Il s'agit du problème posé par les fournisseurs qui, comme le mien
(Wanadoo/Orange), recyclent instantanément l'adresse IP dynamique d'un
client déconnecté, que la coupure soit à l'initiative de l'abonné ou du
fournisseur. Le risque est qu'un client suivant récupère l'IP avec des
connexions TCP non refermées et la possibilité d'accéder à des données
confidentielles du client précédent :=(
En tant que client d'Orange, j'ai constaté que si je suis déconnecté, je
ne récupère jamais la même IP (même en déconnectant et reconnectant, par
programme, aussi vite que possible!) Nous sommes donc a priori dans le
cas de figure visé par l'article de Security Focus.
Je voudrais donc savoir si Orange prend les mesures techniques
appropriées pour éviter la fuite potentielle de données de ses clients,
en réinitialisant (RST) les connexions TCP/IP ouvertes , et surtout en
imposant un délai de quelques minutes avant de réutiliser une IP qui
vient d'être retirée.
Si ce n'est pas le cas, comme c'est à craindre, hélas! j'espère que
parmi les lecteurs figurent des ingénieurs d'Orange-FT - il doit bien y
en avoir de responsables - et qu'ils sauront rectifier le problème
rapidement...
Le mieux serait de s'efforcer de réattribuer la même IP à un client
autant que possible, c'est ce que font la plupart des FAI à travers le
monde même pour des IP dites dynamiques. La politique d'Orange est
aberrante (y compris la question distincte de la déconnexion des 24h) ,
en tout cas personne ne nous a jamais expliqué les tenants et
aboutissants de ces mesures. Peut-être simplement l'ignorance des
"responsables" sic ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
geo cherchetout
Le 22.07.2006 16:48, *NimbUs* a écrit fort à propos :
En tant que client d'Orange, j'ai constaté que si je suis déconnecté, je ne récupère jamais la même IP (même en déconnectant et reconnectant, par programme, aussi vite que possible!)
Quand à moi, il m'est arrivé plusieurs fois de me déconnecter physiquement en coupant la ligne à l'entrée du modem pendant quelques secondes et de retrouver la même adresse IP au rétablissement. Ces expériences remontent à un certain nombre de mois, quand Orange s'appelait Wanadoo. Je l'ai remarqué parce que mon objectif était justement d'obtenir un changement afin d'être tranquille pour les 24 heures suivantes. On n'est jamais content. ;-)
Le 22.07.2006 16:48, *NimbUs* a écrit fort à propos :
En tant que client d'Orange, j'ai constaté que si je suis déconnecté, je
ne récupère jamais la même IP (même en déconnectant et reconnectant, par
programme, aussi vite que possible!)
Quand à moi, il m'est arrivé plusieurs fois de me déconnecter
physiquement en coupant la ligne à l'entrée du modem pendant quelques
secondes et de retrouver la même adresse IP au rétablissement. Ces
expériences remontent à un certain nombre de mois, quand Orange
s'appelait Wanadoo.
Je l'ai remarqué parce que mon objectif était justement d'obtenir un
changement afin d'être tranquille pour les 24 heures suivantes. On n'est
jamais content. ;-)
Le 22.07.2006 16:48, *NimbUs* a écrit fort à propos :
En tant que client d'Orange, j'ai constaté que si je suis déconnecté, je ne récupère jamais la même IP (même en déconnectant et reconnectant, par programme, aussi vite que possible!)
Quand à moi, il m'est arrivé plusieurs fois de me déconnecter physiquement en coupant la ligne à l'entrée du modem pendant quelques secondes et de retrouver la même adresse IP au rétablissement. Ces expériences remontent à un certain nombre de mois, quand Orange s'appelait Wanadoo. Je l'ai remarqué parce que mon objectif était justement d'obtenir un changement afin d'être tranquille pour les 24 heures suivantes. On n'est jamais content. ;-)
NimbUs
Bonjour, Géo !
NimbUs avait écrit :
En tant que client d'Orange, j'ai constaté que si je suis déconnecté, je ne récupère jamais la même IP (même en déconnectant et reconnectant, par programme, aussi vite que possible!)
Geo Cherchetout a répondu :
Quand à moi, il m'est arrivé plusieurs fois de me déconnecter physiquement en coupant la ligne à l'entrée du modem pendant quelques secondes et de retrouver la même adresse IP au rétablissement.
Intéressant. D'autant que dans votre expérience, vous interrompez non seulement la liason IP mais aussi bien le lien ATM (AAL5). Il faudrait que je refasse mes essais, mais, la machine et donc le programme que j'avais utilisés à cette fin ne sont plus en ligne. Vos coupures volontaires duraient "quelques" secondes, pouvez-vous être plus précis dans l'ordre de grandeur ?
Je l'ai remarqué parce que mon objectif était justement d'obtenir un changement afin d'être tranquille pour les 24 heures suivantes. On n'est jamais content. ;-)
C'est ce qui fait tourner le monde :=)
J'étais moi aussi plutôt satisfait à la pensée de pouvoir changer d'IP facilement au débotté, quoique en pratique je n'aie pas rencontré la nécessité de l'exercer; la menace, au moins théorique, rapportée dans l'article cité suggère cependant d'y réfléchir. On peut espérer qu'une personne interne à Orange nous donnera plus de détails sur le fonctionnement de leurs installations à cet égard... Compte tenu du fonctionnement des "piles" TCP/IP, un délai *minimum* d'une minute paraît prudent avant de recycler une IP, à moins de s'assurer de la réattribuer au même utilisateur que précédemment.
Bon dimanche !
-- NimbUs - jadis @oreka.com (pas d'email!)
Bonjour, Géo !
NimbUs avait écrit :
En tant que client d'Orange, j'ai constaté que si je suis déconnecté, je
ne récupère jamais la même IP (même en déconnectant et reconnectant, par
programme, aussi vite que possible!)
Geo Cherchetout a répondu :
Quand à moi, il m'est arrivé plusieurs fois de me déconnecter
physiquement en coupant la ligne à l'entrée du modem pendant quelques
secondes et de retrouver la même adresse IP au rétablissement.
Intéressant. D'autant que dans votre expérience, vous interrompez non
seulement la liason IP mais aussi bien le lien ATM (AAL5). Il faudrait
que je refasse mes essais, mais, la machine et donc le programme que
j'avais utilisés à cette fin ne sont plus en ligne. Vos coupures
volontaires duraient "quelques" secondes, pouvez-vous être plus précis
dans l'ordre de grandeur ?
Je l'ai remarqué parce que mon objectif était justement d'obtenir un
changement afin d'être tranquille pour les 24 heures suivantes. On n'est
jamais content. ;-)
C'est ce qui fait tourner le monde :=)
J'étais moi aussi plutôt satisfait à la pensée de pouvoir changer d'IP
facilement au débotté, quoique en pratique je n'aie pas rencontré la
nécessité de l'exercer; la menace, au moins théorique, rapportée dans
l'article cité suggère cependant d'y réfléchir. On peut espérer qu'une
personne interne à Orange nous donnera plus de détails sur le
fonctionnement de leurs installations à cet égard... Compte tenu du
fonctionnement des "piles" TCP/IP, un délai *minimum* d'une minute
paraît prudent avant de recycler une IP, à moins de s'assurer de la
réattribuer au même utilisateur que précédemment.
En tant que client d'Orange, j'ai constaté que si je suis déconnecté, je ne récupère jamais la même IP (même en déconnectant et reconnectant, par programme, aussi vite que possible!)
Geo Cherchetout a répondu :
Quand à moi, il m'est arrivé plusieurs fois de me déconnecter physiquement en coupant la ligne à l'entrée du modem pendant quelques secondes et de retrouver la même adresse IP au rétablissement.
Intéressant. D'autant que dans votre expérience, vous interrompez non seulement la liason IP mais aussi bien le lien ATM (AAL5). Il faudrait que je refasse mes essais, mais, la machine et donc le programme que j'avais utilisés à cette fin ne sont plus en ligne. Vos coupures volontaires duraient "quelques" secondes, pouvez-vous être plus précis dans l'ordre de grandeur ?
Je l'ai remarqué parce que mon objectif était justement d'obtenir un changement afin d'être tranquille pour les 24 heures suivantes. On n'est jamais content. ;-)
C'est ce qui fait tourner le monde :=)
J'étais moi aussi plutôt satisfait à la pensée de pouvoir changer d'IP facilement au débotté, quoique en pratique je n'aie pas rencontré la nécessité de l'exercer; la menace, au moins théorique, rapportée dans l'article cité suggère cependant d'y réfléchir. On peut espérer qu'une personne interne à Orange nous donnera plus de détails sur le fonctionnement de leurs installations à cet égard... Compte tenu du fonctionnement des "piles" TCP/IP, un délai *minimum* d'une minute paraît prudent avant de recycler une IP, à moins de s'assurer de la réattribuer au même utilisateur que précédemment.
