SFR : Les « hot spot » WiFi accessibles gratuitement à tout pirate


 

F-VNS SECURITY v2.0 - Le service de veille personnalisée, destiné aux responsables sécurité des systèmes d'information (RSSI) et directeurs informatiques » Période d'essai gratuite de 15 jours

Integralis, société anglaise de services dans le domaine de la sécurité informatique, donne des noms : Vodafone, T-Mobile (Allemagne), SFR France : les « hot spot » WiFi de ces opérateurs sont accessible gratuitement à tout pirate sachant comment violer un terminal Nokia ou Ericsson. La procédure d’enregistrement à une borne WiFi à l’aide d’un téléphone est d’une simplicité jugée trop grande : envoi du numéro d’abonné en guise d’authentification, réception du login via SMS.

Bien entendu, la tranche d’abonnement de 20 mn, 1 H ou 24 H est directement débité sur le compte de l’abonné, qui n’a quasiment aucun moyen de se rendre compte que la liaison Bluetooth de son appareil a servi à ouvrir un service qu’il n’a aucun moyen de voir fonctionner.

 

Le pirate se trouve généralement à quelques mètres de sa victime, à la terrasse du même café, l’air profondément inspiré sur l’écran de son PDA ou de son ordinateur portable. La seule différence entre la victime et le pirate, c’est que le criminel, lui, a pris le temps de lire les œuvres complètes d’Integralis ainsi que leurs mises en application (ci-dessous).

SFR inaugure le 23 juin « le premier service Wi-Fi sur l’ensemble du plus grand quartier d'affaires européen »… en d’autres termes une borne en plein cœur de La Défense. Il reste à espérer qu’un commercial de l’opérateur sera présent dans les 2 ou trois mois suivants afin d’expliquer aux différents « surfers Wireless » comment sécuriser les accès Bluetooth de leurs terminaux et remettre à jour dare dare le firmware de leurs « communicateurs ». En attendant ce jour béni, les plus prudents pourront toujours se rabattre sur les bornes gratuites...

15.06.2004 : Security Advisory - WLAN Hotspot Piracy through Identity Theft (Integralis)

Par Marc Olanié (Le 18 Juin 2004)     
 

 F-VNS Security Audits de Sécurité & Tests Intrusifs Mailing Listes Advisories  Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

actualité informatique  Exploits