Là je pousse un coup de gueule ! On nous rabat les oreilles avec le spam, les virus, le piratage, la sécurité, etc... et les fournisseurs d'accès continuent eux à ce sujet de faire absolument n'importe quoi, en dépit du bons sens et de la logique, et au mépris de leurs clients !
Si comme moi vous êtes (encore) abonné chez Noos, vous devez probablement recevoir le petit fanzine de Noos, “Infiniment Noos”, envoyé chaque mois (enfin depuis deux mois puisque c'est le numéro 2). Cette brochure est envoyée sous pli plastifié aux couleurs de Noos, et sur lequel une fenêtre transparente laisse apparaître l'adresse de l'abonné, imprimé sur une lettre accompagnant le bulletin, lettre placée au premier plan sous la pochette-enveloppe plastifiée.
Et là surprise en ouvrant : juste à droite sous l'adresse, se trouve mon numéro de contrat, mon numéro de client, mon identifiant... et mon mot de passe client !!
Et ceci est systématiquement envoyé chaque mois avec le magazine d'information de Noos... Bravo la sécurité. maintenant que je le sais, qu'est-ce qui m'empêche d'aller chercher les magazines de mes voisins abonnés et de piéger la boite aux lettres d'un “potentiel ennemi”. Je n'ai même pas besoin de le subtiliser, il me suffit d'écarter le plastic de protection du courrier et ces informations confidentielles sont alors lisibles via la fenêtre de l'adresse !
Pour que vous puissiez mieux visualiser, voici un scan de cette lettre (cliquez dessus pour agrandir)
Avec ces infos, j'ai alors accès à l'interface de gestion abonné de ma victime et j'ai alors loisir de manipuler son compte et son contrat à ma guise :
- Je consulte ses factures
- J'ai accès à la gestion des boîtes mails : création, modification mot de passe, suppression (de fait il me suffit de changer le mot de passe pour accéder ensuite à la boîte mail de la victime)
- Je peux modifier son contrat Noos Internet ou Noos TV ainsi que les options de ces comptes
- Je peux changer le mot de passe client et empêcher ainsi la victime d'accéder à son compte
- je peux aussi créer et/ou modifier les pages persos de la victime
(cliquez pour agrandir)
Imaginez que je sois vraiment méchant et un très vilain garçon, je crée donc une adresse mail à ma victime ([email protected]), je crée le site perso qui va avec (http://mapage.noos.fr/idiot). Évidemment je poste sur ce site des contenus quelques peu illégaux et pouvant attirer le maximum d'ennuis à ma victime (spam, diffamation, trafics de produits illicites, prostitution, pédophilie, je vous passe la longue liste de toutes les saloperies possibles, mais imaginez le pire !). Je fais bien sûr de même en utilisant son adresse mail récemment crée par mes soins.
Vous imaginez bien la suite de l'histoire, les difficultés que va avoir ma victime à se justifier, devant un Noos qui ne saura que répondre que “le mort de passe client n'est remis qu'en main propre sur le feuillet jaune donné par le technicien lors de l'installation de votre matériel Noos et que seule est engagée la responsabilité de l'abonné”
Le pire, c'est que j'ai passé ce matin précisément 19 minutes avec le service client pour leur expliquer ce léger détail quelque peu troublant, et qu'à part me mettre en attente “pour se renseigner”, je n'ai obtenu comme réponse “qu'une personne du service concerné allait prendre contact avec moi”. J'ai bon espoir !
Ce qui m'a poussé à écrire ce billet, c'est que justement ce matin, avant d'aller chercher ma petite lettre ci-dessus dans ma boite aux lettres, j'ai été réveillé par le Monsieur de Noos qui venait déconnecter une voisine (qui a résilié il y a + de trois mois). Comme il ne trouvait pas le boîtier de relai, il a sonné à peu près à tous les interphones, et faute de réponse, est reparti en disant “On dira que c'est fait”. Joliiiii !!!
Et je ne m'étendrai pas non plus dans ce billet sur la manière dont les installation des modems wi-fi de Noos sont faites : pas de sécurité, pas de cryptage, pas d'explications... Allez, tout le monde se voit sur le réseau, Noos ne dispense aucune formation élémentaire de sécurité. le minimum serait au moins d'expliquer à l'abonné comment sécuriser son réseau et ses informations !
Et c'est Noos qui a un espace concernant la sécurité sur son site !!??
Ah oui j'oubliais que Noos commercialise un “Pack Sécurité” pour 5 euros de plus par mois ! Pourtant il me semblait que cela faisait *déjà* partie de mon contrat, mais apparemment la sécurité de mes informations personnelles et confidentielles ne fait pas partie des clauses de ce contrat... Est-il normal que la sécurité soit un pack en option payante ??
(cliquez pour agrandir)
Qu'on ne me dise pas que Noos fait ce qu'il peut pour empêcher le piratage : il le favorise !
NB : 19 minutes à 0,34 € la minute soit 6,46 € de dépensé en pure perte malheureusement...