Famille de geeks
Une famille complètement 633<

La loi Hadopi mise à mal par freewifi ?

ven. 05 juin 2009 / Internet Sécurité planet-libre
Copie d'ecran de freewifi

Pour les quelques personnes qui n’auraient pas encore entendu parlé de la loi HADOPI. Cette loi est sensée couper les lignes internet des soit-disant pirates. Donc pour prouver votre innocence, il vous sera conseillé de acheter un mouchard.

Mais n’ayez aucune crainte car Madame Albanel dit:

si vous ne piratez pas, non seulement vous ne risquez pas de suspension
et vous n’êtes pas obligés de mettre un logiciel de sécurisation

Or, cet argument ne tient pas la route, car même un honnête internaute pourra être accusé de piratage.

Scénario possible (non détaillé)

Un pirate créait un hotspot freewifi bidon. Ce hotspot aura pour mission de faire croire que c’est un hotspot officiel. Il pourra éventuellement utiliser la technique du Cross Site Scripting (XSS) + iframe pour afficher la page officielle et y ajouter du code pour récupérer vos identifiants.

Un utilisateur non averti, n’y verra que du feu ! Une fois les identifiants récupérés, le pirate aura accès à environ 6 millions de hotspots.

Il ne manquera plus qu’à l’équipe de Mme Albanel de vous accuser de pirate (désolés vous n’avez pas acheté de mouchard).

4 réponses à La loi Hadopi mise à mal par freewifi ?

  1. com22 moule dit :

    Faudra m’expliquer comment tu fais pour avoir le certificat privé de free pour faire du man-in-the-middle avec https

  2. com23 nyquist dit :

    J’espère quand même que le site de free sera en https et signé par un certificat validé par une autorité reconnu.
    Je ne connais pas la technique du Cross Site Scripting (XSS) + iframe. Mais j’espere que la méthode certificat + https n’est pas sensible a ce genre d’attaque.

  3. com25 b_adele dit :

    @nyquist
    C’est justement le problème avec le https, c’est qu’on lui fait trop confiance, car il est juste la pour crypter et certifier que la page n’a pas été altérée entre le serveur et le client, mais si on arrive à faire du XSS, cette page sera considéré comme valide.

    Voici un exemple de XSS avec le site paypal, l’attaquant est arrivé à afficher un message javascript et pourtant le site est considéré comme sûr ( barre d’adresse verte + cadenas).

    http://news.netcraft.com/archives/2008/05/16/paypal_xss_vulnerability_undermines_ev_ssl_security.html

    Un autre lien
    http://www.nexen.net/actualites/securite/18147-ssl_ne_peut_rien_contre_les_xss.php

  4. com26 bluetouff dit :

    @moule
    Arp Poisonning avec Ettercap par exemple.
    Le concept est d’envoyer un faux certificat (très facile de l’accepter quand on a un navigateur de merde comme 65% des internautes et qu’on est un peu distrait comme 99% des internautes) … c’est une technique très efficace et peu de gens font gaffe à voir si le certificat est signé par un tiers de confiance.

Bruno Adelé

A propos de Bruno Adelé

Agé de 40 ans avec 20 ans d'expérience dans le développement et dans le réseau (y compris internet). Passionné d'informatique depuis son plus jeune âge, a un faible pour les logiciels libres. En recherche d'opportunité dans la région de Montpellier pour exercer sa passion, de préférence dans la R&D

Comments