus, la solution la plus simple la classe action. Si orange se retrouve à payer 15 000€ par adresse compromise je sens qu’ils se décideront à vérifier les saisies utilisateurs et les accès en base de donnée. Mais heureusement le gouvernement à exclu les providers du dispositif de class action <img data-src=" />

Et j’aimerais savoir ce qu’on entend par “compromis” les entrées en BD elles étaient cryptées? Salées? Hashées? Ou alors en clair comme pour le site de Pearl?





oué bon enfin il ne faut pas vouloir l’impossible non plus en demansant 100% de sécurité avec un SI très complexe et qui est une bonne cible vu sa visibilité . Ce n’est pas en faisant des classes actions à tour de bras que cela changera énormément à la sécurité. Sinon il faut se présenter à Orange et leur présenter la solution miracle


votre avatar







the_frogkiller a écrit :



oué bon enfin il ne faut pas vouloir l’impossible non plus en demansant 100% de sécurité avec un SI très complexe et qui est une bonne cible vu sa visibilité . Ce n’est pas en faisant des classes actions à tour de bras que cela changera énormément à la sécurité. Sinon il faut se présenter à Orange et leur présenter la solution miracle





sachant, en plus, que ladite solution doit probablement couter des sous et qu’elle fera surement doublon avec les préconisations en la matière d’une experte en sécurité informatique qu’ils ont déjà en interne (indice : son nom commence par un A) <img data-src=" />


votre avatar







the_frogkiller a écrit :



oué bon enfin il ne faut pas vouloir l’impossible non plus en demansant 100% de sécurité avec un SI très complexe et qui est une bonne cible vu sa visibilité . Ce n’est pas en faisant des classes actions à tour de bras que cela changera énormément à la sécurité. Sinon il faut se présenter à Orange et leur présenter la solution miracle







Je suis près à parier l’inverse, jusqu’à présent sur l’ensemble des articles concernant des piratages j’ai relevé un nombre affolant de “failles” connues depuis des années.

Je conseil à ceux que ça intéresse le dernier numéro de MISC sur la sécurité informatique des réseaux industriels juste histoire de vous faire peut si vous vivez en zone SEVESO…


votre avatar







WereWindle a écrit :



sachant, en plus, que ladite solution doit probablement couter des sous et qu’elle fera surement doublon avec les préconisations en la matière d’une experte en sécurité informatique qu’ils ont déjà en interne (indice : son nom commence par un A) <img data-src=" />







Albanel ? Pare-feu OpenOffice toussa…



—–&gt; [ <img data-src=" /> ]



<img data-src=" />



<img data-src=" />


votre avatar



ce ne serait sans doute pas un mal, forçant au passage les services à mieux sécuriser leurs données afin d’éviter de faire les gros titres.





  • 1

votre avatar

Tiens, c’est amusant. Je suis chez Orange et j’ai eu récemment eu la joie de découvrir que quelqu’un avait utilisé le service Contact+ pour me tirer 13€. Quand on juxtapose les piratages successifs d’Orange à ce genre d’arnaque, c’est fascinant…

Soit dit en passant, merci à Orange d’activer par défaut de tels services propices aux arnaques plutôt que de demander à l’utilisateur de l’activer sciemment

votre avatar







flamwolf a écrit :



@Crazy driver



+100

En fait les sociétés font le calcul suivant :

coût de la sécurisation comparé à coût du piratage.

Comme les gens ont bien gentiment intégré que mais non ma petite dame on peut rien y faire! coût du piratage = négligeable. C’est pas pour rien que dans beaucoup de boîtes le responsable informatique est aussi le comptable.

Pas besoin d’une br…tte législative de plus, la solution la plus simple la classe action. Si orange se retrouve à payer 15 000€ par adresse compromise je sens qu’ils se décideront à vérifier les saisies utilisateurs et les accès en base de donnée. Mais heureusement le gouvernement à exclu les providers du dispositif de class action <img data-src=" />

Et j’aimerais savoir ce qu’on entend par “compromis” les entrées en BD elles étaient cryptées? Salées? Hashées? Ou alors en clair comme pour le site de Pearl?





Et c’est la même pour les banques. Les coûts de piratage et d’utilisations frauduleuses sont juste considérés comme des pertes normales, des coûts, et c’est inclus dans les coûts des service et d’abonnement des clients.

Pourquoi faire des efforts pour sécuriser leur service sachant que de toute façon, ce sont les clients qui payent ? C’est là où des lois pour forcer les entreprises à avoir des prérequis et des audits externes de sécurité prennent tout leur sens. Les clients n’ont pas le levier suffisant pour forcer la sécurité dans les entreprises et en plus, la plupart des gens n’est même pas consciente qu’elle paye les manques de sécurisation des entreprises de service.


votre avatar







damaki a écrit :



Tiens, c’est amusant. Je suis chez Orange et j’ai eu récemment eu la joie de découvrir que quelqu’un avait utilisé le service Contact+ pour me tirer 13€. Quand on juxtapose les piratages successifs d’Orange à ce genre d’arnaque, c’est fascinant…

Soit dit en passant, merci à Orange d’activer par défaut de tels services propices aux arnaques plutôt que de demander à l’utilisateur de l’activer sciemment







Et encore, c’est plus feinté que ça.

(je précise d’avance que je bosse au Service Client Pro Orange pour appuyer ce que je vais dire).



Le fait est que la session PPP d’un utilisateur va automatiquement loguer tout utilisateur de la LiveBox en ETH comme en WIFI (WIFI personnel, pas le HotSpot évidement).



Donc n’importe qui qui se connecte sur le WIFI de Pierre, Paul ou Jacques est reconnu sur le site d’Orange (Pro comme résidentiel, c’est différent pour les Business) peut avoir accès au compte du souscripteur, ainsi qu’à ses options & co’.



Et donc évidement le paiement sur internet par facturation sur sa ligne Orange via les Services “Internet +” & “Contact +” est de la partie.



Cela dit, il est improbable que l’on t’aie “volé” tes identifiants PPP (le FTI/ + MDP) puisque tu aurais des déconnexions & pertes de tes services (VoIP, TV, Internet, etc) et tu t’en serais bien rendu compte à mon avis ^^



Et il est tout aussi improbable que quelqu’un t’aie “volé” tes identifiants de ton compte Orange en ligne puisque même si la BDD Orange a été piratée, tout est chiffré.



Donc AMHA je t’invite à vérifier du côté des gens qui peuvent ou ont pu se balader sur ton réseaux local (que ce soit un voisin, un passant, ou même un ami lors d’une LAN chez toi).



D’expérience, et j’en vois tous les jours chez les Pro, personne n’est à l’abri d’un proche qui te rajoute un truc sur ta facture et dont tu ne pourra jamais rien prouver.





—————-&gt; La parade à cette arnaque est simple : aller sur son Webmail Orange, se balader dans les options du compte et créer une seconde adresse mail. Ainsi lors d’une tentative d’accès au Compte Orange, les gens devrons s’identifier obligatoirement sur l’une ou l’autre boite mail, et donc connaitre les logs :)





Pour terminer, il est vrai qu’Orange devrait désactiver ces deux services par défaut, mais il est tout autant vrai que personne ne devrait donner accès à son réseau local sans avoir confiance.


votre avatar

A supprimer ._.

votre avatar







philanthropos a écrit :



Et encore, c’est plus feinté que ça.

(je précise d’avance que je bosse au Service Client Pro Orange pour appuyer ce que je vais dire).



Le fait est que la session PPP d’un utilisateur va automatiquement loguer tout utilisateur de la LiveBox en ETH comme en WIFI (WIFI personnel, pas le HotSpot évidement).



Donc n’importe qui qui se connecte sur le WIFI de Pierre, Paul ou Jacques est reconnu sur le site d’Orange (Pro comme résidentiel, c’est différent pour les Business) peut avoir accès au compte du souscripteur, ainsi qu’à ses options & co’.



Et donc évidement le paiement sur internet par facturation sur sa ligne Orange via les Services “Internet +” & “Contact +” est de la partie.



Cela dit, il est improbable que l’on t’aie “volé” tes identifiants PPP (le FTI/ + MDP) puisque tu aurais des déconnexions & pertes de tes services (VoIP, TV, Internet, etc) et tu t’en serais bien rendu compte à mon avis ^^



Et il est tout aussi improbable que quelqu’un t’aie “volé” tes identifiants de ton compte Orange en ligne puisque même si la BDD Orange a été piratée, tout est chiffré.



Donc AMHA je t’invite à vérifier du côté des gens qui peuvent ou ont pu se balader sur ton réseaux local (que ce soit un voisin, un passant, ou même un ami lors d’une LAN chez toi).



D’expérience, et j’en vois tous les jours chez les Pro, personne n’est à l’abri d’un proche qui te rajoute un truc sur ta facture et dont tu ne pourra jamais rien prouver.





—————-&gt; La parade à cette arnaque est simple : aller sur son Webmail Orange, se balader dans les options du compte et créer une seconde adresse mail. Ainsi lors d’une tentative d’accès au Compte Orange, les gens devrons s’identifier obligatoirement sur l’une ou l’autre boite mail, et donc connaitre les logs :)





Pour terminer, il est vrai qu’Orange devrait désactiver ces deux services par défaut, mais il est tout autant vrai que personne ne devrait donner accès à son réseau local sans avoir confiance.





Ca je le savais, en effet. Un de mes potes a été presta admin réseau pour une petite clinique. Il me racontait qu’avant qu’il n’arrive (et ne crée un second compte mail) les clients avaient l’accès complet au site du modeste compte orange de la clinique.

Pour mon cas, je n’a pas trop d’idée sur le coupable, c’est bien pour ça que j’imaginais ça couplé à une faille de sécurité. Dans le doute, j’ai de toute façon changé le mot de passe du compte et revérifié que les numéros de tel et les adresses mails du compte étaient bien les miens.



votre avatar







Et encore, c’est plus feinté que ça.

(je précise d’avance que je bosse au Service Client Pro Orange pour appuyer ce que je vais dire).



Le fait est que la session PPP d’un utilisateur va automatiquement loguer tout utilisateur de la LiveBox en ETH comme en WIFI (WIFI personnel, pas le HotSpot évidement).



Donc n’importe qui qui se connecte sur le WIFI de Pierre, Paul ou Jacques est reconnu sur le site d’Orange (Pro comme résidentiel, c’est différent pour les Business) peut avoir accès au compte du souscripteur, ainsi qu’à ses options & co’.



Et donc évidement le paiement sur internet par facturation sur sa ligne Orange via les Services “Internet +” & “Contact +” est de la partie.





Perso je suis chez Bouygues et je fais fasse à un refus de me donner mes identifiants PPPOE, ce qui m’empêche même de me protéger de ce genre trucs…

votre avatar







flamwolf a écrit :



Perso je suis chez Bouygues et je fais fasse à un refus de me donner mes identifiants PPPOE, ce qui m’empêche même de me protéger de ce genre trucs…







Dans l’absolu, ils sont obligatoirement tenus de te les communiquer quoi qu’il se passe, le cas échéant, par courrier postal lent (entre 4 et 7 jours).





Nous on a un outils pour ça et en deux clics c’est réglé le client reçoit tout par courrier. C’est triste que Bouygues ne le fasse pas ou qu’il faille quémander pour ça.





Après, il faut savoir que la plupart des opérateurs ne donnerons (presque) jamais les ID PPPoE en “live” au téléphone (ce qui est compréhensible vu les risque que cela entraine).





Chez Orange on fait ce qu’on appelle une “identification forte” pour donner ces données : présence du propriétaire de la ligne au téléphone, confirmation de son identité, de son adresse postal et montant de la dernière facture.



Je suppose que ça doit être à peu près la même chose chez les autres FAI.


votre avatar







damaki a écrit :



Ca je le savais, en effet. Un de mes potes a été presta admin réseau pour une petite clinique. Il me racontait qu’avant qu’il n’arrive (et ne crée un second compte mail) les clients avaient l’accès complet au site du modeste compte orange de la clinique.

Pour mon cas, je n’a pas trop d’idée sur le coupable, c’est bien pour ça que j’imaginais ça couplé à une faille de sécurité. Dans le doute, j’ai de toute façon changé le mot de passe du compte et revérifié que les numéros de tel et les adresses mails du compte étaient bien les miens.







Dac.



Pour info’, tu peux toujours envoyer un e-mail à abuse@orange.fr (cf : http://assistance.orange.fr/1260) qui s’occupera du soucis et, si besoin est, contactera d’elle-même les autorités pour enquête.



Ces cellules existent chez tous les opérateurs : abuse@sfr.fr - abuse@proxad.fr - etc.



Je sais que ça peut paraître disproportionné, mais ces cellules sont là pour ça, alors n’hésite pas :)


votre avatar



Double pénétrusion chez Orange

votre avatar



« ces phénomènes nouveaux qui inquiètent les Français »



On dirait le sous-titre d’un reportage sensationnel passant à la télé.

votre avatar







Capharnaüm a écrit :



On dirait le sous-titre d’un reportage sensationnel passant à la télé.







le retour de Jacques Pradel? <img data-src=" />


votre avatar







jeje07 a écrit :



le retour de Jacques Pradel? <img data-src=" />





Non, juste Morandini qui parle des audiences de l’access sur France 2.


votre avatar



« ces phénomènes nouveaux qui inquiètent les Français »





C’est aussi “nouveau” que l’informatique est apparue hier mais bon…

votre avatar

Si les piratages et l’insécurité informatique continuent à grandir à cette vitesse-là, il finira par y avoir de sérieux retours de bâton, à mon avis.

Quand trop de comptes en banques seront vidés, et d’identités usurpées, avec toutes les ruines de vie et les cauchemars sociaux que ça engendrera, la société finira par exiger des vraies mesures, et pas de la mesurette. C’est l’équilibre global de la société qui va finir par être en jeu. Une société sereine a besoin de confiance.



Je sens bien qu’on finira soit par réécrire complètement les protocoles HTTP et autres pour mettre fin au surf de tout le monde, soit que des pans entiers de la population vont choisir de ne plus vivre dans le numérique, ou en tant cas dans le numérique qui transporte de l’identité.

votre avatar







raymondcal a écrit :



Je sens bien qu’on finira soit par réécrire complètement les protocoles HTTP et autres pour mettre fin au surf de tout le monde, soit que des pans entiers de la population vont choisir de ne plus vivre dans le numérique, ou en tant cas dans le numérique qui transporte de l’identité.





Enfin le nom et l’adresse sur chatroulette <img data-src=" />


votre avatar

C’est quoi le rapport avec le Phishing / Spam ? Ce paragraphe donne l’impression d’avoir été parachuté la sans raison.



Le secrétariat d’état répond stop au phishing quand on lui parle intrusion ?? WTF !

votre avatar







Crazy Diver a écrit :



C’est quoi le rapport avec le Phishing / Spam ? Ce paragraphe donne l’impression d’avoir été parachuté la sans raison.



Le secrétariat d’état répond stop au phishing quand on lui parle intrusion ?? WTF!





article Next INpact :

la société nous indiquait en effet que des données personnelles comme les noms, prénoms, adresses et e-mails de près de 3 % de ses clients avaient été dérobés.



adresses e-mail volées = activité de spam / phishing à prévoir


votre avatar







Capharnaüm a écrit :



On dirait le sous-titre d’un reportage sensationnel passant à la télé.





plutôt oui. Mais c’est tellement plus simple de balancer une punchline toute faite sur le mode inquiétant que d’avoir des arguments chiffrés (genre augmentation de x% du nombre des faits recensés, etc.)







kade a écrit :



Enfin le nom et l’adresse sur chatroulette <img data-src=" />





“coucou, tu veux voir ma <img data-src=" /> ? “


votre avatar







joma74fr a écrit :



article Next INpact :

adresses e-mail volées = activité de spam / phishing à prévoir







Donc le vol de données est si banalisé que Orange n’ai pas a renforcé ses infras.

Que la solution à ce problème soit de protéger les gens du phishing du au Je m’en foutisme intrusion dont ils ont été victimes …



Il faut résoudre le problème à la source, et contraindre tout le monde à signaler ce genre d’intrusion (cf suite de l’article) et faire quelque chose en cas de récidive !



Juste pour le fun : une facture de 1500 x nb de clients impactés par ce défaut de sécurisation caractérisé ça ferait un bon exemple …


votre avatar







Crazy Diver a écrit :



Donc le vol de données est si banalisé que Orange n’ai pas a renforcé ses infras.

Que la solution à ce problème soit de protéger les gens du phishing du au Je m’en foutisme intrusion dont ils ont été victimes …



Il faut résoudre le problème à la source, et contraindre tout le monde à signaler ce genre d’intrusion (cf suite de l’article) et faire quelque chose en cas de récidive !



Personne n’a dit que Orange n’a pas a renforcé la sécurité de ses données. pourquoi dire ça ? L’article de Next INpact ne fait qu’analyser la réponse du gouvernement au sénateur : la réponse commence par les initiatives du gouvernement contre le phishing et contre le spam et ensuite il continue sa réponse en traitant le problème particulier du piratage des données d’Orange.



votre avatar

Double intrusion chez Orange : le gouvernement répond à un sénateur

  • Phishing et spams : les recommandations du gouvernement

  • Intrusions : Orange a informé la CNIL « conformément aux dispositions de l'article 38 »

  • Le gouvernement attentif, quid des sociétés piratées qui ne sont pas FAI ou opérateur ?

Fermer