Orange piraté : ça aurait pu arriver à d'autres, personne n'est à l'abri

Le par  |  10 commentaire(s) Source : Univers Freebox
Orange stéphane richard

Oui, l'opérateur Orange a été piraté, avoue Stéphane Richard. Personne n'est à l'abri. Ça aurait pu arriver à ses concurrents.

Vous le savez sans doute si vous suivez de près ou de loin l’actualité high-tech, Orange a été la victime, le 16 janvier dernier, d’un piratage de grande envergure qui s’est soldé par le vol des données personnelles de 800 000 abonnés, soit 3 % de ses clients.

Interrogé par la presse lors d’un déplacement à Rennes en compagnie de Jean-Yves Le Drian, ministre de la Défense, son PDG Stéphane Richard a rappelé qu’il s’agit d’informations dont l’exploitation est limitée, principalement cantonnée au phishing. Nom, prénom, adresse postale, adresse e-mail, mais pas de mot de passe ( pas forcément très dur à trouver, quand on connait ceux souvent utilisés ).

Celui-ci a également insisté sur le fait qu’il y a des attaques tous les jours et que personne n’est à l’abri, évoquant des dizaines de tentatives par jour visant Orange et citant les récemment piratages d’envergure en Allemagne ( 16 millions de comptes ) et en Corée du Sud ( 100 millions de comptes concernés ).

Il souligne enfin que son groupe possède une cellule dédiée qui fonctionne tous les jours, 24 heures sur 24. Elle est l’écoute des utilisateurs et prête à donner l’alerte au moindre doute fondé.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1653582
Le piratage des données on ne peut pas l'éviter à 100%.
Par contre en informer ses clients le plus rapidement possible c'est quelque chose que Orange sait éviter à 100%
Le #1653672
PROMMIX a écrit :

Le piratage des données on ne peut pas l'éviter à 100%.
Par contre en informer ses clients le plus rapidement possible c'est quelque chose que Orange sait éviter à 100%


En général oui. Sur ce coup-là il ont été plutôt transparents et efficaces.
Le #1653712
Oui mais là en l’occurrence c'est arrivé à "ta" boite mon cher Richard.
Le #1653732
Nerthazrim a écrit :

PROMMIX a écrit :

Le piratage des données on ne peut pas l'éviter à 100%.
Par contre en informer ses clients le plus rapidement possible c'est quelque chose que Orange sait éviter à 100%


En général oui. Sur ce coup-là il ont été plutôt transparents et efficaces.


15 jours après, c'est bien ça?
Le #1653792
PROMMIX a écrit :

Nerthazrim a écrit :

PROMMIX a écrit :

Le piratage des données on ne peut pas l'éviter à 100%.
Par contre en informer ses clients le plus rapidement possible c'est quelque chose que Orange sait éviter à 100%


En général oui. Sur ce coup-là il ont été plutôt transparents et efficaces.


15 jours après, c'est bien ça?


Moins de 15 jours.
Les mails aux clients touchés ont été envoyés moins de 10 jours après l'intrusion (intrusion le 16/01, premiers mails envoyés le 25/01). La presse a commencé à en parler autour du 29-30 effectivement soit deux semaines après et des mails étaient encore expédiés mais le temps de réaction était relativement rapide pour une société de cette ampleur et une intrusion de ce type (puisqu'aucune donnée ne peut être exploitée, sauf pour du phishing et du spam et ne concerne "que" 3% de la base)
Le #1653832
Orange a fait le bleu en devenant vert.
Le #1653912
Nerthazrim a écrit :

PROMMIX a écrit :

Nerthazrim a écrit :

PROMMIX a écrit :

Le piratage des données on ne peut pas l'éviter à 100%.
Par contre en informer ses clients le plus rapidement possible c'est quelque chose que Orange sait éviter à 100%


En général oui. Sur ce coup-là il ont été plutôt transparents et efficaces.


15 jours après, c'est bien ça?


Moins de 15 jours.
Les mails aux clients touchés ont été envoyés moins de 10 jours après l'intrusion (intrusion le 16/01, premiers mails envoyés le 25/01). La presse a commencé à en parler autour du 29-30 effectivement soit deux semaines après et des mails étaient encore expédiés mais le temps de réaction était relativement rapide pour une société de cette ampleur et une intrusion de ce type (puisqu'aucune donnée ne peut être exploitée, sauf pour du phishing et du spam et ne concerne "que" 3% de la base)


Faut arrêter de dire que les données ne peuvent être exploitées !!!!

Comme je l'ai déjà répété ici maintes fois et dit à Orange (mais qui persiste à considérer que c'est une feature et pas un bug), toute personne qui se connecte à une box organge/sur un réseau orange et qui va sur www.orange.fr est directement identifiée comme le propriétaire de la ligne, sans avoir à rentrer d'identifiant... À partir de là, on peut en 1 clic changer les options du compte (couper le compte internet, ajouter des lignes, changer le nom, le mot de passe, l'adresse email, lire les messages du répondeur téléphonique, etc.)...

Pour en revenir au "piratage" : à partir du moment où les pirates ont maintenant des adresses physiques associé à des compte, ils ont plus qu'à checker si c'est un bar/café ou si la box est "protégée" par du WEP, et si oui, y a plus qu'à y aller, à demander la clef WEP/WPA (ou la "cracker" si elle est faible), se connecter, et faire tout le mal qu'on veut !!!!
Le #1654002
LIAR a écrit :

Nerthazrim a écrit :

PROMMIX a écrit :

Nerthazrim a écrit :

PROMMIX a écrit :

Le piratage des données on ne peut pas l'éviter à 100%.
Par contre en informer ses clients le plus rapidement possible c'est quelque chose que Orange sait éviter à 100%


En général oui. Sur ce coup-là il ont été plutôt transparents et efficaces.


15 jours après, c'est bien ça?


Moins de 15 jours.
Les mails aux clients touchés ont été envoyés moins de 10 jours après l'intrusion (intrusion le 16/01, premiers mails envoyés le 25/01). La presse a commencé à en parler autour du 29-30 effectivement soit deux semaines après et des mails étaient encore expédiés mais le temps de réaction était relativement rapide pour une société de cette ampleur et une intrusion de ce type (puisqu'aucune donnée ne peut être exploitée, sauf pour du phishing et du spam et ne concerne "que" 3% de la base)


Faut arrêter de dire que les données ne peuvent être exploitées !!!!

Comme je l'ai déjà répété ici maintes fois et dit à Orange (mais qui persiste à considérer que c'est une feature et pas un bug), toute personne qui se connecte à une box organge/sur un réseau orange et qui va sur www.orange.fr est directement identifiée comme le propriétaire de la ligne, sans avoir à rentrer d'identifiant... À partir de là, on peut en 1 clic changer les options du compte (couper le compte internet, ajouter des lignes, changer le nom, le mot de passe, l'adresse email, lire les messages du répondeur téléphonique, etc.)...

Pour en revenir au "piratage" : à partir du moment où les pirates ont maintenant des adresses physiques associé à des compte, ils ont plus qu'à checker si c'est un bar/café ou si la box est "protégée" par du WEP, et si oui, y a plus qu'à y aller, à demander la clef WEP/WPA (ou la "cracker" si elle est faible), se connecter, et faire tout le mal qu'on veut !!!!


Il faut être passablement con (si tu passes la vulgarité) pour filer sa clé WEP/WPA à une personne qui n'est pas de confiance -_-
La Livebox possède un mode invité, ce n'est pas pour rien ... Et les clés par défaut sont en WPA2 depuis la Livebox Mini, donc incrackable en brute-force comme le WEP.

Quant au fait de vérifier si c'est un bar/café à partir de l'adresse physique, à ce moment-là tu te sers des pages jaunes/blanches, il est aisé de retrouver la fourchette de numéros qu'Orange attribue à ses abonnés et tu pourras aussi facilement savoir si un commerce est chez Orange ou pas ...
Pas besoin de t'ennuyer à pirater une BDD pour ça ...

Je crois que le summum de la méconnaissance du sujet de ton commentaire c'est "(mais qui persiste à considérer que c'est une feature et pas un bug)" ...
Parce que tu crois que cet automatisme n'est pas volontaire ? Est-ce que tu t'es, ne serait-ce qu'un minimum, renseigné sur le mécanisme de cette authentification automatique (dont je ne suis pas fan non plus, au passage) ?
Orange sont les seuls à faire ça car ce sont les seuls à utiliser un VPN entre la box de l'abonné et leur infra/portail principal, avec des VLANs. Les tags des VLAN associés au tunnel VPN permettent cet authentification automatique et permet au décodeur Orange de vérifier les offres auxquelles est éligible l'abonné (au contraire de Free chez qui tu peux accéder à toutes les offres si tu es bidouilleur) ...
Le #1654452
"une cellule dédiée qui fonctionne tous les jours, 24 heures sur 24"
=>Si elle est aussi performante que le service encaissement, elle pourrait bien tourner 72 heures sur 24 que ça suffirait toujours pas...
Le #1655482
.../Il souligne enfin que son groupe possède une cellule dédiée qui fonctionne tous les jours, 24 heures sur 24.

.../Elle est l’écoute des utilisateurs et prête à donner l’alerte au moindre doute fondé./...

Ha bah ça alors ,y' a du avoir un bug là, ou alors sont payé a rien foutre.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]