[MàJ] Freenautes : Cibles priviligiés des pirates
Catégorie Brèves
, publié le 05 janvier 2009 à 15h38 par Fouzi Habibi
Une deuxième attaque phishing est en cours contre les Freenautes. Le second site frauduleux imite également l’ancienne console de gestion (toujours dans le but de dérober les informations confidentielles des abonnés). Les pages frauduleuses se trouvent à cette adresse (attention site frauduleux).
Le CERTA (Centre d’Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques) nous a confirmé la mise hors ligne de la première attaque et la prise en charge de la seconde. C’est la troisième attaque contre les Freenautes depuis le 1 janvier.
Mise à jour 05/01 (17h30) : Les pages frauduleuses renvoient de manière aléatoire sur une erreur (403 Forbidden), mais sont toujours actives.
Mise à jour 06/01 (17h59) : Les pages contrefaites sont inaccessibles. L’alerte est donc levée. Toutefois, prenez garde car une autre attaque est en cours depuis ce matin (Plus pertinente, elle utilise la nouvelle console de gestion Free).
Cliquez sur l’image pour agrandir
Cliquez sur l’image pour agrandir
Le CERTA (Centre d’Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques) nous a confirmé la mise hors ligne de la première attaque et la prise en charge de la seconde. C’est la troisième attaque contre les Freenautes depuis le 1 janvier.
Mise à jour 05/01 (17h30) : Les pages frauduleuses renvoient de manière aléatoire sur une erreur (403 Forbidden), mais sont toujours actives.
Mise à jour 06/01 (17h59) : Les pages contrefaites sont inaccessibles. L’alerte est donc levée. Toutefois, prenez garde car une autre attaque est en cours depuis ce matin (Plus pertinente, elle utilise la nouvelle console de gestion Free).
COMMENTAIRES DES LECTEURS (42)
Alors s'il n'est pas encore signalé comme contrefait, un clic sur "?" puis "Signaler un site contrefait"
Le truc marrant aussi c'est de remplir les cases avec des insultes, y'a même pas de script de vérification... On peut taper des lettres dans les cases qui n'auraient besoin que de chiffres...
Bizarre, une fois arrivé à la fin, on est redirigé vers la bonne page d'identification (avec le design qui va bien)
<quote>Ce qui me sidère est que les autoritées n'aient pas de moyen plus efficaces que ça pour identifier le pirate et venir lui faire toc-toc à 06h00 du matin....</quote>
Les différentes étapes pour chopper les méchants:<br />
1. Alerter le webmaster et le propriétaire du serveur piraté<br />
2. Obtenir les fichiers logs (historique des événements sous forme de fichier texte) si les lois l'autorise et/ou si le propriétaire du serveur piraté l'autorise et si ils existent (les serveurs ne logs pas forcement).<br />
3. Trouver en fouillant les logs l'adresse IP potentielle du pirate.<br />
4. S'assuré que cette ip est une connexion perso ou pro et de quel pays elle vient.<br />
4-1. Si le pays/FAI d'où viens cette IP accepte de donner les informations s'assuré que c'est un ordinateur/serveur piraté (retour à l'étape 1) où non (passage à l'étape 5).<br />
4-2. Si le pays/FAI d'où viens cette IP refuse de donné les informations: Fin, dommage.<br />
5. Yeah, on l'a trouver, maintenant il faut que les autorités judicière du pays où se trouve le pirate autorise l'arrestation du méchant (plusieurs jours).<br />
Résultats: Coût énorme en temps (et par la même occasion en argent) et en logistique tout ca pour un "simple site". Surtout qu'un pirate utilise rarement sa connexion pour piraté un serveur.... Il passe généralement par 3/4 PC piratés (sa connexion qui passe sur une connexion piraté qui passe sur une connexion piraté qui passe sur une connexion piraté etc...) et souvant dans des pays où il est dur d'obtenir des informations.<br />
<br />
Il est bien plus simple de faire une enquête sur la personne utilisant les informations banquaire.
Si Free utilise le SSL pour la connexion des utilisateurs ça serait deja un grand pas en avant, si les gens ont l'habitude de se connecter en SSL il feraient moins confiance a un site pirate qui n'utilise pas de SSL certifié... Ces escrocs piratent d'autres sites qui ne tournent pas forcement en SSL pour heberger leurs scripts, donc ca compliquerait la tache a ces escrocs.
@JalaL : SSL == Couteux en ressources, ça ne garantie rien quand à l'authenticité du site.
Tu peu très bien hacké un site avec un certificat valide, ou bien en monté un.
C'est cher je te l'accorde mais ça reste possible.
Il faut éduquer les utilisateurs c'est tout.
Je te rejoint dans ta réflexion tout de même :-D
<quote> c'est pas très délicat de donner l'URL. Surtt que pour firefox le site n'est pas contrefait... (pr le moment).</quote>
Je ne donnais pas l'adresse URL avant (je masquais dans l'image etc...). Mais je me suis dis que ce n'était pas pertinent : Autant faire circuler la fausse adresse, pour signaler le site comme contrefait, avec l'aide des lectrices et lecteurs, mais aussi pour signaler l'URL aux sites et organismes spécialisés dans la lutte contre le phishing (mcafee par exemple).
Je reste ouvert à vos remarques. Si vous êtes plusieurs à me faire part de la même remarque, je modifierai à l'avenir ;-)
Je vais poser la question à un contact au Certa ;-)
le site est toujours actif je viens de testé le lien de la page citée en haut
je ne sais pas comment les gens peuvent répondre a des sollicitations pareil mais il faut dire que les internautes ne font pas attention
voici l'adresse qui s' ouvre
http://www.plantaelbombero.com/templates/beez/css/Free.fr/Free.fr/login.php
www.plantaelbombero.com
le site officiel est fonctionnel, ca a l'air d'un site de vente de d'extincteurs et de medikits.
La page contrefait est planquée au milieu. J'espère que quelqu'un à prévenu Mr Martinez, admin du site d'après whois, que son serveur est pwnd. (corrompu)
Fouzi a écrit : Je reste ouvert à vos remarques. Si vous êtes plusieurs à me faire part de la même remarque, je modifierai à l'avenir smiley
Je suppose que quelques dizaines de freenautes avertis, recrutés ici pourraient faire partie d'une mailing list ou rss d'urgence. Avertis en priorité, en même temps que Free et le CERTA, ils auraient la charge de signaler le site comme contrefait.
Puis 30 minutes après (si suffisant), publication de la news avec les liens d'ores et déjà inactifs.
<quote>Si Free utilise le SSL pour la connexion des utilisateurs ça serait deja un grand pas en avant, si les gens ont l'habitude de se connecter en SSL il feraient moins confiance a un site pirate qui n'utilise pas de SSL certifié... Ces escrocs piratent d'autres sites qui ne tournent pas forcement en SSL pour heberger leurs scripts, donc ca compliquerait la tache a ces escrocs.</quote>
Allez expliquer à un utilisateur lambda (donc n'ayant aucune connaissance technique) ce que c'est que le SSL et dans quelles circonstances il devrait s'en inquiéter... le tout à l'échelle nationale. Bon courage...
Je suis entièrement d'accord avec JalaL. Le principal responsable c'est Free qui ne met pas en place de moyens de sécurité minimale, encourageant les pirates. Un certificat SSL limite déjà beaucoup les possibilités d'usurpation. Free devra un jour justifier de ne rien faire en matière de sécurité.
INSERER UN COMMENTAIRE







![[Film] VIOLENCE DES ÉCHANGES EN MILIEU TEMPÉRÉ](IMG/arton10494.jpg)
![[Téléfilm] AU BONHEUR DES HOMMES](IMG/arton10485.jpg)
![[Documentaire] A CONTRE-COURANT](IMG/arton10476.jpg)
![[Musique] AMY WINEHOUSE](IMG/arton10470.jpg)
![[Musique] STEVIE WONDER](IMG/arton10469.jpg)
.png)


Freephonie : SIP est de retour





