Nous sommes nombreux à disposer d’un accès internet auprès de « l’opérateur historique » France Telecom/Wanadoo/Orange. Globalement, ça marche, et nous n’avons pas cédé au champ des sirènes du dégroupé par flemme, peur de perdre une connexion chèrement configurée, peur du changement… Bref, en dehors d’un look de lampion intermittent idéal pour éclairer une chambre d’enfant la nuit, la box Orange, cahin caha, sait couper les bits en quatre. Bien sûr, mieux vaut ne jamais avoir affaire avec les « boutiques » Orange, cours des miracles, empire des queues interminables, concentré d’incompétence et de désorganisation qui  laisse entrevoir le marasme qui doit régner aux échelons supérieurs… Bref, un petit air de PTT à l’ancienne débarqué à l’ère numérique.  Mais voilà que je découvre un loup, que dis-je un dinosaure puisque cette faille de sécurité est connue depuis… 2004 ! D’ailleurs ce n’est pas une faille, c’est une « fonctionnalité ». Sans rire…

Tout commence quand vous recevez chez vous. Aujourd’hui nous sommes tous connectés et les clés wep des différentes boxes s’échangent comme des petits pains. Presque en même temps que la poignée de main ou le baiser. Quand on va chez quelqu’un, on s’y connecte, au propre ou au figuré. Tout le monde fait ça. Quand il n’y a pas un postit avec le code collé sur la box…

No more secrets…

Et il advient que quelqu’un se promène sur internet. Et toutes ces pages perso Wanadoo, ces espaces Orange, etc, ça finit par faire beaucoup de pages. Alors forcément, en cherchant autre chose, quelqu’un tombe sur une de ces pages. Et là que voit-il ? Un bel onglet avec le nom du propriétaire de la box. Cliquera-t-il sur ce bouton interdit qu’il arrivera sur l’interface d’administration avec accès aux mails, au compte, et pourquoi pas aux pages, recueils de mots de passe et tous ces petits secrets que vous auriez eu l’imprudence de verser dans la passoire Orange. Autrement dit, la box connecte tout le monde avec, par défaut, tous les privilèges.

Entendons nous bien : la sécurité absolue n’existe pas et, pour ceux qui ont les connaissances, pirater une boîte mail n’est jamais bien difficile. Mais ici on va au delà du hacking passif, de l’incitation à l’intrusion. De bonne foi, vos amis, vos enfants, vos proches se retrouvent à lire votre courrier. Imaginez les dégâts en entreprise, ou dans les espaces de connexion partagée…

[pullquote]« Un service Orange permettant aux différents utilisateurs d’un même compte Orange d’avoir un accès à leurs différentes boîtes à lettres. Vous êtes reconnu automatiquement chaque fois que vous visitez la page d’accueil de Orange ». [/pullquote]

Sidéré, je fais une recherche et découvre que le problème est archi connu et depuis longtemps. Tout vient d’une innovation que le monde entier nous envie, « l’identification applicative ». Un système à base de cookies mais pas seulement ce qui rend la désinstallation délicate, voire impossible pour le profane (99% des utilisateurs). Évidemment, pas un message d’avertissement, pas une mise en garde, pas un menu où annuler cette fonction. En clair, pouvoir rétablir la saisie d’un mot de passe à chaque fois, ce qui est le minimum de sécurité

Oublions un instant les proches et tous ceux à qui vous avez communiqué votre clé wep. Vous vous croyez en sécurité ? Mais depuis l’avènement du wifi, l’intrusion peut venir du voisinage (musique des Dents de la Mer…).  Bien sûr, avant d’arriver à vos mails et codes, il faut la clé wep… Mais savez vous que cette clé atroce et interminable qu’il faut rentrer deux fois à la loupe et sous Valium se contourne avec les outils idoines en moins de 10′ ? Au fait, changez aussi les mots de passe « admin » de la box… Sinon je rentre chez vous !

Quoiqu’il en soit, cette dernière facétie d’Orange m’a fait voir rouge… Du coup je suis passé chez Free. J’ai (enfin) tout compris…