{"id":2286,"date":"2019-08-31T15:58:07","date_gmt":"2019-08-31T13:58:07","guid":{"rendered":"https:\/\/www.identitycosmos.com\/?p=2286"},"modified":"2019-08-31T15:58:07","modified_gmt":"2019-08-31T13:58:07","slug":"contes-et-legendes-informatiques-inachevees-livre-1-securite-informatique-toujours-se-mefier-des-services-gratuits","status":"publish","type":"post","link":"https:\/\/identitycosmos.com\/index.php\/2019\/08\/31\/contes-et-legendes-informatiques-inachevees-livre-1-securite-informatique-toujours-se-mefier-des-services-gratuits\/","title":{"rendered":"Contes et l\u00e9gendes informatiques inachev\u00e9es – Livre 1 \u00ab S\u00e9curit\u00e9 Informatique : toujours se m\u00e9fier des applications mobiles gratuites\u2026 \u00bb"},"content":{"rendered":"

Contes et l\u00e9gendes informatiques inachev\u00e9es \u2013 Livre 1 \u00ab\u00a0S\u00e9curit\u00e9 Informatique\u00a0: toujours se m\u00e9fier des applications mobiles gratuites\u2026\u00a0\u00bb
\n<\/strong><\/p>\n

\"\"<\/p>\n

Je m’en vais vous conter une bien \u00e9trange histoire\u2026 Mais je vais vous donner la morale de l’histoire au d\u00e9but de celle-ci\u00a0: se m\u00e9fier, toujours se m\u00e9fier des services ou applications gratuits.<\/p>\n

Chapitre 1\u00a0: un appel au secours
\n<\/strong><\/span><\/p>\n

Je suis \u00e0 Gen\u00e8ve, chez un de mes clients quand je re\u00e7ois l’appel d’un ami qui me dit avoir un probl\u00e8me avec son compte email. Mon ami Cyril est arbitre de handball, et suivant mon conseil il s’est cr\u00e9\u00e9 une adresse email d\u00e9di\u00e9e pour dialoguer avec la FFHB. Il utilise une adresse en @outlook.fr et consulte ses emails depuis son PC ou depuis son mobile Android. Il n’est pas tr\u00e8s f\u00e9ru d’informatique, mais aucun probl\u00e8me pour lui quant au param\u00e9trage d’une boite email sur un mobile, il fait lui-m\u00eame office de r\u00e9f\u00e9rent informatique aupr\u00e8s de sa petite famille\u00a0!<\/p>\n

Il m’explique que sa boite email est bloqu\u00e9e, qu’il n’arrive plus \u00e0 se connecter. Etant \u00e0 l’\u00e9tranger, et ne pouvant pas passer rapidement chez lui, il m’envoie son login+mdp, oui je sais ce n’est pas bien, mais cet ami c’est la famille, donc pas de probl\u00e8me de confidentialit\u00e9 entre nous. Je teste rapidement depuis mon PC, et effectivement l’interface outlook.com m’indique que la boite a \u00e9t\u00e9 bloqu\u00e9e par mesure de s\u00e9curit\u00e9 car une activit\u00e9 suspecte a \u00e9t\u00e9 d\u00e9tect\u00e9e. Dans ce cas il faut suivre une proc\u00e9dure de d\u00e9blocage avec un envoi de code unique part SMS sur le num\u00e9ro de GSM fourni \u00e0 la cr\u00e9ation de la boite email. Comme je suis chez un client et que je ne suis pas trop disponible, je lui dis que nous voyons tout cela \u00e0 mon retour. Nous convenons de nous rappeler, et je vaque \u00e0 mes activit\u00e9s s\u00e9curit\u00e9 chez mon client. 2 jours apr\u00e8s, retour en France.<\/p>\n

Chapitre 2\u00a0: la hotline personnelle
\n<\/strong><\/span><\/p>\n

Le Samedi suivant je rappel Cyril pour commencer mon service de hotline personnelle (tout bon consultant informatique sert de hotline \u00e0 ses amis, ses enfants, ses parents, ses cousins, les amis des cousins, les amis des amis, etc.) \u2013 je commence par me connecter \u00e0 sa boite email via mon navigateur et d\u00e9bute la proc\u00e9dure de d\u00e9blocage habituelle\u00a0: envoi de code par SMS, etc. J’en profite pour ajouter quelques param\u00e8tres de s\u00e9curit\u00e9 sur son compte \u2013 au bout de 5 minutes, tout fonctionne. Il teste de son c\u00f4t\u00e9, pareil, tout est ok.<\/p>\n

https:\/\/gph.is\/2EVZGjJ<\/p>\n

Chapitre 3\u00a0: Le march\u00e9 aux tulipes
\n<\/strong><\/span><\/p>\n

Une fois la situation stabilis\u00e9e, je l’interroge, as-tu chang\u00e9 quelque chose qui pourrait expliquer le blocage de ton compte\u00a0? il m’assure que non. Je me connecte alors sur le r\u00e9sum\u00e9 d’activit\u00e9 de son compte outlook.com pour v\u00e9rifier si quelqu’un n’aurait pas \u00ab\u00a0pirater\u00a0\u00bb (mot qui ne veut rien dire mais que tout le monde comprend) sa boite email.<\/p>\n

Les surprises commencent.<\/p>\n

Je visualise la derni\u00e8re connexion depuis mon PC\u00a0:<\/p>\n

\"\"<\/p>\n

Et je vois aussi d’autres connexions depuis son t\u00e9l\u00e9phone mobile apr\u00e8s le d\u00e9blocage (il a en effet test\u00e9 depuis son PC et depuis son mobile) \u2013 et je vois que la connexion depuis son mobile a \u00e9t\u00e9 r\u00e9alis\u00e9e depuis\u2026 les Pays-Bas\u00a0!<\/p>\n

\"\"<\/p>\n

Nous faisons plusieurs tests, et nous constatons que via usage du mobile, plusieurs adresses IP sont utilis\u00e9es, elles commencent toutes par 185.30.x.x et semblent provenir des Pays-Bas.<\/p>\n

Mon premier r\u00e9flexe est de penser que l’algorithme de localisation des IPs \u00e0 perdu les p\u00e9dales chez Microsoft (cela m’est d\u00e9j\u00e0 arriv\u00e9 il y a un an chez un client utilisateur d’Azure AD) je v\u00e9rifie donc le range IP et sa provenance \u00e9ventuelle, effectivement range IP associ\u00e9 aux Pays-Bas\u00a0:<\/p>\n

\"\"<\/p>\n

Je commence s\u00e9rieusement \u00e0 me poser des questions\u2026<\/p>\n

Cyril me confirme que son op\u00e9rateur GSM est Free Mobile, je me dis \u00ab\u00a0tiens curieux Free Mobile utilise des IP \u00e0 l’\u00e9tranger\u00a0\u00bb, je v\u00e9rifie alors qu’elles sont les IP attribu\u00e9es \u00e0 Free Mobile\u00a0:<\/p>\n

\"\"<\/p>\n

Rien au Pays-Bas\u2026 et surtout des adresses qui commencent par 37.x.x.x. Je commence \u00e0 y perdre mon Latin (Rosa, Rosae, etc\u2026)<\/p>\n

Chapitre 4\u00a0: Le pot aux roses du gratuit
\n<\/strong><\/span><\/p>\n

Je demande \u00e0 Cyril de v\u00e9rifier l’adresse IP publique qu’il a sur son mobile actuellement, et l\u00e0 surprise, il s’agit bien d’une adresse Free\u2026commen\u00e7ant par 37.<\/p>\n

Bon reprenons, quand Cyrill se connecte \u00e0 Outlook.com depuis son PC, aucun probl\u00e8me, adresse IP Fran\u00e7aise. Quand Cyril se connecte depuis son Android via Free Mobile, adresse IP aux Pays-Bas sur Outlook.com alors qu’il a bel et bien une adresse IP publique Free sur son mobile.<\/p>\n

Je me calme\u2026 et r\u00e9fl\u00e9chi deux minutes\u2026 et l\u00e0 bingo\u00a0! La seule chose qui est \u00ab\u00a0entre\u00a0\u00bb l’OS mobile et Outlook.com, c’est\u2026 l’application mobile qu’il utilise pour se connecter \u00e0 sa boite email. Je lui demande quelle application mobile il utilise, r\u00e9ponse myMail. Il me dit \u00ab\u00a0c’est super, c’est simple et c’est gratuit\u00a0\u00bb<\/p>\n

Bon l\u00e0 mon sang se glace, il a dit le mot cl\u00e9 maudit \u00ab\u00a0gratuit\u00a0\u00bb.<\/p>\n

Par exp\u00e9rience, rien n’est gratuit, si effectivement cette application est gratuite et est aussi parfaite que semble le dire Cyril, il y a un loup, c’est \u00e9vident. Cela me rappel un consultant IAM tout juste sorti du moule qui ne comprenait pas pourquoi je pr\u00e9f\u00e9rais acheter le browser LDAP LEX<\/a> pour travailler chez les clients plut\u00f4t que d’utiliser des trucs opensource depuis sourceforge\u2026 Il comprendra avec l’exp\u00e9rience.<\/p>\n

Je commence quelques recherches sur Internet, et l\u00e0 je comprends\u2026Je vous conseille la lecture de ce document du minist\u00e8re de l’\u00e9ducation: https:\/\/ssi.univ-lille.fr\/sites\/ssi.univ-lille.fr\/files\/ssi\/20160401_Fiche_MyMail.pdf<\/a><\/p>\n

\"\"<\/p>\n

Pour r\u00e9sum\u00e9, myMail est en fait un service h\u00e9berg\u00e9 sur des serveurs aux Pays-Bas et en Russie (d\u00e9j\u00e0 cela sent bon l’embrouille) \u2013 quand vous installez l’application depuis Google Play ou depuis Apple Store et param\u00e9trez ensuite cette application avec vos identifiants (login+mdp) disons en utilisant IMAP, vos identifiants ainsi que votre configuration n’est pas stock\u00e9e sur votre mobile mais sur les fameux serveurs \u00e0 l’\u00e9tranger.<\/p>\n

La connexion IMAP se fait alors entre le serveur (Aux Pays-Bas ou en Russie) et votre service de messagerie, puis via HTTPS, le service web des serveurs poussent ou tirent les emails vers ou depuis votre application mobile myMail.<\/p>\n

Cela signifie que le service myMail monnaie ensuite vos identifiants \u00e0 des personnes tierces\u2026ou \u00e0 minima vend des informations sur vous et votre usage de l’email.<\/p>\n

Cyril utilise cette application depuis longtemps, ces identifiants devaient etre stock\u00e9s aux Pays-bas, et ce depuis le d\u00e9but. Donc pour Outlook.com, comportement normal. Je remonte dans les logs de connexion Outlook.com et surprise vois une connexion depuis la Russie, et la date correspond au blocage par s\u00e9curit\u00e9 du compte de Cyril. Le service web sur les Pays-Bas a bascul\u00e9 (pour incident ou maintenance) sur des serveurs Russes pendants quelques heures, ceci a \u00e9t\u00e9 d\u00e9tect\u00e9 et bloqu\u00e9 par Outlook.com<\/p>\n

La recommandation est alors de\u00a0:<\/p>\n

    \n
  1. Changer vos identifiants sur myMail en mettant un mot de passe bidon<\/li>\n
  2. Faire un test de connexion pour bien v\u00e9rifier que cela ne fonctionne plus et que le service n’a plus acc\u00e8s \u00e0 vos emails<\/li>\n
  3. D\u00e9sinstaller cette application<\/li>\n<\/ol>\n

    Pour terminer, Cyril installe l’application mobile Microsoft Outlook et la param\u00e8tre. Fin de l’embrouille.<\/p>\n

    Chapitre 5\u00a0: Le gratuit n’existe pas
    \n<\/strong><\/span><\/p>\n

    D\u00e9j\u00e0 il ne faut pas confondre deux choses\u00a0: Open Source et Gratuit.<\/p>\n

    Travaillant dans la s\u00e9curit\u00e9 informatique, je suis un gros consommateur de solutions Open-Source (bloodhound, metaxploit, empire, etc.) \u2013 J’utilise aussi des produits de s\u00e9curit\u00e9 non-open-source, compil\u00e9s, mais qui sont payants et dont je connais parfaitement l’\u00e9diteur. Peu m’importe le prix, si cela a suffisamment de valeur, il faut juste regarder le rapport qualit\u00e9\/prix \u2013 le prix seul ne veut rien dire.<\/p>\n

    MAIS<\/p>\n

    Ne jamais utiliser d’applications gratuites non-open-source \u2013 sauf si cela vient d’un \u00e9diteur \u00e9tabli \u2013 car l\u00e0 c’est assur\u00e9ment le d\u00e9but des probl\u00e8mes\u2026<\/p>\n

    Conclusion
    \n<\/strong><\/span><\/p>\n

    Cette petite histoire (vraie) nous rappelle aussi une chose\u00a0: la recherche, les tests, la curiosit\u00e9 sont la base de la connaissance. Comment aurais-je pu imaginer tomber sur quelque chose de semblable pour un simple probl\u00e8me de connexion \u00e0 une boite email servant \u00e0 des arbitres de HandBall…<\/p>\n","protected":false},"excerpt":{"rendered":"

    Contes et l\u00e9gendes informatiques inachev\u00e9es \u2013 Livre 1 \u00ab\u00a0S\u00e9curit\u00e9 Informatique\u00a0: toujours se m\u00e9fier des applications mobiles gratuites\u2026\u00a0\u00bb Je m’en vais vous conter une bien \u00e9trange histoire\u2026 Mais je vais vous donner la morale de l’histoire au d\u00e9but de celle-ci\u00a0: se m\u00e9fier, toujours se m\u00e9fier des services ou applications gratuits. Chapitre 1\u00a0: un appel au secours […]<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[27,86,127,155,177,216,217],"class_list":["post-2286","post","type-post","status-publish","format-standard","hentry","category-cybersecurity","tag-android","tag-email","tag-ip","tag-mymail","tag-outlook-com","tag-securite","tag-security"],"_links":{"self":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/posts\/2286","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/comments?post=2286"}],"version-history":[{"count":0,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/posts\/2286\/revisions"}],"wp:attachment":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/media?parent=2286"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/categories?post=2286"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/tags?post=2286"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}