Orange : de bonnes résolutions sécurité pour 2009 ?

5 janvier 2009 à 20h44
- Mis à jour le 16 janvier 2019 à 18h50 -

Des milliers de fiches client accessibles en clair depuis Internet, un firmware mal abouti pour le WiFi, un espace de commande perfectible... Le pire est déjà passé : pendant plusieurs jours, les données de dizaines de milliers de clients d'Orange étaient accessibles depuis Internet, en changeant simplement un numéro dans l'URL. Identification client, nom, prénom, code d'accès, adresse postale, services souscrits, code et login d'accès TV, materiel commandé, numéros de séries des materiels tels que la carte Viaccess, le décodeur ou le modem, numéros VoIP...

Il faut espérer que ces fiches de clients n'ont pas été la proie de personnes mal-intentionnées durant les semaines ayant précédé la découverte de la faille et son signalement par Zataz. On pourra retrouver sur le site de Zataz des captures d'écran ainsi qu'une petite vidéo pour bien illustrer l'erreur, aujourd'hui corrigée.

Les geeks ne sont pas non plus tout à fait satisfaits de l'espace de prise de commande d'Orange, insuffisamment sécurisé à leur goût, dont certaines pages manqueraient d'une connexion SSL.

Quant à de nombreux gamers disposant d'une Livebox de marque Sagem et n'ayant pas d'autres solutions que de jouer en WiFi, ils sont furieux du manque de réactivité d'Orange face à leur problème, dont les premiers signalements auraient été fait mi-2008.

Ils sont en effet victimes de déconnexions intempestives depuis parfois mi-2008 et l'arrivée d'un nouveau firmware sur base Linux en remplacement de l'ancien driver, estampillé VxWorks.

Pas tout à fait adapté aux spécificités de la Box, il n'a pas d'impact sur du surf classique, mais va provoquer des problèmes cinq minutes, une demi-heure, une heure, deux heures après le démarrage d'un jeu : un comportement imprévisible, rendant extrêmement frustrantes la pratique du jeu vidéo.

Détectant un problème de connexion, les serveurs de jeu vont, de plus, souvent interdire l'accès aux personnes souffrant de ces déconnexions pendant quelques minutes, afin d'éviter ce qui pourrait être une tentative de triche.