Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

  • État Fermée
  • Pourcentage achevé
    100%
  • Type Évolution
  • Catégorie Téléphonie
  • Assignée à Personne
  • Système d'exploitation Tous
  • Sévérité Basse
  • Priorité Très Basse
  • Basée sur la version 4.0.5
  • Due pour la version Non décidée
  • Échéance Non décidée
  • Votes
  • Privée
Concerne le projet: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Ouverte par spectre3brad - 18/01/2020
Dernière modification par Thibaut Freebox - 20/01/2020

FS#29738 - Certification téléphonique (Reflexion).

Bonjour à tous, je souhaite placer ici une réflexion concernant un soucis plus global que FREE concernant la téléphonie.

Je me disais que nous avons des certifications pour sécuriser les sites Internet ainsi que les courriels afin de savoir que nous avons bien à faire à l’entité en question et non un escroc.

Je me dit donc pourquoi ne pas faire une sorte de certification permettant de valider qu’un numéro de téléphone nous appelant est bien tel ou tel entités ?

Exemple: Un numéro m’appelle et se fait passer pour une entreprise. Qui me dit que c’est bien cette entreprise qui m’appelle et pas un escroc ?

Du coup le sujet de réflexion serait:
- Comment mettre cela en place ?
- Sous quelle forme assurer au plus simplement possible à l’utilisateur que le numéro et “certifié” ?
- Enfin d’où mon post ici, comment les opérateur dont FREE pourrait l’inclure ?

Quels seraient vos avis sur le sujet ?

Fermée par  Thibaut Freebox
20.01.2020 10:35
Raison de la fermeture :  Ticket invalide
Wozzeck a commenté le 18.01.2020 23:07

Vous êtes complètement à côté de la plaque :

1) vous confondez sans aucun doute le https et la certification. Le https permet uniquement de garantir que les communications sont chiffrés mais ça ne vous protège pas contre un serveur DNS menteur qui vous orienterez sur un site pirate qui pourrait tout aussi bien se présenter en HTTPS

Il y a tellement de possibilité de détourner le trafic via les requêtes DNS que des contre mesures ont été développées comme le DNSSEC, ansi que récemment des protocoles DNS alternatifs comme le DOH, DNS-CRYPT... mais qui sont avant tout des protocole de chiffrement de communications pas de certification que tel domaine correspond à telle adresse (c'est plus le boulot du DNSSEC)

Bref... pour simplifier vous êtes à la merci de votre prestataire DNS, voilà pourquoi il est extrêmement important de choisir soigneusement vos serveurs DNS, et d'voir un ordinateur SANS VIRUS et CHEVAUX DE TROIE susceptbles de procéder à des attaques Man In The Middle pour écouter le traffic, l'intercepter et le modifier.

Choisir n'importe quelle serveur DNS connu ni d'Eve ni d'Adam juste parce que on vous a dit d'éviter Google, c'est l'exemple même du comportement stupide.
Il faut soigneusement évaluer qui est en face et dans bien des cas il vaut mieux accepter de livrer quelques infos sur votre vie privée à Google, qu'aller faire confiance à un serveur DNS d'une association quelconque qui vous promet d'oeuvrer pour le bien de la liberté d'internet et pour le bien de l'humanité et des papillons de Papouasie.

Car Google aurait en faite énormément à perdre si on apprenait qu'ils font des konneries avec vos données... tout simplement.

Bref... remettez les pied sur terre.... ce n'est pas aussi simple, c'est même très très complexe

2) l' e-mail n'est à ce jour pas un un instrument de preuve juridique... et il y a bien une raison C'EST TOUT SAUF SECURISE

Déjà, si je choppe les identifiants de votre adresse mail je me fais passer pour vous.... point barre. Expliquez moi en quoi un mail c'est certifié ?
Vous plaisantez ou quoi ?

D'autre part l'email est aussi dépendant des requêtes DNS...
Il n'y a pas encore si longtemps, Free comme des imbéciles autorisaient les accès non authentifiés à ses serveurs SMTP N'importe quel particulier pouvait se connecter aux serveurs SMTP Free et envoyer des mails en prétendant être un abonné de Free

Google a été le premier à se rendre compte de cette vaste Konneries et ont été les premiers à interdire l'accès SMTP non authentifié.
Orange a suivi assea rapidement, je crois que Free a mis 20 ans à comprendre que des spammeurs utilisaient leur serveur smtp en masse

Il n'en reste pas moins que dès lors que je m'authentifie sur le SMTP google, je peux fournir comme en-tête expéditeur un peu n'importe quoi.

Les entreprises qui possèdent leur propre nom de domaine ET QUI GERENT leurs propres serveurs SMTP peuvent dans une certaines mesures proposer un mécanismes non pas de certification mais d'identification via certains paramètres DNS, je ne vais pas m'étaler. Dans ce cas en effet ça permet à Gmail de vous alerter qu'un email parait douteux s'il n'est pas envoyé via un serveur SMTP présumé.

Mais, aujourd'hui l'immense majorité des entreprises, comme des particuliers, sous traitent la gestion de leur emails à Google, Microsoft, OVH, Gandi...
Donc la seule chose que vous savez c'est que le serveur SMTP c'est un serveur Google, OVH, Gandi... ça nous fait une belle jambe, ça n'identifie eu aucun cas un serveur SMTP qui serait exclusif à l'expéditeur

Ouvrez les yeux... même nos grandes administrations passent par des sous traitants lorsqu'elles lancent des campagnes de communications ciblées à grandes échelles.
Sous traitant signifie qu'elles n'utlisent pas toujours les mêmes prestataires et le serveur SMTP peut donc changer

Comme indiqué, comme basiquement si je vole vos identifiants (ce qui arrive quotidiennement avec tous les virus, chevaux de troie mot de passe bidon qui se casse en quelques minutes) je peux me faire passer pour vous... mais admettons que vos identifiants soient bien protégées.

Actuellement la seule manière de garantir avec un niveau raisonnable de sécurité que le mail vient bien d'une personne concernée c'est d'utiliser le système des mails chiffrées AVEC CLES ASSYMETRIQUES comme GNUPG. Je ne vais pas m'étaler sur comment ça marche exactement... mais inutile de rappeler que l'utilisation est assez lourde, requiert la coopération des deux intervenants, et c'est très loin d'être généralisé. A mon avis vous n'entrez pas dans ce cas.

Au départ Internet via Arpanet était juste un projet de recherche militaire américain qui n'avait pas spécialement pour objectif d'être un truc un l'échelle mondiale. L'email est un protocole à la base totalement batard et non sécurisé destiné à l'origine à être plus une sorte de messagerie interne d'entreprise

Quand France Telecom a sorti le Minitel, les américains ont pris peur... ou du moins il se sont rendu compte qu'autour du Minitel se crééait une économie du numérique plus qu'intéressante.

C'est alors qu'au nom de l'intéret général le projet militaire Arpanet et devenu un projet civile à vocation universelle, mais du coup on a hérité d'outils un peu batard... l'email est l'exemple même du truc le plus INSECURISE qui puisse exister.

3) Quant au téléphone, paradoxalement vous faites fausse route.

Oui il est de pratique assez courante pour les entreprises de télémarketing d'afficher un numéro d'appel bidon
Mais ce n'est qu'un numéro d'affichage... en fait le vrai numéro d'appel, il y a bien un moyen technique de l'identifier

Je tiens à rappeler que le Fax contrairement à l'email mail est admis comme preuve juridique.
Ca vous en bouche un coin n'est ce pas ?

Ben non... si je veux envoyer un Fax en me masquant derrière votre numéro... c'est impossible, car le fax lui ne tient pas compte du fameux numéro d'affichage qui n'est qu'une étiquette. Si je veux passer un fax en me faisant passer pour vous je dois obligatoirement entrer par effraction chez vous et passer une télécopie à partir de vos installations.

4) Quant à savoir si la société untelle a bien telle numéro de téléphone CE N'EST PAS LE BOULOT DE FREE, arrêtez de polluer le bug tracker avec de telles demandes.

Comment fait-on pour le vérifier ?

LES PAGES JAUNES, les annuaires d'entreprises et registre du commerces divers et variés... c'est le BA BA de ce que l'on vous apprend lorsque vous travaillez dans une entreprise d'une certaine taille.

Si la société untel vous laisse un message en disant de la rappeler NE JAMAIS EFFECTUER DE RAPPELLE AUTOMATIQUE
On cherche d'abord sur les pages jaunes ou le RCS le numéro de téléphone.
On tombe sur le standard et on demande le contact qui prétend nous avoir appelé.

Une fois que le contact est identifié comme licite, vous lui demandez le numéro de téléphone ET VOUS L'INTEGREZ DANS VOTRE REPERTOIRE PERSONNEL

Dans les banques on appelle cette procédure KYC pour Know Your Customer
La procédure revient à n'appeler que des correspondants connus à travers des numéros répertoriés et obtenus d'une manière jugée fiable.

Il y a interdiction totale d'utiliser dans le cadre des relations de travail des numéros de téléphones non répertoriés au préalable
La procédure fait souvent appel à un référent chez l'interlocuteur qui est le seul habilité à vous fournir une mise à jour des correspondants et de leurs coordonnées téléphoniques qu'il peut fournir via un fichier excel chiffré.

Laissez Free en dehors de ça... vous dépassez le cadre du Bug tracker

rcoupat a commenté le 19.01.2020 07:28

Merci pour se message un peu long ,mais au moins cela conforte mon idée que beaucoup laisse message ici mais que cela n'a rien a foire avec le bug tracker ,ce serais plutôt des désires persionnels

Chargement...

Activer les raccourcis clavier

Liste des tâches

Détails de la tâche

Édition de la tâche