dslreports logo
 
    All Forums Hot Topics Gallery
spc
Search similar:


uniqs
4257

En Enfer
This account has been compromised
join:2003-07-25
Montreal, QC

En Enfer

Member

[Television] Films commandes a votre insu

Simon Bachand nous présente une importante faille de sécurité qui met en danger les clients de Vidéotron. Un pirate pourrait se connecter à votre compte et télécharger des films à votre insu...

»montreal.radiox.com/emis ··· a_risque

C'est un fichier audio de 15 minutes. Avancez les pubs jusqu'à la 50e seconde.

Rambytes
join:2006-05-27
Saint-Jean-Sur-Richelieu, QC

1 edit

Rambytes

Member

Whoa! La reponse de Videotron est "bo-boche".....
bhouuuuuuuuuuuuuuuuuuuuuuuuuuuuuu

Je peux avoir le mot de passe que je veux, si la personne passe par le mot de passe oublié, ostie je peux pas rien faire...

Ridicule comme reponse de Videotron...

John037
@173.176.140.x

John037 to En Enfer

Anon

to En Enfer
Bon, encore des exagérations du risque pour faire peur au monde...

En Enfer
This account has been compromised
join:2003-07-25
Montreal, QC

En Enfer

Member

Le dossier audio ne donne pas trop de détails. Il y a une technique avancée, mais bon, juste à première vue, ça semble assez facile :

Lorsqu'on va dans l'Espace Client, section Inscription, il y a 3 champs pour s'identifier : le numéro de compte, le code postal et la date de naissance. Le problème ici, c'est que n'importe qui peut intercepter une facture papier Vidéotron où se trouve le numéro de compte, le nom et le code postal. Suffit d'aller sur Facebook pour trouver la date de naissance.

Ensuite, entrez une adresse e-mail (Hotmail, Yahoo, Gmail), créez un username/password, créez les 3 questions, et voilà. Vous pouvez maintenant commander des films à 10$ que vous pouvez regarder sur votre ordi ou via l'app Illico.

La réponse de Vidéotron est sur le "denial" : On n'a pas de problème de notre côté, (ou on n'a pas encore compris la faille). Créez-vous un compte avec un bon mot de passe, tout accès interdit est illégal.

Le problème, c'est que plusieurs abonnés ont le prélèvement automatique et ne lisent même pas leurs état de compte, et ne pourront donc pas signaler une fraude. Vidéotron encaisse des profits $$$.

Robbers : Créez un username/password, ensuite, associez-y votre compte, ensuite la facture...
Bhell : Entrez votre numéro de compte/b1/# de cell, ensuite vous identifier.
zadigre
Premium Member
join:2006-10-02
Montreal, QC

zadigre

Premium Member

said by En Enfer:

Le dossier audio ne donne pas trop de détails. Il y a une technique avancée, mais bon, juste à première vue, ça semble assez facile :

Lorsqu'on va dans l'Espace Client, section Inscription, il y a 3 champs pour s'identifier : le numéro de compte, le code postal et la date de naissance. Le problème ici, c'est que n'importe qui peut intercepter une facture papier Vidéotron où se trouve le numéro de compte, le nom et le code postal. Suffit d'aller sur Facebook pour trouver la date de naissance.

Ensuite, entrez une adresse e-mail (Hotmail, Yahoo, Gmail), créez un username/password, créez les 3 questions, et voilà. Vous pouvez maintenant commander des films à 10$ que vous pouvez regarder sur votre ordi ou via l'app Illico.

La réponse de Vidéotron est sur le "denial" : On n'a pas de problème de notre côté, (ou on n'a pas encore compris la faille). Créez-vous un compte avec un bon mot de passe, tout accès interdit est illégal.

Le problème, c'est que plusieurs abonnés ont le prélèvement automatique et ne lisent même pas leurs état de compte, et ne pourront donc pas signaler une fraude. Vidéotron encaisse des profits $$$.

Robbers : Créez un username/password, ensuite, associez-y votre compte, ensuite la facture...
Bhell : Entrez votre numéro de compte/b1/# de cell, ensuite vous identifier.

c'est plate à dire... mais encore une fois, l'utilisateur est responsable de l'utilisation de son compte.
S'il assume que tous ses comptes sont ok et ne check rien vu qu'il a un paiement pré-autorisé, c'est son problème s'il y a de la fraude et qu'il ne la voit pas.

Pas mal tous mes comptes étaient en paiement automatiques... et pourtant, je les vérifiais à toutes les fois que je recevais la facture électronique... c'est prends 2 minutes et c'est tout.
Je suis retourné au paiement "manuel" pour tous mes comptes car je préfère contrôler quand le paiement est fait (je paie toujours à la date limite du compte)

La même chose pour les cartes de crédit... tu dois signaler une fraude immédiatement... si tu attends 3-4 mois, je peux te garantir que la compagnie de crédit va te gosser pour te dire que tu n'as pas remplit ton devoir de client qui est entre autre de signaler cette fraude.

Temps qu'à y être, le numéro d'assurance sociale est aussi facile à intercepter par la poste quand tu reçois tes papiers d'impôts... quelqu'un pourrait s'en servir pour usurper ton identité... c'est pas mal plus grave que d'avoir des charges de 10$ pour des films que tu n'as pas vraiment loués.

radiox, comme à l'habitude, parle d'un sujet sensationnaliste pour taper sur la tête d'un "gros" joueur sur le marché... c'est toujours le fun de taper sur quelqu'un ou quelque chose de puissant quand le poids réel que tu as n'a pas grand importance ou n'a pas de crédibilité... c'est pas mal la réalité de tous les jours qu'est radiox.

RadioX qui parle d'un sujet sérieux, c'est comme Dave Morissette qui parlerait de politique internationale...

Samus Aran
Premium Member
join:2005-10-18
St-Hubert

Samus Aran

Premium Member

Ya aussi un petit détail que le " journaliste " a oublié de prendre en compte: si on a déja un compte Espace client, il est impossible d'en créer un 2ième donc ce truc ne fonctionnera pas.

En Enfer
This account has been compromised
join:2003-07-25
Montreal, QC

En Enfer to zadigre

Member

to zadigre
said by zadigre:

c'est plate à dire... mais encore une fois, l'utilisateur est responsable de l'utilisation de son compte.

Là, je diffère avec toi.
La génération de baby-boomers pas trop techno, ils ont juste un compte "télé", ils se sont fait imposer un terminal Illico, ils ignorent l'existence du canal 900, ils se sont probablement abonnés à l'internet pour avoir les deux services dans le même compte, se sont ouvert un compte Facebook pour connecter avec leurs enfants et les mémères de voisinage. Ça ne vérifie jamais les promotions, et payent leur compte Bhell qui a augmenté de 100% en 10 ans en pensant que c'est l'inflation normale.

Bref, il y a une portion de la population qui ont une confiance aveugle envers la compagnie auquel ils font affaires, sans se soucier du meilleur prix selon leurs besoins, ni des mesures de sécurité.

Bref, ils pensent qu'en n'ayant pas créé d'accès d'Espace client (ou ignorant son existence), ils sont en sécurité, mais c'est un catch 22 : N'importe qui peut créer un accès EC pour eux, et de l'autre côté, s'ils ont déjà créé un accès avec une mot de passe boboche, ils peuvent se le faire pirater.

Vidéotron, au lieu de répondre qu'ils vont tout faire pour protéger les comptes contre la création d'accès EC sans autorisation, ils ont juste répondu : créez-vous un bon mot de passe et remplacez-le tous les 3 mois... Ça c'est inacceptable.
said by zadigre:

radiox, comme à l'habitude, parle d'un sujet sensationnaliste pour taper sur la tête d'un "gros" joueur sur le marché...

"Shoot the messenger". Bon, on parlera pas du JdeM qui publie le résultat d'un sondage Débile-Léger avec un titre sensationnalisme... Exemple récent, "le français est en recul" quelques jours avant d'aller voter, qui passe comme un sous-message d'aller voter PQ, alors que la réalité est qu'en ayant sélectionné plus d'immigrants dans le sondage, la langue maternelle parlée à la maison sera moins française que la moyenne...

Bref, s'ils ont trouvé une faille de sécurité, fallait bien que ça sorte.
zadigre
Premium Member
join:2006-10-02
Montreal, QC

zadigre

Premium Member

said by En Enfer:

said by zadigre:

radiox, comme à l'habitude, parle d'un sujet sensationnaliste pour taper sur la tête d'un "gros" joueur sur le marché...

"Shoot the messenger". Bon, on parlera pas du JdeM qui publie le résultat d'un sondage Débile-Léger avec un titre sensationnalisme... Exemple récent, "le français est en recul" quelques jours avant d'aller voter, qui passe comme un sous-message d'aller voter PQ, alors que la réalité est qu'en ayant sélectionné plus d'immigrants dans le sondage, la langue maternelle parlée à la maison sera moins française que la moyenne...

Bref, s'ils ont trouvé une faille de sécurité, fallait bien que ça sorte.

JdeM n'est pas plus fiable que radiox sur plusieurs point... ce journal est à peine mieux que les revues à potins qu'on retrouve en trop grande quantité dans les magasins. Même des journalistes de La Presse ont déjà dit que le français était en recul au Québec... et pourtant, tu ne pourrais pas avoir plus fédéraliste sur terre que les propriétaires de La Presse (Power Corporation du Canada et la famille Desmarais). En tk, ceci est un autre sujet... donc je ne m'étendrai pas là dessus.

si on considère ce "problème" comme une faille de sécurité, il faudrait considérer tous les papiers que les gouvernements envoie pas la poste également comme une faille de sécurité.

Pas mal tout ce que tu reçois par la poste est une faille possible de sécurité. Si quelqu'un vient fouiller dans ta boite au lettre pour te voler ton compte vidéotron, il pourrait le faire pour le reste aussi. Même chose pour les numéros d'assurance sociale...
Et si quelqu'un te "vole" ton compte Vidéotron dans ta maison, pose toi des questions sur cette personne... et non sur Vidéotron qui a tout de même fait un système plutôt sécuritaire pour s'inscrire.

L'important dans cette histoire, c'est de savoir combien de personnes se sont fait avoir par cette "faille" de sécurité... on parle de quoi au juste? 1-2 personnes sur les milliers de clients? 1000-2000? 10-20?

Tout est relatif dans la vie... il ne faut pas donner plus d'importance à un événement que ce que la réalité de tous les jours nous fait vivre.
LEKO
join:2010-09-28
Blainville, QC

LEKO to En Enfer

Member

to En Enfer
Bref, c'est du "social engineering". Réussir à frauder en mêlant données obtenues à gauche et à droite...

C'est alors la job de tout le monde: autant le fournisseur du service que l'usager.

Il faut que le fournisseur de service aie d'excellentes pratique et l'usager protège bien ses données.

Idéalement, faudrait faire comme les banques, c'est-à-dire créer des comptes virtuels, mais avec des preuves "physiques" (appel téléphonique, vérifications,etc...). Mais là, ça entraverait la facilité/simplicité, il faut bien doser entre sécurité et simplicité. C'est un équilibre difficile à atteindre.

PS: Si on fouille les vidanges ou recyclage, on risque de trouver des choses bien plus compromettantes qu'une facture de Vidéotron. Ça, faut pas l'oublier!

En Enfer
This account has been compromised
join:2003-07-25
Montreal, QC

En Enfer to zadigre

Member

to zadigre
said by zadigre:

si on considère ce "problème" comme une faille de sécurité, il faudrait considérer tous les papiers que les gouvernements envoie pas la poste également comme une faille de sécurité.

Whoa, ok, je vais le répéter plus clairement : Le procédé que j'ai décris dans mon message ci-haut n'est PAS *LA* faille de sécurité discutée dans le reportage !!! Ouvrir le courrier qui ne vous est pas adressé (sans autorisation) constitue aussi une fraude.

Ceux qui ont n'ont pas écouté l'extrait audio : ils ont dit au début qu'ils ne vont pas expliquer la démarche pour exploiter la faille afin d'éviter que les auditeurs futés l'exploitent, mais elle a été démontrée au journaliste, et n'impliquait pas d'accès physique aux papiers d'une personne en particulier (target victim).

J'en suis juste venu à la conclusion, sans égard au véritable problème, que les questions posées par Vidéotron pour l'ouverture d'un accès EC sont sur la même page alors que Bell et Rogers ont des étapes et mesures de sécurité supplémentaires.
zadigre
Premium Member
join:2006-10-02
Montreal, QC

zadigre

Premium Member

merci pour la précision... je viens de réécouter.

et sincèrement, je crois bien plus que cela s'apparente à une forme de "social engineering" qu'à un faille de sécurité.

Et pour une faille qui à l'air TRÈS importante selon ce qui est dit, je trouve ça bizarre que personne en aie parlé sur le web jusqu'à maintenant (à part dans des forums de discussion comme dslreport).
TheIceMaster
join:2002-08-31
Delson, QC

TheIceMaster to LEKO

Member

to LEKO
said by LEKO:

Idéalement, faudrait faire comme les banques, c'est-à-dire créer des comptes virtuels, mais avec des preuves "physiques" (appel téléphonique, vérifications,etc...). Mais là, ça entraverait la facilité/simplicité, il faut bien doser entre sécurité et simplicité. C'est un équilibre difficile à atteindre.

Ça serait tellement simple de donner l'option soit d'avoir un appel automatisé au numéro de téléphone associé au compte de Videotron avec un code de 4 chiffres pour confirmer la création du compte ou, si l'individu refuse la procédure automatique, il faut un appel au service à la clientèle pour activer. C'est quelque chose que j'ai déjà vu par le passé mais j'me souviens plus où et ça élimine ce problème quasi totalement.

Par la suite, c'est à l'usager d'avoir des questions/réponses intelligentes pour la récupération de mot de passe. Ne pas faire username "HabsFan" et avoir comme question "c'est quoi ton équipe sportive préféré"...
TH47
join:2005-10-29

TH47

Member

said by TheIceMaster:

Par la suite, c'est à l'usager d'avoir des questions/réponses intelligentes pour la récupération de mot de passe. Ne pas faire username "HabsFan" et avoir comme question "c'est quoi ton équipe sportive préféré"...

Les Alouettes?
junivelli
join:2011-03-07

junivelli to TheIceMaster

Member

to TheIceMaster
ca veux dire que meme si que tu n est pas inscrit a espace client ou facture en ligne, le "Pirate" PEUX te creer un compte et t inscrire a espace client ?

Samus Aran
Premium Member
join:2005-10-18
St-Hubert

Samus Aran

Premium Member

oui, tant qu'il a ton # de compte, ton code postal et ta date de naissance
benoit1981
join:2013-05-20

benoit1981

Member

C'Est pas bien difficile c'est un peu comme avec Poste Canada il on un probleme de detournement de colis.

fait 2 commandes que j'ai fait qui se sont detourner ailleur et poste canada ne comprenne pas encore le pourquoi y sont toujours a la recherche d'information ...... et le phenomene serait en forte hausse depuis 1 mois.

Nous dépendons de plus en plus de l'informatique donc c'est ce qui va se produire

John037
@184.160.100.x

John037 to Samus Aran

Anon

to Samus Aran
said by Samus Aran:

tant qu'il a ton # de compte, ton code postal et ta date de naissance

Donc si je n'ai jamais activé mon "Espace-client" Vidéotron et que j'ai été négligent en laissant trainer mon compte Vidéotron et ma date de naissance... Quelqu'un pourrait théoriquement commander un film sur illico.tv à mon Insu...

En passant, dans l'extrait audio, le gars dit que la personne mal intentionnée pourrait même commander de la porno... alors que ce n'est pas le cas... je remets donc en question l'ensemble des autres affirmations du gars...

En Enfer
This account has been compromised
join:2003-07-25
Montreal, QC

En Enfer

Member

said by John037 :

En passant, dans l'extrait audio, le gars dit que la personne mal intentionnée pourrait même commander de la porno... alors que ce n'est pas le cas...

Ben oui c'est possible : Espace client, changer mes chaînes, check Playboy, Vanessa, HardTV... confirmer... paf, 40$+taxes de plus par mois dans le compte.

stealers
@207.96.177.x

stealers

Anon

les modification entrainant des changement de coût important ne peuvent pas être fait via l'espace client.

John037
@184.160.100.x

John037 to En Enfer

Anon

to En Enfer
said by En Enfer:

Ben oui c'est possible : Espace client, changer mes chaînes, check Playboy, Vanessa, HardTV... confirmer... paf, 40$+taxes de plus par mois dans le compte.

Ce n'est pas de commander des films porno qu'il est possible mais bien modifier les chaines du forfait... Pourquoi le gars indique qu'il est possible de commander des films porno tu penses? Pour amplifier le problème... Et si la seule façon de prouver son point est d'exagérer les conséquences... c'est que lui-même ne trouve pas sa si grave.

Je suis persuadé qu'il est possible de déterminer la source de la commande ( WEB ) ainsi que l'adresse IP du demandeur en cas de litige.

Entre ça et faire une commande au téléphone avec le nom de fille de la mère, je ne suis pas sur lequel est le plus risqué.

En Enfer
This account has been compromised
join:2003-07-25
Montreal, QC

En Enfer

Member

said by stealers :

les modification entrainant des changement de coût important ne peuvent pas être fait via l'espace client.

Bon à savoir. Il est possible de s'abonner à un forfait comme TMN ou une chaîne ethnique via l'espace client sans encombrement...

Si j'ai bien compris, c'est niaiseux, le système va bloquer une commande ou demander à l'abonné d'appeler pour compléter la transaction lorsque plusieurs chaînes sont commandées dans la même transaction de l'Espace Client, mais prend n'importe quel imbécile dans son salon qui surf après 23h entre Indigo et VCC, il peut commander pour 300-400$ de films porno sans être importuné.
said by John037 :

Ce n'est pas de commander des films porno qu'il est possible mais bien modifier les chaines du forfait... Pourquoi le gars indique qu'il est possible de commander des films porno tu penses? Pour amplifier le problème... Et si la seule façon de prouver son point est d'exagérer les conséquences... c'est que lui-même ne trouve pas sa si grave.

Bon, j'ai accédé à l'espace client d'un ami dans la section Illicoweb. Il n'y a pas de section "Torride", et à travers la liste des films A-Z, il y a pleins de films classés G, 13 et 16 ans, mais j'ai pas spotté de film 18+. Quand je vais dans la section Guide Horaire, les titres des films 18+ sont automatiquement cachés, à moins de décocher la case. Il y a probablement une case ou un "setting" dans le profil pour débloquer les films 18+ sur Illicoweb (18+ ne signifie pas toujours "film de cul") afin de laisser la navigation "safe" pour les enfants et adolescents ?

Peu importe. il est quand même possible de commander des films en primeur à 7$ chacun, 3 fois par jour (21$) multiplié par 10 jours (210$+tx), ça monte vite $$$. Un film porno coûte 10$+, ça fait monter la facture plus vite.