Follow

Faille de sécurité chez Swisscom:

Le mot de passe SIP des lignes téléphoniques traditionnelles est identique au numéro de téléphone.

La gateway SIP est l'IP locale du routeur, cette attaque nécessite l'accÚs LAN ou WLAN du numéro de téléphone en question.

Un·e voisin·e ou ami·e se connectant sur votre wifi peut donc établir des appels avec votre numéro et facturé à votre nom.

Testé sur une connexion inOne PME Office.

Je rigole déjà de tous les wifi des bistrots qui ont une box Swisscom...

Je fais quoi ? Je signale au Préposé Fédéral à la Protection des Données et à la Transparence ? :toot: :toot: :toot:

@kvuilleumier Allez on sort le popcorn ! 😁

Je vais mesurer l'étendue de la faille dans un ou deux cafés dont je sais qu'il y a une box Swisscom et que le wifi est à disposition des clients.

Et je ferai le signalement.

@Siegi @kvuilleumier jsais pas si c'est une bonne idée. Tu risques de te retrouver devant un tribunal si tu fais ça sans l'accord du proprio

@adidal @kvuilleumier Je ne le fais pas sans la permission du titulaire de la connexion, qui pour ceux que je vise je les connais personnellement, donc je devrai avoir l'autorisation facilement.

Je prĂ©fĂšre la transparence. 😉

@adidal @kvuilleumier Par contre ce serait marrant de balancer ça dans la presse au mĂȘme moment qu'au PFPDT. Boum. 😂

@Siegi
Est ce vraiment une faille vu que t'es sensé avoir accÚs au LAN ou WAN ???
@adidal @kvuilleumier

@digger2 @adidal @kvuilleumier Oui, on ne sait pas forcément ce qu'il y a et qui il y a sur le (W)LAN, moi j'ai le code du wifi de plein d'endroits car je n'ai pas d'abo de data mobile.

Si tu as des enfants, ils vont peut-ĂȘtre donner le code Ă  leurs ami·e·s.

Le compte SIP a (et doit avoir) sa propre sécurité (numéros surtaxés, appels internationaux, etc), mettre le numéro de téléphone comme mot de passe est un choix débile.

@digger2 @adidal @kvuilleumier Le code du WLAN ou l'accÚs physique à un port LAN n'est pas censé protéger un compte SIP, je prends l'exemple d'un voisin qui partage son accÚs Internet (mais pas la téléphonie) pour mutualiser les frais avec un·e ou des voisin·e·s, le compte SIP c'est open bar ?

Je pense aussi aux cafés/bar/resto qui offrent l'accÚs WLAN et qui ne séparent pas les réseaux, cas trÚs commun en pratique (pour des raisons de compétences)


@Siegi
Ok ben je laisse rentrer mon voisin pour qu'il arrose mes plantes durant l'Ă©tĂ© et il peut passer des appels via mon tĂ©lĂ©phone physique 😅 j'exagĂšre un peu mais si on rĂ©flĂ©chi un peu c'est juste pas "trop" choquant. Et si j'ai un wifi je fais gaffe pour avoir un rĂ©seau guest, et le mot de passe du rĂ©seau WAN mĂȘme mes mioches l'auraient pas....
@adidal @kvuilleumier

@Siegi @adidal @kvuilleumier
Pas certain que les restaurateurs partageant leur réseau WAN soit dans la légalité... faudrait lire le contrat de swisscom...

@digger2 @adidal @kvuilleumier La loi est au-dessus du contrat de Swisscom, il y a déjà des contraintes légales pour les accÚs WLAN (et différentes pour du LAN) et des limites contractuelles (qui ne devraient pas exister sur la question du partage d'accÚs).

Un jour peut-ĂȘtre je me farcirai un de leur contrat, et ferait un rĂ©sumĂ© de la loi d'accĂšs Ă  des points d'accĂšs WLAN si ça intĂ©resse des gens.

@digger2 @adidal @kvuilleumier À ce moment tu sauras que c'est ton voisin, mais juste par principe on ne laisse pas un compte SIP ouvert, ils arrivent à mettre des codes aux routeurs et à l'Espace Client, pourquoi pas au compte SIP ?

En tous cas chez moi ca marche pas comme ca. On doit créer des identifiants qui seront associé à un client. Donc il n'y a pas de mot de passe de ce style...
Et là en fait tant que tu n'as pas créé d'identifiant le port 5060 est fermée

@josue C'est quoi comme abonnement ? Sur mon test c'est un abonnement inOne PME Office, ce n'est pas dit que ce soit pareil sur les connexions résidentielles.

Je n'ai rien configuré sur le routeur, pourtant c'est sur celui-ci que j'ai remarqué la faille.

Sign in to participate in the conversation
Mastodon

Server run by the main developers of the project 🐘 It is not focused on any particular niche interest - everyone is welcome as long as you follow our code of conduct!