MAJ du 20/10: Deux responsables de SFR nous ont contacté, la faille leur a été donnée, et une deuxième trouvée entre temps leur a aussi été communiquée.

Les failles sont donc en cours de résolution, mais pour le moment elles sont encore exploitables

C’est une info qui nous vient de RL-Tech, SFR aurait une faille de sécurité sur son site qui permet de récupérer des centaines de comptes ADSL SFR.

En effet depuis quelques semaines le compte SFR du site RL-Tech était régulièrement piraté, les administrateurs ont d’abord cru à un PC infecté et ont donc isolé les identifiants sur un seul PC puis sur un autre et forcé et de constater que le souci était ailleurs.

Sylvain, un administrateur du site, a donc mené son enquête et s’est rapidement rendu compte d’une faille dans le système SFR.
Avec un compte SFR secondaire (compte email secondaire avec des droits très limités), il était possible de récupérer l’accès au compte principal.
Mais il est aussi possible en faisant quelques recherches sur Google de récupérer les informations nécessaires des comptes et en prendre le contrôle.
Il y aurait des centaines de comptes dans la nature et qui pourraient être piratés à tout moment.

Sylvain nous a expliqué la faille et elle est vraiment très simple à exploiter, quelques clics de souris, une petite attente de 2 heures et nous voilà sur un compte SFR ADSL!

Le pire est que tout est faisable depuis un simple navigateur et donc il ne s’agit pas vraiment de piratage vis-à-vis de la loi :

Dans une affaire la justice s’est déjà prononcée sur ce genre de piratage : Affaire Tati vs kitetoa

Petit extrait :

« Il ne peut être reproché à un internaute d’accéder aux, ou de se maintenir dans les parties des sites qui peuvent être atteintes par la simple utilisation d’un logiciel grand public de navigation, ces parties de site, qui ne font par définition l’objet d’aucune protection de la part de l’exploitant du site ou de son prestataire de services, devant être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l’accès ». Et ce même si l’internaute visite des parties nominatives d’un site non sécurisé…

La Cour d’appel avait taclé au passage que « la détermination du caractère confidentiel (…) et des mesures nécessaires à l’indication et à la protection de cette confidentialité relevant de l’initiative de l’exploitant du site ou de son mandataire »

Alors pourquoi pirater ces comptes ?

Sur ces comptes les pirates peuvent récupérer en deux coup de clic un RIB, les coordonnées personnelles du client, sa facture détaillée mais aussi commander avec internet + et donc de dépenser l’argent du propriétaire du compte qui s’en rendra compte qu’une fois la facture arrivée chez lui et débitée de son compte.

Les sommes sont assez minimes (2€ environ par achat) mais cumuler des dizaines ou centaines de fois, le problème devient beaucoup plus sérieux.

Pire encore, il est possible de commander un téléphone avec forfait !
Il suffit de choisir un beau téléphone, un gros forfait, le prix du téléphone est alors minime.

Plusieurs informations vous sont alors demandées :
Votre nom et prénom (un pirate y indiquera un nom bidon)
Votre adresse (un pirate indiquera une boite postale anonyme)
Votre numéro de carte d’identité ou passeport ou carte de séjour (un pirate indiquera un numéro bidon)

Bien sûr les voleurs les plus expérimentés arriveront à indiquer de vrais infos provenant d’une carte volée…

Après, tout ça vient l’étape du RIB qui est récupérable dans l’espace client du propriétaire du compte.

Ensuite il suffit de faire livrer le téléphone à la boîte postale ou même dans un relais colis (certains ne demandent même pas de carte d’identité, expérience personnelle vécue plusieurs fois), de payer les quelques euros demandés avec une carte bancaire jetable comme elle s’en vend au bureau postal du coin et quelques jours après vous avez un beau téléphone tout neuf pour trois fois rien avec un gros forfait.

Un iPhone 4 coûte 29€ avec un gros forfait, un iPhone 4S 129€, un Galaxy Ace 1€…

Il y a de quoi faire une belle plus valu à la revente !

Pendant ce temps-là si tout passe chez SFR le forfait sera prélevé sur le compte de la victime…

Bien sûr cette faille a été signalée à SFR, il y a déjà plusieurs semaines mais RL-Tech n’a eu aucune nouvelle de leur part.

Pour questions de sécurité nous ne dévoilerons pas plus de détails sur cette faille mais nous espérons vraiment que SFR saura réagir assez rapidement afin de protéger ses clients de cette faille.

Sources: www.rl-tech.info , www.pc-inpact.com