Le CSA met en garde Direct 8 pour publicité clandestine
Découvrez le logo de la nouvelle chaîne Direct Star
Le CSA planifie le passage au tout numérique de la Lorraine et de la Champagne-Ardenne
Quinze médias audiovisuels ont signé la charte de la diversité
"Zhoom" nouvelle émission de téléréalité diffusée sur Pink TV sera diffusée en octobre
Free sécurise l’accès à l’interface de gestion des abonnés
Catégorie Brèves
, publié le 11 mars 2010 à 17h54 par Olivier Viaggi
COMMENTAIRES DES LECTEURS (82)
jeremy57 a écrit
Eh eh !!! Merci pour les dédicaces !!! A mon avis, FREE a mis au point le HTTPS en vue de faire pareil lorsqu'ils sortiront leur site FREE Mobile ! On peut néanmoins leur reprocher de ne pas faire comme le site de la Banque Postale qui passe tout eh HTTPS...
1 le login est sécurisé mais la suite de la navigation ne l'est pas
et du coup firefox ne me remets pas la saisie auto de toutes les freebox que je gère ...
On peut néanmoins leur reprocher de ne pas faire comme le site de la Banque Postale qui passe tout eh HTTPS...
Absolument d'accord avec toi jeremy57, de plus je ne pense pas que ce soit compliquer à mettre en œuvre.
A quand le déblocage des destinations internationales pour les appels en SIP? 
Anonyme a écrit
Reste à l'implémenter pour le webmail. (zimbra par exemple).
Reste à implémenter toute l'interface de gestion en HTTPS. Seule la page de connexion est sécurisée...
Anonyme a écrit
punaise si longtemps pour taper une ligne dans un terminal c'est pas des rapides :)
...et pour se payer les certificats auprès de Equifax. Ce ne sont pas des certificats auto-signés à la open-ssl.
Anonyme a écrit
Pourquoi tout n'est-il pas en HTTPS de nos jours ?
besoin de plus de ressources CPU client, besoin de plus de ressources CPU serveurs, utilisation de la bade passante suppérieur a cause de l'encapsulation, gestion des certificats.....
deadeye3783 a écrit
Anonyme a écrit Pourquoi tout n'est-il pas en HTTPS de nos jours ? besoin de plus de ressources CPU client, besoin de plus de ressources CPU serveurs, utilisation de la bade passante suppérieur a cause de l'encapsulation, gestion des certificats.....
A cela, on peut ajouter aussi le coup du HTTPS qui n'est pas gratuit... Mais il me semble que FREE gère ses propres bases de données... Je pense que d'ici quelques moins, nous allons avoir le droit à une refonte complète de leur site afin d'accueillir la partie mobile ! 
Rhem a écrit
Ah bah ouais, il était temps ! Et peut-être que Free devrait aussi communiquer sur les attaque au phishing dont les freenautes font régulièrement l'objet ! Ok, ça n'a pas à voir, mais quite à bien faire...
Oui mais bon..faut savoir se prendre par la main...j'en reçoit pour les banques dans lesquelles je n'ai jamais eu de compte, et même pour les Fai chez qui je ne suis pas.
perso kaspersky s'occupe de tout cela direct
Comme il a était dit il n'y a que le login qui est sécurisé en HTTPS, vu que le SSL ne sécurise que le transport on est simplement assuré de ne pas se faire piquer notre login et notre mot de passe durant l'identification. Mais le souci c'est qu'aucune des autres pages n'est sécurisée y compris la page permettant de changer le mot de passe.
Dans un sens c'est plutôt inutile. Il n'y a plus à croiser les doigts pour toute communication de notre compte free soit sécruisée dans un futur proche.
loupio a écrit
Rhem a écrit Ah bah ouais, il était temps ! Et peut-être que Free devrait aussi communiquer sur les attaque au phishing dont les freenautes font régulièrement l'objet ! Ok, ça n'a pas à voir, mais quite à bien faire... Oui mais bon..faut savoir se prendre par la main...j'en reçoit pour les banques dans lesquelles je n'ai jamais eu de compte, et même pour les Fai chez qui je ne suis pas. perso kaspersky s'occupe de tout cela direct
1 loupio, faut pas cliquer sur tout ce qui bouge, free vous contactera jamais pour vous demander vos identifiant ou vos coordonnées bancaire, et si il le faisait, ça sera par courrier et pas par mail... Sinon, il suffit d'avoir de bon dns (ceux de free fonctionne très bien) et ils vous alertent de site contrefais.
Enfin, le https n'est pas trop utile, j'ai rarement entendu parler de personne qui s'étaient fait pirater leur compte free... Je pense que c'est pour ça que free ne l'a pas fait avant.
Bref ça reste tout de même une bonne évolution 
Xer a écrit
bon bah ça passe vraiment pas, le 'plus' ne passe pas... étrange...
J'avais quand même suivis.......
lmp a écrit
Il était temps, avec tous les phisshing reçu cela fait 10 ans que ça aurait du être fait.
1000, mais comment ne peuvent ils pas l'avoir fait avant ????
Pour madame michu ca ne change pas grand chose, il est rare qu'elle configure sa freebox (.) depuis allieurs que chez elle.
Pour les pros c'est plutôt rasssurant, sachant pour mon cas que je suis habilité a gerer les freebox, mais que je n'administre (ma boite) pas toujours le réseau sur lequel je me connecte pour le faire, pour peu que il y ai un sniffeur sur le réseau et c'est BAISé.Les informations avant, étaient envoyées en clair (!!!) (comme le pop classique), Bref merci FREE, des que tu fais cela pour ton pop/imap/smtp, promis j'utilise ma boite mail chez toi plutôt que chez big brother.
PS: et qu'on viennent pas me dire que le MD5 est difficilement reversible : le probleme ne s'est jamais situé chez free (en tout cas j'ose imaginer), c'est entre mme michu et Free que ca peut merder , parfois meme chez mme michu mais via l'ordi de clara la petite fille....Donc c'est que du bon.
Azerty.PhilCo a écrit
jeremy57 a écrit Je pense que d'ici quelques moins, nous allons avoir le droit à une refonte complète de leur site afin d'accueillir la partie mobile ! D'ici quelques mois? oui 24... 24 mois c'est à coté, c'est demain!!
Commentaire très constructif... Parce que vous pensez peut-être qu'ils vont s'atteler à la conception le jour où l'offre sortira?
en même temps, https ne sécurise que le transport alors vu que seule la page de login est sécurisée il y a pas grand interet. quand vous allez sur une site de banque, de commerces ou même de webmail c'est l'ensemble des pages relatives à vos données personnelles qui sont normalement sécurisées et pas uniquement le point d'entrée.
olivier a écrit
en même temps, https ne sécurise que le transport alors vu que seule la page de login est sécurisée il y a pas grand interet. quand vous allez sur une site de banque, de commerces ou même de webmail c'est l'ensemble des pages relatives à vos données personnelles qui sont normalement sécurisées et pas uniquement le point d'entrée.
Peut-être que FREE a l'intention de généraliser le https, espérons-le du moins !
jeremy57 a écrit
(...) A cela, on peut ajouter aussi le coup du HTTPS qui n'est pas gratuit... Mais il me semble que FREE gère ses propres bases de données... Je pense que d'ici quelques moins, nous allons avoir le droit à une refonte complète de leur site afin d'accueillir la partie mobile !
Je suis d'accord avec toi, jeremy57 et je dirais même plus : le coût des certifications HTTPS est LA raison pour laquelle le protocole par défaut est le HTTP sur internet. Les certificats auto-signés présentent des inconvénients dans certains processus de contrôle de l'autorité de certification (Navigateurs web, FTP-S...) et souvent on by-pass complètement les avertissements (ce qui peut représenter un certain risque).
Alors désolé, je ne vois pas le rapport avec le fait que Free gère ses bases de données et encore moins l'intégration de la partie mobile.
deadeye3783 a écrit
Anonyme a écrit Pourquoi tout n'est-il pas en HTTPS de nos jours ? besoin de plus de ressources CPU client, besoin de plus de ressources CPU serveurs, utilisation de la bade passante suppérieur a cause de l'encapsulation, gestion des certificats.....
Quand on utilise les services de Google, on peut tout passer en https si l'on veut et cela marche très bien ! ! !
(gmail, gtalk, google.doc, google.site . . .)
ludovicflash a écrit
c'est bien FREE sa, toujours a faire les trucs a moitié " il mets un digicode a la porte et laisse les fenêtres ouverte "
Et pour en rajouter une couche, on peut comparer avec SFR qui a toute la gestion du compte client qui est en mode "https" et pas seulement le mot de passe initial. Et bien sur également tout le webmail SFR
Je trouve que la gestion de la sécurité des informations clients fait un peu application pour les débutants avec le système actuel ! ! !
A propos des coûts supposés de https ou http ssl, en même temps la mise en place par elle même ne coupe rien.
Il existe des systèmes SSL open source, je dirai même qu'ils seraient même plus rassurants qu'un systéme propriétaire, De toute maniére c'est les secret de la clé qui doit être préservé plus que l'algorythme de chiffrement.
Ensuite il existe aussi des certificats ssl gratuit et de toute maniére c'est le même certificat qui est utilisé tout au long de la consultation; alors si le https est utilisé sur une page autant qu'il le soit sur celles qui suivent.
pepone a écrit
Super, FreeRecord ne peut plus se connecter !!!!
Tien essaye celui la :)
et super pour auth ssl freerox :)
http://dl.free.fr/qKe0l39D1
j'ai modifié l'addon le temps que son créateur fasse une update... c'est pas méchant ;)
et sa remarche je l'ai fait pour moi autant le faire profité! bye
olivier a écrit
Ensuite il existe aussi des certificats ssl gratuit
c'est clair, ça ferait super sérieux pour une société comme free d'utilisé un truc gratuit tiens 
Ils ont de la chance chez Free on sécurise leurs données et les pirates n'iront pas y mettre leur nez, chez Alice ça n'est pas la peine de sécuriser, on peu perdre 4 mois de messagerie (depuis la migration de novembre) sans que personne chez Alice ou chez Free s'en inquiète (on vous raccroche au nez, c'est plus simple)... alors les pirates, s' ils retrouvent les mails, ils seront presque les bienvenus.
Au fait combien reste t'il encore d'abonnés chez Alice ?
Bonjour, c'est bien ça progresse mais cela m'a créé d'autres problème FreeRecord (PC) ne fonctionne plus il affiche : Problème technique sur la Console Free, veuillez réessayer plus tard ok, par contre cela semble fonctionner sur le portail Free, attendons un peu cela va se ranger.

M@tsumot0 a écrit
pepone a écrit Super, FreeRecord ne peut plus se connecter !!!! Tien essaye celui la :) et super pour auth ssl freerox :) http://dl.free.fr/qKe0l39D1 j'ai modifié l'addon le temps que son créateur fasse une update... c'est pas méchant ;) et sa remarche je l'ai fait pour moi autant le faire profité! bye
Bonjour, M@tsumot0 grâce à ton lien mon FreeRecord fonctionne à nouveau, merci. @mitié reno69
Bonsoir,
Je pense que d'autre l'on déjà dit mais comme seul la page de connexion est concernée et pas le reste on peut toujours se connecter avec des liens du type :
http://subscribe.free.fr/login/login.pl?login=0102030405&pass=mypassword

Sans m'y connaître suffisament en sécurité pour émettre un avis d'expert il me semble néanmoins que cela présente un certain risque... 
Néanmoins cette démarche va dans le bon sens, reconnaissons-le.
Remarque annexe : petite suggestion de sondage pour UF à l'intention de ses lecteurs : combien de compte Freebox gérez-vous ?
1 - Le mien
2 - Le mien celui de mes parents (ou de ma boîte)...
3 - Le mien celui de mes parents mes grands-parents
4 - Le mien celui de mes parents mes grands-parents Tata Lucienne (a.k.a. Mâme Michu) 
10 et plus - Papa, Maman, la bonne et moi . Euh... Moi et tous les pas-trop-geek à qui j'ai conseillé Free. 
Perso, je dois en être à 8. Ca fait petit-bras pour un pirate non ? 
K.
robin.74 a écrit
deadeye3783 a écrit Anonyme a écrit Pourquoi tout n'est-il pas en HTTPS de nos jours ? besoin de plus de ressources CPU client, besoin de plus de ressources CPU serveurs, utilisation de la bade passante suppérieur a cause de l'encapsulation, gestion des certificats..... Quand on utilise les services de Google, on peut tout passer en https si l'on veut et cela marche très bien ! ! ! (gmail, gtalk, google.doc, google.site . . .)
je sais, mes comptes le sont depuis un bout de temps déja ;)
the chris a écrit
c'est une évolution attendue depuis très ,très longtemps . un peu a la bourre Free, là ,sur le coup.
Je n'avais même pas fait attention ! Rétrospectivement , ça craint. Au vue de tous les actions de piratages qui peuvent exister, je me demande qu'elle était la probabilité de ce faire piquer le mot de passe.
Du coup, je suis allé voir sur d'autres sites, genre la sncf: le formulaire est bien envoyé en HTTPS (la page de démarrage ne l'est pas mais ce n'est pas important).
Olivier a écrit
(...) Mais le souci c'est qu'aucune des autres pages n'est sécurisée y compris la page permettant de changer le mot de passe.Dans un sens c'est plutôt inutile. (...)
Ca s'appelle faire les choses à moitié ! Pas très pro tout cela 
C'est une très bonne nouvelle pour vous, clients et utilisateurs de ce site.?
Le HTTPS c’est quoi ?
C’est un protocole qui crypte les données échangées entre votre poste informatique et un serveur grâce au certificat ssl 3.0 et une clé de 2048 bits par exemple.
Exemple :
Vous entrez vos identifiants et mots de passe : ok personne n’interceptera ces données sauf la personne a coté de vous, ou le hacker qui laissera un keylogger (enregistreur de frape).
Pour le pirate le HTTPS est une aubaine il va pouvoir agir sur le site sans être inquiété et pouvoir injection au lieu d’identifiant et mot de passe par exemple il pourra injections de codes javascript (xss) ou sql (sql injection). Suivant le niveau de sécurité du certificat, le pirate pourra casser cette sécurité et intercepter plus facilement les données.
Si la partie protégés par HTTPS contient une partie du site vulnérable à ce type d’attaques (il en existe beaucoup d’autre) celui-ci pourrait plus tard être piégé par le pirate.
Free ne pourra plus intercepté en amont cela sauf si les devants sont pris, ce que je doute vu que ce que je trouve sur les différents domaines qui leur appartiennent.
Micky a écrit
Ué, maintenant ! FreeGo ne fonctionne plus :s
C'est étonnant, car le script http://subscribe.free.fr/login.pl est accessible en clair (HTTP). Il y a juste un renvoi permanent de la page à la racine http://subscribe.free.fr vers https://subscribes.free.fr
Après authentification, on passe en HTTP sur adsl.free.fr
Donc, normalement, les identifiants sont envoyés en paramètres d'URL sur le script login.pl ...FreeGo devrait fonctionner. J'ai une application FreeboxFax sous Mac, et le passage en SSL n'a rien changé.
consultant expert en informatique a écrit
(...)Pour le pirate le HTTPS est une aubaine (...)
Désolé, mais dans ce que tu dis, ce n'est pas le HTTPS qui est une aubaine, mais les failles sur les injections de codes.
krigatobal a écrit
Bonsoir, Je pense que d'autre l'on déjà dit mais comme seul la page de connexion est concernée et pas le reste on peut toujours se connecter avec des liens du type : http://subscribe.free.fr/login/login.pl?login=0102030405&pass=mypassword Sans m'y connaître suffisament en sécurité pour émettre un avis d'expert il me semble néanmoins que cela présente un certain risque... Néanmoins cette démarche va dans le bon sens, reconnaissons-le. Remarque annexe : petite suggestion de sondage pour UF à l'intention de ses lecteurs : combien de compte Freebox gérez-vous ? 1 - Le mien 2 - Le mien celui de mes parents (ou de ma boîte)... 3 - Le mien celui de mes parents mes grands-parents 4 - Le mien celui de mes parents mes grands-parents Tata Lucienne (a.k.a. Mâme Michu) 10 et plus - Papa, Maman, la bonne et moi . Euh... Moi et tous les pas-trop-geek à qui j'ai conseillé Free. Perso, je dois en être à 8. Ca fait petit-bras pour un pirate non ? K.
Je gere une 15aine de comptes Free (autant d'abonnés que j'ai apportés à Free). Cela inclus parents, grand parents, freres/soeurs, et qq amis.
Évidemment ils ont aussi leur accès mais vu qu'il ne savent pas trop s'en servir... Et puis ca me permet de leur activer des options sécurisées au mieux (mode routeur, désactiver l'upnp, wifi wpa2 etc)
jeremy57 a écrit
Eh eh !!! Merci pour les dédicaces !!! A mon avis, FREE a mis au point le HTTPS en vue de faire pareil lorsqu'ils sortiront leur site FREE Mobile ! On peut néanmoins leur reprocher de ne pas faire comme le site de la Banque Postale qui passe tout eh HTTPS...
Non ça consomme trop de ressources le SSL généralisé, bon point pour l'authentification en tout cas.
Je pense surtout aux personnes qui se connectent depuis leurs lieux de travail/hotspot/résidence étudiante.
Ça va les sécuriser 
Je rejoins mr.tux concernant les ressources. Il y a une augmentation des ressources consommés sur le serveur WEB a cause du SSL. Connaissant free pour ces économies, cela est donc logique.
Par contre pour ceux qui disent que le HTTPS ne sert pas forcement, c'est que vous ne vous connectez jamais à un réseau Wifi ouvert.
A une époque Hotmail.fr n'était pas sécurisé ... bah via wifi on voyait très très bien login/mdp. C'est juste que peu de gens se connecte à leur interface Free depuis un réseau publique.
C'est de l'amateurisme, free ratrappe ses erreurs dans son coin, sans prevenir personne et resultat balance le truc sans faire de test de regression : bilan toute les applications des freenautes sont encore plantées. franchement c'est relou de chez relou tous ces bugs. Son pas tres malins, ces pseudo geeks qui bossent chez free. Resultat encore une mauvaise pub pour free : "Les applications freenautes inopérantes" http://www.freenews.fr/spip.php?article7933 (a force cela va finir par se savoir :-( )
Anonyme a écrit
C'est de l'amateurisme, free ratrappe ses erreurs dans son coin, sans prevenir personne et resultat balance le truc sans faire de test de regression : bilan toute les applications des freenautes sont encore plantées. franchement c'est relou de chez relou tous ces bugs. Son pas tres malins, ces pseudo geeks qui bossent chez free. Resultat encore une mauvaise pub pour free : "Les applications freenautes inopérantes" http://www.freenews.fr/spip.php?article7933 (a force cela va finir par se savoir :-( )
Arrêtes de raconter n'importe quoi. Free n'est pas là pour torcher les fesses des développeurs d'applications tiers. Ils n'ont qu'à aussi dialoguer un peu plus avec Free.
consultant expert en informatique a écrit
C'est une très bonne nouvelle pour vous, clients et utilisateurs de ce site.?Le HTTPS c’est quoi ? C’est un protocole qui crypte les données échangées entre votre poste informatique et un serveur grâce au certificat ssl 3.0 et une clé de 2048 bits par exemple.Exemple : Vous entrez vos identifiants et mots de passe : ok personne n’interceptera ces données sauf la personne a coté de vous, ou le hacker qui laissera un keylogger (enregistreur de frape).Pour le pirate le HTTPS est une aubaine il va pouvoir agir sur le site sans être inquiété et pouvoir injection au lieu d’identifiant et mot de passe par exemple il pourra injections de codes javascript (xss) ou sql (sql injection). Suivant le niveau de sécurité du certificat, le pirate pourra casser cette sécurité et intercepter plus facilement les données.Si la partie protégés par HTTPS contient une partie du site vulnérable à ce type d’attaques (il en existe beaucoup d’autre) celui-ci pourrait plus tard être piégé par le pirate.Free ne pourra plus intercepté en amont cela sauf si les devants sont pris, ce que je doute vu que ce que je trouve sur les différents domaines qui leur appartiennent.
A te lire, on voit bien que tu n'es que consultant et pas du tout informaticien. Désolé de te dire ca.
steph10200 a écrit
Bonjour, sympa le HTTPS, cependant, une fois loggué, on se retrouve en http sur adsl.free.fr (facture fax, relevés de communications ...) ou tout passe en clair, dommage mais pour ma part, y a encore du mieux à faire, mais c'est vrai, d'un premier pas. Cordialement,
C'est la partie authentification qu'il fallait sécuriser.
Pas l'intégralité de la console.
Le protocole HTTPS est gourmand et nécessite des ressources pour crypter les pages.
zehunter a écrit
euh depuis le changement il refuse mon login/pass meme quand celui ci viens du mail de free de mail perdu :-( quelqu'un a ce soucis?














Préparez-vous : Lancement le 19 mars (...)






