Jump to content
Journal du Freenaute : Les forums
Whaouu

FreeWifi Manager

Recommended Posts

Bonjour, à tous,

 

Vous en avez assez de saisir vos identifiants Freewifi, de les resaisir à chaque mise en veille prolongée de votre portable, à chaque perte du signal Wifi ?

 

Je vous présente l'application FreeWifi Manager, c'est une application gratuite qui vous permet de vous authentifier (sans saisie manuelle des identifiants via le formulaire HTML) automatiquement sur les réseaux :

 

* FreeWifi

* Fon

* Neuf WiFi

* Neuf WiFi FON

* SFR WiFi Public

* SFR WiFi Gares

* SFR WiFi FON

 

De plus, il contrôle périodiquement l'état de la connexion au réseau et peut procéder automatiquement à la réauthentification en cas de déconnexion.

 

Attention il n'établit pas la connexion au réseau il ne s'occupe que de l'authentification automatique.

 

freewifimanager.jpg

 

 

FreeWifi Manager a été validé pour Windows XP, Vista et Seven, j'attends le retour des utilisateurs sur le forum de FWM.

 

Vous pouvez télécharger FreeWifi Manager à l'adresse suivante :

 

http://www.freewifimanager.fr

fwm.png
Edited by Whaouu

Share this post


Link to post
Share on other sites

Bonjour, à tous,

 

Je vous annonce la sortie de la version 0.1.13 avec le support de Windows Vista est Seven. Merci de laisser un message sur le forum de FWM en cas de problème.

 

Mais vous pouvez aussi laisser un message d'encouragement si vous appréciez Freewifi Manager, cela fait toujours plaisir. :)

Share this post


Link to post
Share on other sites

Bonjour, à tous,

 

Je vous annonce la sortie de la version 0.1.16 avec la détection automatique de la carte réseau Wifi activable dans les paramètres ainsi que le démarrage possible de FWM au lancement de Windows.

 

Vous pouvez laisser un message d'encouragement si vous appréciez Freewifi Manager, cela fait toujours plaisir. :)

Share this post


Link to post
Share on other sites

Salut

 

Une version Windows Mobile est elle prévue ?

 

merci !

Share this post


Link to post
Share on other sites

Bonjour,

 

Je ne pense pas, en tout cas pas basé sur ce développement je pense.

 

De plus je ne dispose pas d'appareil sous Windows Mobile pour développer dessus.

Share this post


Link to post
Share on other sites

Il semble que Free ait procédé à une modification dans la structure du formulaire d'authentification.

 

FWM contrôle le chargement du formulaire en analysant une partie de sa structure avant de s'authentifier. Le changement opéré par Free provoquait l'affichage du message "Erreur : Chargement du formulaire d'authentification incomplet...".

 

J'ai modifié l'application (qui passe en vertion 0.1.21) pour gérer ce problème.

 

Vous pouvez la télécharger sur le site de FWM.

Share this post


Link to post
Share on other sites

Bonjour, à tous,

 

Je vous annonce la sortie de la version 0.1.27 qui apporte de nombreux changements :

 

- La connexion sur les réseaux Wifi ouvert de Free, Neuf - SFR, Fon.

 

- Gestion complète des profile de connexion Wifi (XP SP3 minimum). Vous n'avez plus besoin de paramétrer à la main votre connexion au Hotspot (à l'exeption de Fon).

 

- Gestion automatique (paramètrable) du meilleur Hotspot dans le cas où vous utiliseriez plusieurs profils (Free et Neuf par exemple). L'application sélectionne dynamiquement le Hotspot le plus puissant (entre Free et Neuf) pour établir la connexion. Le contrôle du signale Wifi est continu. Vous bénéficier de la meilleure connexion a l'instant T (à l'exeption de Fon).

 

- Ajout d'une option dans les paramètres vous permettant de vous authentifier par un double click sur l'icône de FWM dans le Systray.

 

- Ajout d'une option dans les paramètres vous permettant de suivre le déroulement de l'authentification en affichant la fenêtre d'Internet Explorer.

 

- Contrôle du certificat SSL avant l'authentification pour les réseaux. Certain Hacker pratique la technique du Phishing Hotspot pour voler vos identifiants. Le contrôle du certificat SSL va considérablement compliquer leur tache.

 

FreeWifi Manager à déjà été télécharger plus de 11.000 fois, merci pour votre confiance !

 

Vous pouvez le télécharger sur le site de FWM.

 

Si vous appréciez ce logiciel, si vous rencontrez une erreur ou si vous avez une suggestion à faire, vous pouvez laisser un message sur le forum de FWM. C'est le meilleur moyen pour faire progresser ce projet...

Share this post


Link to post
Share on other sites
Bonjour, à tous,

 

Je vous annonce la sortie de la version 0.1.27 qui apporte de nombreux changements :

[...]

- Contrôle du certificat SSL avant l'authentification pour les réseaux. Certain Hacker pratique la technique du Phishing Hotspot pour voler vos identifiants. Le contrôle du certificat SSL va considérablement compliquer leur tache.

Est-ce à dire qu'auparavant, le logiciel confiait les identifiants FreeWifi à n'importe site prétendant être https://wifi.free.fr/ avec un certificat auto-signé?

 

Troublant.

Share this post


Link to post
Share on other sites

Auto-signée pas forcement, il peut être généré par l'une nombreux fournisseur de certificat et valider un domaine dont le nom est proche visuellement de l'URL réelle.

 

Dans ce cas le navigateur n'a pas de raison de demander une approbation du certificat. Vous ouvrez systématiquement le certificat pour en contrôler le contenue ?

Share this post


Link to post
Share on other sites
Auto-signée pas forcement, il peut être généré par l'une nombreux fournisseur de certificat et valider un domaine dont le nom est proche visuellement de l'URL réelle.

Je ne comprends pas, on parle de quoi?

 

Si on va sur https://wifi.free.fr/, comment peut-on se retrouver sur un nom "proche visuellement"? Le principe, c'est de toujours aller directement sur https://blablabla/ pour des sites importants où on donne ses identifiants. D'ailleurs, les sites sérieux sont tous entièrement en https. Quand on essaie d'y accéder en http, il y a juste une page qui dit "Va sur https://blablabla/ IDIOT!"

 

Mais il me semblait qu'on parlait d'un logiciel qui automatise l'identification sur le portail. Donc ce n'est pas l'utilisateur qui va sur le portail, c'est le logiciel, non?

 

Dans ce cas le navigateur n'a pas de raison de demander une approbation du certificat. Vous ouvrez systématiquement le certificat pour en contrôler le contenue ?

En effet, précisément Certificate Patrol affiche automatiquement tout certificat inconnu. Donc je vois qui a signé le certificat : si une boite française a un certificat signé par un vérificateur turc, cela va me mettre la puce à l'oreille. Je considère que le fait que n'importe quelle autorité puisse signer un certificat pour n'importe quel domaine est une véritable aberration d'un système mal conçu à la base.

 

Et je demande à Perspective de vérifier tous les certificats, pas seulement ceux auto-signés ou signés par une autorité inconnue, avec un consensus de 75 % des notaires et une durée de validité de plusieurs jours (le nombre de jours est une information confidentielle).

 

Un rogue access point, avec la complicité d'une autorité de certificat corrompue ne pourrait pas produire les fausses réponses des notaires pour complaire à Perspective.

 

Share this post


Link to post
Share on other sites
Si on va sur https://wifi.free.fr/, comment peut-on se retrouver sur un nom "proche visuellement"? Le principe, c'est de toujours aller directement sur https://blablabla/ pour des sites importants où on donne ses identifiants. D'ailleurs, les sites sérieux sont tous entièrement en https. Quand on essaie d'y accéder en http, il y a juste une page qui dit "Va sur https://blablabla/ IDIOT!"

Cette approche est mauvaise, cela implique que vous fassiez confiance au serveur DNS qui vous retourne l'adresse IP correspondant au Hotspot. Malheureusement il est tout à fait possible de corrompre cette adresse par la technique du DNS Spoofing.

 

Mais il me semblait qu'on parlait d'un logiciel qui automatise l'identification sur le portail. Donc ce n'est pas l'utilisateur qui va sur le portail, c'est le logiciel, non?

Non FWM ne se connecte pas automatiquement, c'est l'utilisateur qui choisit son Hotspot et se connecte dessus. Pour être plus précis c'est le gestionnaire Wifi de Windows qui sélectionne le Hotspot de façon automatique et FWM qui s'authentifie dessus. FWM ne contrôlait pas le certificat dans les précédentes versions, pas plus que ne le font 95 % des utilisateurs quand ils se connectent sur un Hotspot. Ce n'est pas par choix, mais il ne pouvait pas le faire techniquement à l'époque. J'étais bien conscient du problème et j'ai mis en place le contrôle dès qu'il m'a été possible de le faire.

 

En effet, précisément Certificate Patrol affiche automatiquement tout certificat inconnu. Donc je vois qui a signé le certificat : si une boite française a un certificat signé par un vérificateur turc, cela va me mettre la puce à l'oreille. Je considère que le fait que n'importe quelle autorité puisse signer un certificat pour n'importe quel domaine est une véritable aberration d'un système mal conçu à la base.

 

Et je demande à Perspective de vérifier tous les certificats, pas seulement ceux auto-signés ou signés par une autorité inconnue, avec un consensus de 75 % des notaires et une durée de validité de plusieurs jours (le nombre de jours est une information confidentielle).

 

Un rogue access point, avec la complicité d'une autorité de certificat corrompue ne pourrait pas produire les fausses réponses des notaires pour complaire à Perspective.

Je vois que vous êtes attentif à la sécurité, c'est très bien et tout le monde devrait suivre votre exemple. Malheureusement peu de personnes dispose des connaissances suffisantes pour suivre cette démarche. La solution que vous indiquez pour contrôler le certificat est très bien, mais repose sur l'utilisation d'un Addon (Certificate Patrol 19,638 téléchargements, moins de 1% des utilisateurs de Firefox) lié à Firefox (30% de part de marché). Il faudrait que ces solutions soient beaucoup plus employées et que les utilisateurs disposent d'une véritable information concernant les règles de sécurité.

 

FWM, protéges les utilisateurs en contrôlent systématiquement le certificat, ce que la plupart des personnes ne font pas en temps normal.

Edited by Whaouu

Share this post


Link to post
Share on other sites
Cette approche est mauvaise, cela implique que vous fassiez confiance au serveur DNS qui vous retourne l'adresse IP correspondant au Hotspot. Malheureusement il est tout à fait possible de corrompre cette adresse par la technique du DNS Spoofing.

Je ne comprends pas.

Share this post


Link to post
Share on other sites
Vous ne comprenez pas quoi ?

Je ne comprends pas comment un quelconque bidouillage DNS pourrait aboutir à ... quoi que ce soit (dans le contexte).

 

Quel est le scénario d'attaque précisément?

Share this post


Link to post
Share on other sites
Cette approche est mauvaise, cela implique que vous fassiez confiance au serveur DNS qui vous retourne l'adresse IP correspondant au Hotspot. Malheureusement il est tout à fait possible de corrompre cette adresse par la technique du DNS Spoofing.

"DNS Cache Poisoning"

 

Il y a encore des systèmes qui sont vulnérables à ça? Vieux de moins de 5 ans?

 

Share this post


Link to post
Share on other sites
FWM ne contrôlait pas le certificat dans les précédentes versions, pas plus que ne le font 95 % des utilisateurs quand ils se connectent sur un Hotspot.

Je ne comprends pas. Tous les navigateurs vont afficher un gros message d'alerte si la signature d'un certificat ne peut pas être vérifiée.

 

Dans le cas de Firefox, par défaut, ce message est particulièrement pénible à faire disparaître. C'est fait exprès et il parait que c'est pour protéger ces abrutis d'utilisateurs de Firefox qui cliquent par réflexe sur tous les boutons. (Il va de soi que je désapprouve, même si je ne suis considéré par les concepteurs comme un des abrutis.)

Share this post


Link to post
Share on other sites

En ce qui concerne les techniques d'Hacking, je ne suis pas là pour détailler la recette permettant de récupérer les identifiants d'un utilisateur, ce n'est ni ma vocation, ni le propos de ce topique. Quelques recherches sur internet vous apporteront les réponses.

 

C'est fait exprès et il parait que c'est pour protéger ces abrutis d'utilisateurs de Firefox qui cliquent par réflexe sur tous les boutons. (Il va de soi que je désapprouve, même si je ne suis considéré par les concepteurs comme un des abrutis.)

 

Personnellement, je pense que les utilisateurs ne sont pas des abrutis qui cliquent par réflexe sur tous les boutons. Mais qu'ils sont tout simplement confiants et que les Hackers profitent de cette confiance pour les abuser.

Share this post


Link to post
Share on other sites
En ce qui concerne les techniques d'Hacking, je ne suis pas là pour détailler la recette permettant de récupérer les identifiants d'un utilisateur, ce n'est ni ma vocation, ni le propos de ce topique. Quelques recherches sur internet vous apporteront les réponses.

Ben voyons.

 

Il me parait évident que :

- le bidouillage du DNS de l'utilisateur ne servira à rien au "hacker" en question;

- que l'utilisateur ne se fera pas voler ses identifiants s'il sait lire et s'il n'est pas l'abruti cliqueur décrit précédemment;

- que vous pipotez;

- et que me demander de chercher sur Internet est une façon de l'admettre implicitement.

Share this post


Link to post
Share on other sites
La solution que vous indiquez pour contrôler le certificat est très bien, mais repose sur l'utilisation d'un Addon (Certificate Patrol 19,638 téléchargements, moins de 1% des utilisateurs de Firefox) lié à Firefox (30% de part de marché). Il faudrait que ces solutions soient beaucoup plus employées et que les utilisateurs disposent d'une véritable information concernant les règles de sécurité.

Mais 1 % des utilisateurs ce n'est pas négligeable!

 

Un site sait si un utilisateur a Mozilla Firefox, mais pas s'il a Certificate Patrol ou Perpective en mode tout vérifier. Si l'utilisateur a l'un ou l'autre, c'est normalement qu'il ne fait pas une confiance aveugle dans les certificats signés. Sauvegarder un certificat n'est pas hyper compliqué (cliquer sur le cadenas > Afficher le certificat > Détails > Exporter); ça pourrait être plus simple, mais si on part de l'idée que l'utilisateur est capable de chercher des extensions qui répondent à problème spécifique, il est raisonnable de penser qu'il saura sauvegarder un certificat suspect.

 

On a donc un utilisateur qui ne veut pas faire confiance à une liste de plus en plus longue de signataires, qui a une petite idée du principe de la signature d'un certificat (pas besoin d'être un cryptologue) et qui lit les messages qui s'affichent. S'il a 1 % des utilisateurs qui ont Certificate Patrol, c'est peut-être LE pour-cent qui répond à tous ces critères (j'espère un peu qu'il y a quand même plus de 1 % des utilisateurs qui ont une petite idée du rôle des certificats pour le https).

 

Supposons que quelqu'un obtienne un certificat bidon signé (parce qu'il s'est fait passer pour le représentant officiel de Microsoft, parce qu'il a trouvé une faille dans le processus de vérification d'une autorité, parce qu'il a corrompu un employé chez une autorité, parce qu'il a trouvé une collision, ou parce qu'il représente un gouvernement qui peut ordonner à une autorité de faire quelque chose et s'en sortir après), dans tous les cas c'est quelque chose :

- qu'il ne peut pas très facilement et sans risque recommencer;

- qui si c'était découvert, et s'il y avait une enquête, pourrait permettre de remonter vers lui;

- surtout, qui si c'était découvert, serait probablement plus difficile à refaire (faille corrigée, employé viré, etc.)

 

Ce quelqu'un avec son certificat bidon voit un utilisateur avec Firefox : il considère qu'à 99 contre 1 cet utilisateur n'a ni les outils ni les connaissances informatiques pour voir que son certificat n'est pas le bon, autrement dit à 1 contre 99 l'utilisateur est capable de voir qu'il y a un problème, et qu'à peut être 1 contre 1000 il sauvegardera le certificat bidon et le postera où de droit.

 

Le risque d'exposer à l'utilisateur une preuve parait alors bien grand. Il n'est pas absurde de dire que 1 % des utilisateurs de Firefox contribuent à protéger tous les autres. Il se pourrait même que les 19,638 téléchargements de Certificate Patrol dissuadent un gouvernement de faire pression sur une autorité pour obtenir des certificats bidons.

Share this post


Link to post
Share on other sites
- que vous pipotez;

- et que me demander de chercher sur Internet est une façon de l'admettre implicitement.

 

Moi, je pense que vous êtes un grossier personnage sans éducation qui cherche la polémique.

Share this post


Link to post
Share on other sites
Moi, je pense que vous êtes un grossier personnage sans éducation qui cherche la polémique.

péta lol

 

Tu es grotesque.

Share this post


Link to post
Share on other sites
Cette approche est mauvaise, cela implique que vous fassiez confiance au serveur DNS qui vous retourne l'adresse IP correspondant au Hotspot. Malheureusement il est tout à fait possible de corrompre cette adresse par la technique du DNS Spoofing.

C'est n'importe quoi.

 

Il y a justement deux choses contre lesquelles HTTPS, et SSL/TLS en général, sont censés protéger, et protègent effectivement à quelques conditions (1) :

  • le spoofing DNS
  • l'usurpation de l'adresse IP (par spoofing ARP, manipulation RIP ou tout simplement interception -j REDIRECT style)
C'est à peu près tout. Il ne garantit pas que le site en https est honnête, qu'il est légal, qu'il est fiable, encore moins qu'il est "sécurisé", bien que les grands médias essaient de faire rentrer cette idée dans la tête des gens : "https = sécurisé".

 

(1) du moment que :

  • le fabriquant du navigateur fait son boulot et n'inclut que des autorités dignes de confiance (je n'ai franchement pas l'impression que ce soit le cas de Mozilla)
  • les autorités font leur boulot correctement (ça n'a pas toujours été le cas)
  • l'utilisateur ne clique pas comme un malade sur n'importe quel bouton jusqu'à ce que le site s'affiche (l'expérience montre que ce n'est pas toujours le cas)
  • bien évidemment, que le poste de l'utilisateur ne soit pas corrompu :

    • que l'OS ne soit pas corrompu
    • que le navigateur ne soit pas corrompu
    • que la configuration utilisateur du navigateur ne soit pas corrompue

      Autrement dit : il n'y a PAS besoin d'un accès administrateur/root pour compromettre UN utilisateur, il suffit d'avoir accès une seule fois à son compte utilisateur.

      Quelqu'un sait si les antivirus/anti-machins contrôlent l'intégrité de la configuration du navigateur chez chaque utilisateur?

Edited by corrector

Share this post


Link to post
Share on other sites

Bonjour,

 

Free et SFR ont renouvelé leur certificat SSL permettant le cryptage des échanges sur ces pages d'authentification. SFR à aussi modifier le formulaire d'authentification sur ça page d'accueil Hotspot.

 

FreeWifi Manager à donc été mis à jour (version 1.0.13) avec les nouveaux certificats et formulaires.

 

Le système décompte horaire pour la reconnexion automatique sur SFR après 2 heures a été aussi améliorer.

 

Site : http://www.freewifimanager.fr

Share this post


Link to post
Share on other sites

Bonsoir et merci pour la confection et proposition de ce logiciel.

 

Est ce que des versions pour Mac OS et GNU/Linux sont envisagées à l'avenir ?

 

Merci :)

Share this post


Link to post
Share on other sites

×
×
  • Create New...