Copé et Hortefeux piratés : des verrous chez Orange depuis octobre 2012

Copé et Hortefeux piratés : des verrous chez Orange depuis octobre 2012

1234

Avatar de l'auteur
Marc Rees

Publié dans

Logiciel

07/05/2013 3 minutes
80

Copé et Hortefeux piratés : des verrous chez Orange depuis octobre 2012

Orange a lancé une enquête interne après des faits de piratages ayant ciblé plusieurs personnalités politiques dont Brice Hortefeux, Jean François Copé ou la famille Dassault, tous abonnés chez l’opérateur.

 

Orange a lancé une enquête interne après des faits de piratage ayant ciblé plusieurs personnalités politiques dont Brice Hortefeux, Jean François Copé ou la famille Dassault, tous abonnés chez l’opérateur.

 

Selon le Canard enchaîné de cette semaine, une quinzaine de personnes ont vu leur boite vocale « piratée ». Parmi elles, deux anciens ministres, Jean-François Copé et Brice Hortefeux. Selon nos confrères, ce sont les codes secrets permettant aux abonnés d’écouter leurs messages à partir d’une ligne fixe ou d’un autre téléphone portable qui a été chapardé. « Il leur suffisait de taper les quatre chiffres pour percer les petits et les grands secrets de leurs victimes ».

 

Les messages vocaux stockés entre le 9 février et le 23 mars ont ainsi pu être espionnés par ces indélicats. Au fil de leurs écoutes, ils ont pu récupérer les coordonnées personnelles de Nadine Morano ou de l’ancien premier ministre, François Fillon. Quand ils n’effaçaient tout simplement pas les contenus stockés.

 

Trois personnes ont déjà été arrêtées dans ces dossiers. Elles ont été identifiées à l’occasion d’une enquête de la Brigade de répression de la délinquance contre la personne. En 2012, les enfants de Serge Dassault avaient porté plainte pour des appels malveillants. Leurs lignes avaient alors été placées sous surveillance de la BRDP qui a découvert l’exploit.

Des verrous apposés chez Orange à partir d'octobre 2012

Seul hic, l’exploitation d’une possible brèche n’est pas officiellement expliquée chez l’opérateur. « Une enquête interne a été menée et montre qu’il n’y a pas de complicité interne » veut nous assurer l’opérateur pour qui l’origine « tient sans doute d’une intrusion informatique ». Orange insiste par ailleurs pour faire de la pédagogie: « on s’est aussi rendu compte que beaucoup d’abonnés avaient des codes de forme 1234 ou 000. Avoir un mot de passe un peu plus robuste permet aussi d’éviter ces malveillances. »

 

La direction d’Orange nous prévient surtout qu’un verrou a été mis en place à partir d’octobre 2012. Avec lui, au bout de trois tentatives infructueuses, l’abonné se voit imposer un délai de 10 minutes d’attente. En cas de nouvelles tentatives, une heure. Voire même 24 h s’il teste à nouveau trois autres combinaisons. Les intrus auraient-ils attaqué par force brute ce défaut de filtre avant octobre 2012 ? Orange se refuse à tout commentaire, au motif d’une instruction en cours.

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Des verrous apposés chez Orange à partir d'octobre 2012

Commentaires (80)


Leurs comptes ont été pris Dassault !








lecybermax a écrit :



Leurs comptes ont été pris Dassault !





<img data-src=" />









lecybermax a écrit :



Leurs comptes ont été pris Dassault !





<img data-src=" />

<img data-src=" />









lecybermax a écrit :



Leurs comptes ont été pris Dassault !







<img data-src=" />





on s’est aussi rendu compte que beaucoup d’abonnés avaient des codes de forme 1234 ou 000. Avoir un mot de passe un peu plus robuste permet aussi d’éviter ces malveillances.





OMG, wheatley a reussi a casser un code !!! <img data-src=" />








lecybermax a écrit :



Leurs comptes ont été pris Dassault !





Je crois qu’en lisant ton commentaire tout le monde a oublié de ce qu’il vient de lire dans la news.



Pour moi c’est un <img data-src=" /> aussi.



J’ai une question con mais il y a un nombre d’essai limité pour se connecter à la messagerie? Parce que sinon 4 chiffres c’est faibles. Surtout pour un truc qu’on utilise rarement, je suis sûr que pleins de gens utilisent des trucs évident : date de naissance, code de CB, 0000, etc.




Les hackers, quand il y en a un ca va, c’est quand il y en a plusieurs que ca pose des problèmes <img data-src=" />



Edit : c’est encore un coup de l’ultragauche et de Julien Coupat, ca.

Au trou les collectivistes socialo-gôooochistes




Trois personnes ont déjà été arrêtées dans ces dossiers.





Ils risquent d’éCopé d’une lourde peine <img data-src=" />


Hihi.

Ils pourront se venger avec leur super big brother de Thalès à Elancourt. A pirate, pirate et demi. <img data-src=" />



Enfin Orange ils sont choupinous avec leur excuse du mot de passe trop light choisis par les clients, mais ils sont responsables du format du mdp, limité à 4 chiffres…








Jarodd a écrit :



Ils risquent d’éCopé d’une lourde peine <img data-src=" />





<img data-src=" /> <img data-src=" />



Quel succès :)



Il n’empêche que beaucoup ne sécurisent pas assez leurs comptes les plus critiques.








lecybermax a écrit :



Quel succès :)



Il n’empêche que beaucoup ne sécurisent pas assez leurs comptes les plus critiques.







ben si il n’y pas de blocage pour empecher le brute force, mettre 1234 ou 9999 ca revient un peu au meme….









saf04 a écrit :



OMG, wheatley a reussi a casser un code !!! <img data-src=" />







Belle référence <img data-src=" />



Sinon oui c’est vraiment nul comme code.



Et du coup, est-ce qu’on en sait plus sur les comptes en Suisse ou à Singapour des intéressés ? ;)








lecybermax a écrit :



Leurs comptes ont été pris Dassault !





<img data-src=" /> Trop facile









Khalev a écrit :



Je crois qu’en lisant ton commentaire tout le monde a oublié de ce qu’il vient de lire dans la news.



Pour moi c’est un <img data-src=" /> aussi.



J’ai une question con mais il y a un nombre d’essai limité pour se connecter à la messagerie? Parce que sinon 4 chiffres c’est faibles. Surtout pour un truc qu’on utilise rarement, je suis sûr que pleins de gens utilisent des trucs évident : date de naissance, code de CB, 0000, etc.





<img data-src=" />

sinon, non pas de nombre limité apparemment mais un temps de plus en plus long (et qui semble grimper vite)





lecybermax a écrit :



Quel succès :)



Il n’empêche que beaucoup ne sécurisent pas assez leurs comptes les plus critiques.





+1 mais en l’espèce, un code de 4 chiffres, c’est quand même hardcore à sécuriser :/

Le seul système “fiable” (et encore…) reste le blocage complet au bout de 3 essais infructueux. Là, ça a l’air de fonctionner comme les codes autoradio : un temps de plus en plus long entre deux essais ,mais seulement depuis 7 mois…

(il peuvent pirater le mien mais :

1/ je perçois mal ce qu’ils en feraient

2/ J’espère qu’ils aiment les “bon bah c’est moi, rappelle moi quand tu as ce message, bisou” (99% des messages vocaux sur ma boite <img data-src=" />)









Drepanocytose a écrit :



Les hackers, quand il y en a un ça va, c’est quand il y en a plusieurs que ça pose des problèmes <img data-src=" />







<img data-src=" /> <img data-src=" />





Orange insiste par ailleurs pour faire de la pédagogie: « on s’est aussi rendu compte que beaucoup d’abonnés avaient des codes de forme 1234 ou 000. Avoir un mot de passe un peu plus robuste permet aussi d’éviter ces malveillances. »





Abonné Orange, je découvre dans cette actualité qu’on peut accéder à distance à la messagerie … alors changer le mot de passe de ce truc.



J’étais persuadé que c’était accessible sur la ligne fixe, et pas ailleurs.








lecybermax a écrit :



Quel succès :)



Il n’empêche que beaucoup ne sécurisent pas assez leurs comptes les plus critiques.





Une boite vocale, ce n’est pas très critique.









Skeeder a écrit :



Une boite vocale, ce n’est pas très critique.





Pour un politicien, un peu quand même.









Skeeder a écrit :



Une boite vocale, ce n’est pas très critique.





Et inversement… <img data-src=" />









Hatsepsout a écrit :



Enfin Orange ils sont choupinous avec leur excuse du mot de passe trop light choisis par les clients, mais ils sont responsables du format du mdp, limité à 4 chiffres…







Et de l’initialisation à 0000 il me semble ! Idéal si l’abonné ne le change pas…



et formé nos hommes politique sur la sécurisation de leurs données ?! c’est possible ou pas ?!



ils sont peut etre assez con pour laissé des messages avec des informations sensible







à grande responsabilité, grand devoir


Ces deux députés n’ont-ils pas voté la loi Hadopi qui prévoit des peines pour les personnes n’ayant pas suffisament sécurisé leur connection ADSL piratée ?

Se mettre à la place de l’autre, voilà la vraie manière d’aborder le travail du politique.


Hmmm non sécurisation de sa ligne…. Ca me rapelle quelque chose….



C’est du travail d’auvergnat!









Ti Gars du Nord a écrit :



et formé nos hommes politique sur la sécurisation de leurs données ?! c’est possible ou pas ?!



ils sont peut etre assez con pour laissé des messages avec des informations sensible







à grande responsabilité, grand devoir







une sorte de defaut de securisation ?



défaut de sécurisation, qu’on leur coupe leur telephone








Drepanocytose a écrit :



Pour un politicien, un peu quand même.







Clair, ils ont récupérer de quoi organiser un diner à thème.





Au fil de leurs écoutes, ils ont pu récupérer les coordonnées personnelles de Nadine Morano ou de l’ancien premier ministre, François Fillon.







<img data-src=" />



albanel fera une enquête .








TaigaIV a écrit :



Clair, ils ont récupérer de quoi organiser un diner à thème.









<img data-src=" />





<img data-src=" /><img data-src=" />









petru55 a écrit :



albanel fera une enquête .





j’ai ouie dire qu’elle comptait utiliser access pour remonter les ip.









rafununu a écrit :



Ces deux députés n’ont-ils pas voté la loi Hadopi qui prévoit des peines pour les personnes n’ayant pas suffisament sécurisé leur connection ADSL piratée ?

Se mettre à la place de l’autre, voilà la vraie manière d’aborder le travail du politique.







Non mais tu comprends là ce sont des pirates de haut vol qui ont fait le coup ! Des vrais cracks ! Ce n’est pas accessible au citoyen lambda ces méthodes là… Oh Wait ! <img data-src=" />









floop a écrit :



une sorte de defaut de securisation ?









je sais pas mais si le système est facilement cassable



il faut absolument formé les gens pour eviter les fuites d’informations sensible



on parle quand même de notre “élite” politique



pas d’un compte du quidam



Le code de sécurisation de la messagerie est en général composé de 4 chiffres, pas forcément évident d’être original.



Par contre, je suis étonné qu’il ait fallu attendre le piratage des boite de personnalités pour qu’Orange (mais ça doit être pareil ailleurs) se dise que se contenter de la simple possibilité de rentrer son code à l’infini était peut-être léger.

Combien de personne lambda ou juste moins publiques se sont également fait pirater leur boites (chef d’entreprise, mari / épouse suspicieux(se), etc…)



La faiblesse des mots de passe de 99% des utilisateurs est un fait connu et reconnu, ne pas mettre en place en tant que fournisseur de service des mécanismes de sécurisation, n’est-ce pas de la négligence caractérisée ?








Jarodd a écrit :



Et de l’initialisation à 0000 il me semble ! Idéal si l’abonné ne le change pas…





Chez B&Y il faut faire la demande pour pouvoir accéder à sa messagerie depuis autre chose que le téléphone équipé de la carte SIM.



Demande qui se fait uniquement via le téléphone équipé de la carte SIM en France métropolitaine. Pratique quand tu t’en rends compte à l’étranger. Au moins j’étais tranquille, pendant 2 semaines j’avais cette icône de messagerie sur mon téléphone, je savais que c’était mon boss, mais je ne pouvais pas savoir ce qu’il me disait. En fait il me souhaitait juste de bonne vacances :P



Mais au moins c’est sécurisé.









TaigaIV a écrit :



Clair, ils ont récupérer de quoi organiser un diner à thème.









<img data-src=" />







Yabon les soirée entre amies,la classe mondiale. <img data-src=" />





la BRDP qui a découvert l’exploit.





le franglais ça passe moyennement quand le mot à un autre sens en Français …




Au fil de leurs écoutes, ils ont pu récupérer les coordonnées personnelles de Nadine Morano ou de l’ancien premier ministre, François Fillon.



Mon dieu, ils ont réussi à localiser le manoir de Beaucé dans la Sarthe <img data-src=" />



Et le marché de Rungis <img data-src=" />








ActionFighter a écrit :



Et le marché de Rungis <img data-src=" />





Pour Morano, la poissonerie de Rungis de toute facon c’est pas dur à situer : c’est là que sont réellement le bruit et l’odeur <img data-src=" />



Encore un coup de Gerald Dahan !


Il doit y avoir de ces pépites. J’aimerais bien écouter ça <img data-src=" />








DarKCallistO a écrit :



Yabon les soirée entre amies,la classe mondiale. <img data-src=" />







Sans le sons, c’est vachement moins bien. <img data-src=" />





Pour info, ce piratage ne serait pas vraiment gratuit.



Les 3 protagonistes concernés prétendent avoir fait parti d’un système d’achat de vote au profit du maire de Corbeil, successeur de Dassault. Il s’agirait donc là d’une sorte de représailles ou tentative de chantage.



Je sais pas pourquoi mais je sens que ces 3 là ont plein de choses à nous raconter…



Oppa Kazuhac style <img data-src=" />








Drepanocytose a écrit :



Pour Morano, la poissonerie de Rungis de toute facon c’est pas dur à situer : c’est là que sont réellement le bruit et l’odeur <img data-src=" />





Clair.



Et au pire, tu demandes le chemin a une personne plus noire qu’arabe, c’est surement une de ses potes.





Orange a lancé une enquête interne après des faits de piratages ayant ciblé plusieurs personnalités politiques dont Brice Hortefeux, Jean François Copé ou la famille Dassault, tous abonnés chez l’opérateur.







Orange a lancé une enquête interne après des faits de piratage ayant ciblé plusieurs personnalités politiques dont Brice Hortefeux, Jean François Copé ou la famille Dassault, tous abonnés chez l’opérateur.





Différence ? La version en gras est avant la photo…








js2082 a écrit :



Pour info, ce piratage ne serait pas vraiment gratuit.







quelqu’un aurait sorti son p-hortefeux-ille ?









ActionFighter a écrit :



Clair.



Et au pire, tu demandes le chemin a une personne plus noire qu’arabe, c’est surement une de ses potes.







cher monsieur. j’ai été chargé par une cliente de trouver les personnes sur internet qui la diffament et l’insultent de “menteuse.”

nous nous reverrons tres bientôt!



avocat-marron.









avocat-marron a écrit :



cher monsieur. j’ai été chargé par une cliente de trouver les personnes sur internet qui la diffament et l’insultent de “menteuse.”

nous nous reverrons tres bientôt!



avocat-marron.





wtf?



<img data-src=" />



Tu veux mon nom et mon adresse pour gagner du temps?









js2082 a écrit :



Oppa Kazuhac style <img data-src=" />





<img data-src=" />

Cahuzac (ou Kahuzac si tu veux garder le K)









Hatsepsout a écrit :



Hihi.

Enfin Orange ils sont choupinous avec leur excuse du mot de passe trop light choisis par les clients, mais ils sont responsables du format du mdp, limité à 4 chiffres…







  • 1









Jarodd a écrit :



Ils risquent d’éCopé d’une lourde peine <img data-src=" />







Sauf si le forfait provient de gens qui sont politiquement interessés par faire sortir des affaires de droite et qui seraient de fait protegés par …. disons le SNJ et le SM !



Ces gens la ont tres mal vecu d’etre pris la main dans le pot de confiture…. du mur des cons…



En même temps, c’est tellement simple. On fait pareil avec la messagerie Freebox.



Si votre pire ennemi est chez Free, vous savez maintenant comme faire du social engineering.








AlphaBeta a écrit :



Sauf si le forfait provient de gens qui sont politiquement interessés par faire sortir des affaires de droite et qui seraient de fait protegés par …. disons le SNJ et le SM !



Ces gens la ont tres mal vecu d’etre pris la main dans le pot de confiture…. du mur des cons…







la parano de la justice qui ne va que dans un sens ca marche au figaro, mais ici moins bien….









Khisanth a écrit :



Par contre, je suis étonné qu’il ait fallu attendre le piratage des boite de personnalités pour qu’Orange (mais ça doit être pareil ailleurs) se dise que se contenter de la simple possibilité de rentrer son code à l’infini était peut-être léger.





Pour rappel on est en France et donc on tente de corriger un problème uniquement après que le problème ait lieu (et ça c’est le meilleur des cas, on peut aussi ignorer royalement le problème).









RaYz a écrit :



<img data-src=" />

Cahuzac (ou Kahuzac si tu veux garder le K)







Ben entre Cahuzac et Kazuhac, le 2e fait plus style et plus asiatique <img data-src=" />





signé:

DJ David Beta <img data-src=" />









AlphaBeta a écrit :



Ces gens la ont tres mal vecu d’etre pris la main dans le pot de confiture…. du mur des cons…







J’attends avec INpatience une caméra cachée qui dévoilera les conversations privées au siège de l’UMP <img data-src=" />









Jarodd a écrit :



J’attends avec INpatience une caméra cachée qui dévoilera les conversations privées au siège de l’UMP <img data-src=" />







a l’ump ils se déchirent tellement pour le pouvoir que plus personne n’ose se parler de peur d’une trahison.









js2082 a écrit :



Ben entre Cahuzac et Kazuhac, le 2e fait plus style et plus asiatique <img data-src=" />





signé:

DJ David Beta <img data-src=" />





Non mais je sais pas si t’as fait gaffe mais t’avais écrit Kazuhac <img data-src=" />



&gt;2013

&gt;4 chiffres seulement

<img data-src=" />



Il y a les mots de passe, et les mots de passe by Orange <img data-src=" />



Et orangefan il en dit quoi? <img data-src=" />



Par contre, chez les autres FAI c’est aussi 4 chiffres ou pas?








RaoulC a écrit :



Par contre, chez les autres FAI c’est aussi 4 chiffres ou pas?







Oui c’est pareil ailleurs, c’est une boite vocale téléphonique ce n’est pas vraiment le système le plus sécurisé.



Pour info il y a un machin qui s’appelle “carte de crédit”, relié à ton compte en banque, et le code ne comporte lui aussi que 4 chiffres.

De même que le code pin de ton téléphone (ce qui est déjà mieux que la gesture que l’on voit en reflet avec les traces de doigts…).

Mais là ils ont prévu des essais max, c’est surtout ça qui manquait !



Mais comment vous savez ça alors que le journal ne sort que demain ?








Jeru a écrit :



Mais comment vous savez ça alors que le journal ne sort que demain ?





Parce qu’il est sorti aujourd’hui, pour cause de jour férié demain.



Merci !

Donc je retire ce que j’ai dit sur Orange.



Pas d’essais max c’est juste crétin.



Je savais quand même pour le PIN et la CB <img data-src=" />








lecybermax a écrit :



Leurs comptes ont été pris Dassault !







Tiens, Raymond Devos est réincarné !



https://www.youtube.com/watch?v=oWgpnP3k3Zw



… vers 5min









RaoulC a écrit :



Pas d’essais max c’est juste crétin.







Je préfère tout de même que ce soit sur une boite vocale que sur les CB <img data-src=" />

Je ne sais pas si les autres fai avaient prévu un nombre max sur leur boites vocales, on va dire en tout cas que maintenant, certainement !



Ce qui est toujours marrant bizarre dans ce genre d’affaire ;

C’est que pour eux ça abouti <img data-src=" />




les enfants de Serge Dassault avaient porté plainte pour des appels malveillants. Leurs lignes avaient alors été placées sous surveillance de la BRDP qui a découvert l’exploit.



ça serait arrivé à un citoyen lambda, ça m’étonnerait qu’ils auraient placé la ligne sous surveillance. On nous aurait envoyé chier

liberté - égalité - fraternité








sydbarrett55 a écrit :



ça serait arrivé à un citoyen lambda, ça m’étonnerait qu’ils auraient placé la ligne sous surveillance. On nous aurait envoyé chier

liberté - égalité - fraternité





Comme pour le scooter du fils de l’ancien président, deux poids deux mesures !









lordnapalm a écrit :



Oui c’est pareil ailleurs, c’est une boite vocale téléphonique ce n’est pas vraiment le système le plus sécurisé.



Pour info il y a un machin qui s’appelle “carte de crédit”, relié à ton compte en banque, et le code ne comporte lui aussi que 4 chiffres.

De même que le code pin de ton téléphone (ce qui est déjà mieux que la gesture que l’on voit en reflet avec les traces de doigts…).

Mais là ils ont prévu des essais max, c’est surtout ça qui manquait !







Ces codes à quatre chiffres sont surtout associés à la présence physique d’une puce.



Le code seul ne me permet pas de faire des achats avec tes sous ou de téléphoner avec ton forfait.









sydbarrett55 a écrit :



liberté - égalité - fraternité





T’y crois encore à ca, Kakashi ?









Jonathan Livingston a écrit :



Ces codes à quatre chiffres sont surtout associés à la présence physique d’une puce.



Le code seul ne me permet pas de faire des achats avec tes sous ou de téléphoner avec ton forfait.





Encore heureux d’ailleurs parce que sinon ça serait marrant avec le nombre de doublons qu’il y a :)





Orange insiste par ailleurs pour faire de la pédagogie: « on s’est aussi rendu compte que beaucoup d’abonnés avaient des codes de forme 1234 ou 000. Avoir un mot de passe un peu plus robuste permet aussi d’éviter ces malveillances. »





Ah ben oui, des années après M. Le Lay qui voulait du temps de cerveau disponible pour ses publicités, maintenant ils veulent nous pourrir la mémoire avec des mots de passe robustes.



Mais y’en a marre quoi… Je suis sur que ce service imposé n’est réellement utilisé que par très peu d’abonnés (tous opérateurs confondus)…








Ti Gars du Nord a écrit :



et formé nos hommes politique sur la sécurisation de leurs données ?! c’est possible ou pas ?!



ils sont peut etre assez con pour laissé des messages avec des informations sensible







à grande responsabilité, grand devoir





Ouais, et souvent grande discrétion avec les casseroles au cul que beaucoup se trimbalent ! <img data-src=" />









RaYz a écrit :



Non mais je sais pas si t’as fait gaffe mais t’avais écrit Kazuhac <img data-src=" />







Ça aurait pu être involontaire mais non. (le mot kazu signifiant nombre en japonais, plutôt bien adapté à ces affaires)









js2082 a écrit :



Ça aurait pu être involontaire mais non. (le mot kazu signifiant nombre en japonais, plutôt bien adapté à ces affaires)





Kazuhack?



Pour avoir les coordonnées de Nadine Morano y avait quand même plus simple : les pages jaunes section Poissonnerie.

<img data-src=" />








dualboot a écrit :



Pour avoir les coordonnées de Nadine Morano y avait quand même plus simple : les pages jaunes section Poissonnerie.

<img data-src=" />







ou les trottoirs de la rue St Denis.









Drepanocytose a écrit :



T’y crois encore à ca, Kakashi ?





Kakashi Sensei s’il te plait <img data-src=" />









dudul007 a écrit :



défaut de sécurisation, qu’on leur coupe leur telephone







Une amende de 1500 euros + 1ans de prison dans le quartier le plus chaud d’une de nos prisons.