Le blog de Genma
Vous êtes ici : Accueil » Veille Technologique » Mot de passe wifi

Mot de passe wifi

D 28 avril 2015     H 09:00     A Genma     C 5 messages   Logo Tipee

TAGS : Free, Freebox, Freemobile Password, Passphrase

Dans ce billet, je voudrais raconter une petite anecdote qui doit vous amener à réfléchir.

Mon anecdote

Samedi dernier, mon beau-frère et ma soeur était chez mes parents et voulait se connecter au wifi fournit par la Freebox (Mes parents sont abonnés Free). Je n’étais pas là et c’est moi qui suis en charge de l’informatique familiale (je fais les mises à jour et c’est moi qu’on appelle quand ça marche pas). Ce jour là, je n’étais pas disponible (en train d’animer un café vie privée), mes parents ignorent les codes et mots de passe permettant de se connecter au site web de Free pour accéder à l’interface d’administration permettant de connaitre le nom du réseau Wifi et surtout la clef de chiffrement WPA2.

Mais mon beau-frère qui s’y connait un peu a eu l’idée de brancher le boitier télé et d’aller dans l’application dédiée au paramétrage et de faire afficher le nom du réseau Wifi et le code associé. C’est là une des fonctionnalités de la Freebox partie télévision, bien connue.

Le nom du réseau et la clef du Wifi (une belle phrase de passe, bien compliqué, avec des caractères spéciaux, des chiffres, et des mots sans lien entre eux) étant compliqué à taper, il l’a pris en photo... sur son Iphone. Pour pouvoir la saisir ensuite dans le téléphone de ma soeur puis dans son smartphone. Et ils ont pu se connectés au Wifi.

Ce que nous apprend cette histoire

Parfois les moyens les plus simples sont les meilleurs. Pour avoir la clef du Wifi, certains auraient sortis tout un arsenal, mais vu le niveau de chiffrement que j’ai mis, ce serait plus simple d’attendre que je sois disponible.

Je n’ai pas mis en place de filtrage par adresse MAC, pas d’IP fixe (DHCP activé par défaut), je n’ai donc pas poussé à l’extrême la non possibilité de se connecter au réseau de mes parents. Le faire maintenant, je vais en entendre parler...

Sur un Iphone, il y a une belle photo la phrase de passe qui est utilisée chez mes parents. Certe Free la connait aussi (vu qu’elle est utilisée sur la Freebox). Mais là, c’est sur un téléphone. Il se le fait voler. On trouve la photo... On a le mot de passe. Il serai noté sur un post-it que ce serait pareil... Si (mais ce n’est pas le cas) cette phrase de passe est utilisée ailleurs (compte personnel ou autre), j’aurais à considérer qu’elle est compromise...

A lire sur le même sujet :
- Des mots de passe que l’on utilise au quotidien...
- Les phrases de passe

5 Messages

  • Yop

    Pendant les fêtes, aux temps forts, j’avais pas moins de 18 appareils connectés sur ma freebox et pour chacun j’avais donc dicté le pass.
    C’est donc une situation très largement vécue ;-)

    Chipotons un peu sur le fait qu’un post-it à proximité de l’appareil concerné n’est pas tout à fait la même chose qu’une image relativement anonyme sur un portable volé à un anonyme (remonter à la source n’est pas forcément simple).

    En fait il manque à ton "modèle" de menace un paramétrage essentiel qui amène plutôt à envisager des "risques" : la probabilité.

    menace X probabilité = risque (1)

    Et c’est en fonction du niveau tolérable de risque (que tu te donnes) que tu définis les mesures à prendre (plus ou moins contraignantes).
    La menace qu’un avion s’écrase sur ma maison ne m’amène pas nécessairement à construire un blockhaus. Celle d’un cambriolage n’amène pas nécessairement à l’installation d’une alarme.

    D’ailleurs, c’est qui nous laisse sur notre faim, ok, une fois la "menace" exposée, quelle(s) mesure(s) proposes-tu ?

    (1) version simplifiée de ce qui est réellement appliqué en "sûreté de fonctionnement".


  • Icloud est activité sur l’iPhone ? Si oui apple connais aussi ta passphrase


  • Sur un Iphone, il y a une belle photo la phrase de passe qui est utilisée chez mes parents. Certe Free la connait aussi (vu qu’elle est utilisée sur la Freebox). Mais là, c’est sur un téléphone. Il se le fait voler. On trouve la photo... On a le mot de passe. Il serai noté sur un post-it que ce serait pareil...

    J’irais même plus loin.
    Une photo sur le phone... On sait tous bien que bon nombre d’applis se permettent (avec notre consentement, CGU toussa... ou non) de reluquer nos carnets d’adresses, photos, etc...
    Puis une photo sur Iphone, par défaut (si configurer comme ça, pour être pratique, "à la dropbox") elle se synchronise pas avec un cloud quelconque...?

    Alors qu’un post-it (qu’il faudrait aller choper ou apercevoir physiquement), me parait nettement plus "difficile à craquer" (surtout s’il est détruit -par le feu- après emploi), y compris dans une poche ou un portefeuille.

    M’est avis que le pass peut largement être considéré comme corrompu.


  • C’est en effet une chose que je fais avec différents points d’accès, mais je ne m’étais jamais posé la question. Devons-nous considérer un N900 sans aucune méthode de synchronisation ni de branchement par USB sur un ordinateur comme étant potentiellement dangereux ?

    Je pense que oui, car un jour, ça ira dans le "Cloud" et se sera perdu :’(.

    Maintenant, en dehors du "problème", que faut-il faire ? Filtrage MAC ? Filtrage paquets ?
    J’ai certains amis qui aiment bidouiller avec le réseau qui ont des accès wifi sans mot de passe, mais je ne sais pas comment ils "filtrent" derrière. Ils sont plusieurs à dire que le wifi n’est qu’un support et que ce n’est pas lui qu’on doit sécuriser.

    Sinon, hors sujet :
    "ce serait plus simple d’attendre que je dois disponible" => je pense que c’est plutôt "que je sois disponible"


  • Pour ceux qui reçoivent (beaucoup) et qui souhaitent partager leur wifi avec leurs invités, il est aussi possible de créer un Code barre 2D (Qrcode, Datamatrix,...) de connexion wifi (à imprimer et à lasser près de la box)

    ainsi l’invité flash le Code barre et se retrouve aussitôt connecté au wifi, même si le nom du réseau est masqué (bon il faut être pré-equipé d’une appli scanner)

    l’avantage est de ne pas avoir à saisir le mot de passe (avec les risques d’erreurs) et aussi de ne pas avoir à divulguer ce mot de passe
    (une source parmi d’autres : http://korben.info/un-qr-code-pour-se-connecter-au-wifi.html)


Un message, un commentaire ?
modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un administrateur du site.

Qui êtes-vous ?
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.