L’utilisation des identifiants Free pour profiter du nouveau service compris dans les abonnements Free a pu inquiéter certains abonnés, pas sûr de la sécurité. Une association de consommateurs a ainsi répondu aux craintes de ces abonnés sur son compte Twitter.
C’est un abonné inquiet qui a interpellé l’association de consommateurs Le Virus Informatique, spécialisée dans la sécurité informatique, sur la destination des identifiants donnés à Youboox. En effet pour profiter pleinement de votre offre Youboox One, il vous faudra rentrer vos identifiants comme présenté dans ce tuto qui vous fera également découvrir l’application de fond en comble.
Salut Levirusinfo @ACBM_COM @free propose un nouveau service gratuit avec @youboox ! Super ! Mais il faut s’y identifier avec ses identifiants #freebox ou #freemobile 😕 moi ca m’inquiète mais ils n’ont pas répondu à ma question. Peut être que si vous relayez l’info…
— david pagnier (@974david) February 1, 2019
Après avoir pris note de sa question, l’association est ensuite revenue vers lui pour apaiser ses inquiétudes. En effet, le système passe tout d’abord par les serveurs de Free qui ensuite confirment à Youboox l’autorisation d’accès au service.
Ainsi le service de lecture en streaming n’aura pas accès à vos identifiants Free, simplement à une information des serveurs de Free que vous êtes bien bénéficiaires de l’offre Youboox One.
Bah ouhais, mais ça mène les gens à mettre leurs identifiants n'importe où, et il suffit que Youboox soit piraté pour changer le système et récupérer les identifiants et mots de passe...
Enfin c'est certes pas pire que la CAF qui demande le numéro de sécurité sociale pour se connecter, ou la BNP qui demande la date de naissance pour le "Verified by VISA"...
A aucun moment Les identifiants de l’abonné free ne sont transmis à youboox (ou mycanal ou autres qui utilisent le même principe). Les serveurs de free ne font envoyer qu’une information du genre “ok” ou “pas ok” pour donner l’accès
C'est très clair que c'est Free qui reçois les identifiant et non Youboox, lui ne reçoit "qu'un accord de Free" disant "ok c'est un abonné Free vous pouvez donner l’accès". Suffit de faire la procédure et regarder sur quelle page on rentre ces identifiants.
Par contre, et j'en ai parler sur le topic de la news dédier a Youboox, mais pas encore eu de réponse, mais Youboox utilise bien notre mail de contact Free "comme nom d'utilisateur" et pour leur communication interne (j’espère pour rien d'autre ...), j'ai reçu 2 mails aujourd’hui.
Ce mail de contact Free est souvent réserver par les abonnés à des administrations officielles etc, donc pas de pub ou autre, en tout cas pour mon cas sur ce mail. Ne serait il pas possible une fois enregistrer sur Youboox de donner le choix a l'abonné Youboox de choisir un autre "pseudo" et un autre mail pour les communications du site (Newsleter, etc)
Je viens de me faire un petit Gaston Lagaffe.. J'ai bien ri Merci Free !
"C'est un abonné inquiet qui a interpellé l’association de consommateurs Le Virus Informatique, spécialisée dans la sécurité informatique, sur la destination des identifiants donnés à Youboox."
Le virus informatique n'est pas une association de consommateur, mais un magazine sur l'informatique, et son aspect sécuritaire plus particulièrement mais pas que...
petite question, ça marche aussi pour le forfait deux euros ? Question sous-entendue est-il nécessaire d'avoir des Tonnes de gigas pour la consultation ? Merci pour votre réponse
UF ca serait bien de faire un tuto pour ceux qui veulent résilier ce service directement dans leur espace client de free ?
Pourquoi, il est si difficile de se connecter à sa console, d’aller dans le menu pour trouver la rubrique correspondante puis de cliquer sur le bouton pour annuler ce service, qu’il faille un tuto pour cela ? J’espère que les gens ne sont pas idiot à ce point...
Le processus d’identification est le même avec Canal. Bizarre que certains s’inquiètent concernant Youbox et Cana... C’est exactement la même chose. C’est idiot.
Par contre, depuis le début je ne comprends pas bien à quoi correspond l’abonnement offert. Il nous est dit : « Youboox One » et Free et Youboox nous disent que l’on a accès aux titres Premium. Pourtant, si on regarde les forfaits sur le site de Youboox, le forfait One ne donne pas accès au contenu Premium, il faut prendre pour cela le forfait maximum/supérieur, le Premium.
Donc, quel est le forfait offerr ? Le One, comme dit par les deux parties mais dans ce cas normalement on ne devrait pas voir accès au contenu Premium, ou bien le forfait supérieur, le Premium, mais alors ce n’est pas ce qui est annoncé ?
Oui c'est exactement le même système qu'avec Facebook, Google, Rakuten, Steam, Battle.net et j'en passe.
Pour expliquer pour ceux qui connaissent pas, le principe c'est qu'au lieu de devoir s'inscrire par exemple sur un site, avec l'API mis en place ils peuvent demander certaines informations (nom, prénom, age, adresse ce genre de chose ce qui est quand même une information permettant d'identifier la personne, mais absolument pas d'accéder aux données puisque se sont pas des données de connexion) et procédé à une inscription automatique avec les informations obtenues.
De plus en plus ce système est aussi utilisé directement pour la connexion. On est alors renvoyé sur une page spéciale (dans tout les cas) du service concerné, voir la liste d'exemple que j'ai cité (il y en a d'autres, là je donne les plus connus ^^). On rentre nos identifiants de connexion du fameux site, directement sur le site (c'est bel et bien une page du fameux site, pas de celui qu'on était entrain de consulter).
Les serveurs alors du site pour s'identifier, va vérifier, et confirmer au site demandeur après validation de votre part de la fourniture d'accès, que le site demandeur aura accès à certaines informations.
Parmi les informations, en général il y a : nom, prénom, login ou adresse e-mail qui est de plus en plus utilisé comme identifiant, et un token d'identification.
C'est d'ailleurs pour ça que quand c'est utilisé directement pour la connexion, faut se reconnecter à chaque fois alors que si on s'inscrit normalement sur le site, on peut avoir une reconnexion automatique via un cookie. Simplement qu'à chaque connexion le token étant différent, il faut redemander donc l'accès et obtenir le nouveau token, mais on évite les multiplications d'inscription sur des sites.
Pour exemple OpenClassrooms, un site renommé pour les codeurs en herbe, utilise ce principe depuis déjà quelques années (depuis le changement de SiteDuZero vers OpenClassrooms en fait).
Donc en effet je rassure :
1) Les informations de connexion ne sont pas transmit, ils sont tapés directement sur la page de login du site et non du site qui fait la demande (exemple Steam ^^)
2) Le site qui demande ne reçoit pas tout ce qui est mot de passe
En revanche, mail et autres informations pouvant identifier la personne sont transmis, d'où le fait que le système requiert une approbation après avoir listé les types de droits qui sont demandés ; seule cette approbation, permettra la transmission des informations. Et comme ce n'est que temporaire et non définitif, le site demandeur ne stocke normalement pas les informations, exception de ce qui sert à la connexion : login ou e-mail si utilisé comme login et le token du moment.
Exception cependant dans le cas où c'est utilisé pour une inscription ou pré-remplir un formulaire de connexion, où là d'autres informations sont gardées. Mais quand c'est utilisé à but de login, quasi rien n'est conservé (enfin si le site demandeur fait son boulot bien entendu).
Et comme la fourniture d'un tel service requiert de respecter un minimum l'utilisateur, en général les sites évitent de demander et garder des informations inutiles ou trop important dont le site n'a pas besoin, car ces sites fournissant ce système au site demandeur, peuvent bannir du service le site demandeur ; donc en général ça évite de faire un peu n'importe quoi.
Donc un site mettant en place ce service, sont en général plutôt réglo et ce service est un gage de sérieux et de qualité au contraire. En revanche, avant de valider l'autorisation, vérifiez bien les types de données qui sont demandées et qui seront transférées.
Ainsi si par exemple vous utilisez Facebook pour vous connecter à un site comme OpenClassrooms par exemple et que Facebook vous indique que le site souhaite pouvoir poster des messages, posez-vous la question si vous souhaitez donner cette autorisation, est-ce qu'elle est justifiée ? Si sur les tutos d'OpenClassrooms, vous pouvez partager via un clic sur le bouton Facebook, le tuto sans aucune intervention de votre part (demande de la part de Facebook), alors oui la demande est justifiée.
Si maintenant sur OpenClassrooms, vous avez rien qui se rapporte au partage d'un lien vers Facebook par exemple ou qu'à chaque fois vous devez valider l'envoi du message voir vous reconnecter sur Facebook à chaque fois, alors la demande d'autorisation à la connexion n'est pas justifiée et là cela veut dire que vous autorisez le site à pouvoir à tout moment sur décision de ceux qui le gère, de pouvoir faire n'importe quoi comme poster des messages qui vont vous mettre en défaut.
Donc moi en temps que développeur, je recommande juste une chose : attention aux autorisations, vérifiez bien que le site a besoin de ces autorisations, si ce n'est pas le cas utilisez un autre moyen d'identification ou faite une vrai inscription sur le site afin de contrôler les données dont le site à accès.
C'est comme sur nos terminaux Android (IOS je sais pas comment ça marche ^^), n'autorisez pas une application genre lampe torche à avoir accès aux informations de la carte bancaire de votre compte Google ou encore accéder au contenu de votre compte Youtube ou encore l'autorisation de lire vos mails, parce que ce n'est pas justifié.
En revanche une application pour lire les mails, qu'on lui autorise à lire les mails c'est logique, mais pas accéder aux informations Youtube par exemple. Faut faire gaffe, car sur ce sujet, les développeurs ont tendance dans leurs applications à demander tout les droits simplement parce qu'ils veulent pas se faire chier à gérer correctement.
D'où le coût de gueule de Google d'ailleurs, car les développeurs ont tendance en Java à importer tout un package (ensemble de classes), plutôt que la classe dont ils ont besoin, ce qui a pour effet de demander un peu tout les droits sans aucune justification ; tout ça parce qu'ils veulent pas se faire chier. C'est une grave erreur que je condamne mais que je vois très souvent, et pas qu'en Java.
En C++ avec QT par exemple ça se voit beaucoup : on inclut un fichier d'en-tête (équivalent des packages en Java) assez générique de QT, qui permet d'importer tout et n'importe quoi, ce qui pose des soucis de consommation mémoire (puisqu'on requiert tout les fichiers d'en-tête qui sont présents dedans), de droits éventuellement, de taille sur le disque etc.
Il vaut mieux avoir 20 lignes de "import" (Java) ou "#include" (C++), que une seule qui va tout mettre y compris ce dont on a pas besoin. Hélas cette erreur est plus qu'ultra courante et c'est une connerie.
Non, car dans la BDD est directement noté ce mail avec le token du moment (mis à jour à chaque fois qu'on te redemande la connexion et donc que tu donnes un nouvel accord). Très souvent le mail est utilisé comme identifiant car il sert pour te connecter, en général sur ce genre de service, t'envoyer les newsletter pour que tu puisses rester informer des nouveautés du service.
Tu n'as donc pas un réel espace abonné où là tu peux changer le password voir changer le nom d'utilisateur (de moins en moins possible cela dit) ou encore changer le mail. Ce principe d'identification se veut justement un contrôle plus complet sur les données dont le site à accès. Là où l'identification classique, leur donne ton mail, ton login et ton password (pour le minimum d'infos, mais souvent adresse, nom et prénom sont demandés), là le site n'a qu'une chose : le mail, car le token lui étant temporaire il permet pas l'identification.
on a vu la semaine dernière qu'il était nécessaire de faire un tuto vidéo pour arriver a mettre le cable réseau dans la bonne prise de la delta ?
Merci pour cette information. Par contre le service est tellement dégueu que j'ai désinstallé l'appli.
Sinon, un peu de courage et quelques minutes de son temps :
1. Vérifier les URLs lors de l'accès au service pour la première fois (indice : ce sont celles de Free aussi longtemps qu'on n'a pas accepté les CGV).
2. Lire les CGV, et en particulier la section 8 qui détail l'usage des données personnelles. Tout y est inscrit ici : https://adsl.free.fr/cgv/CGU_FBX_YOUBOOX_20190131.pdf. Si pas OK, on n'accepte pas et on renonce au service.
Bonjour
Je ne trouve pas pour ma part que ce soit si idiot que cela , voir les écrans avant de faire est tout autant utile qu'une autre aide (pour répondre à Corentin)
Je l'ai donc fait (mini tuto) si çà peut aider > Gérer mon option Youboox, désactiver- Réactiver
Et en prime comme moi aussi la question sur l'identifiant Freebox m'interpelait, j'avais clarifié de mon coté aussi pour se connecter sur Youboox : on voit bien sur le lien dans le navigateur, lorsqu'on se connecte à Youboox ... que l'on est chez Free.
Par contre oui sur le principe, cela crée un trouble par rapport aux conseils de Free sur les comptes compromis, qui indique (Free) que la première cause de compromission, c'est d'indiquer ses identifiants sur un autre site.
Pour ceux qui n'ont pas encore activé le service cela peut être un frein, car on ne voit pas avant comment cela se passe et Free pourrait le préciser pour rassurer ses clients Free.
Et qui nous dit qu’il n’y a pas d’insertion des identifiants en clair dans une base de données de leurs propres serveurs avant d’être redirigé vers les serveurs de Free ?
C’est tout à fait possible !
en effet pour des actions qui peuvent paraître évidentes, on tombe vite dans la 4 eme dimension quand c'est appliqué a des millions de clients
Oui, si une association de consommateurs avait la moindre compétence en sécurité informatique, ça se saurait. C'est vrai aussi de n'importe quel autre compétence, d'ailleurs.
appli nul même pas de marque page c'est à toi de te rappeler le numéro de la page
Non, puisque tu rentres tes identifiants sur une page free, pas sur une page youboox...
Il t'arrive de réfléchir ?
En fait j’ai pas testé ^^
Un classique: Free sert de SSO et fournit uniquement les informations relatives à la présence de l'option (ou non) au partenaire (et pas les identifiants, ou en tous cas pas le mot de passe).
C'est exactement la même chose pour mycanal,par exemple..
Tempête dans un verre d'eau . Seul point positif : les gens s'inquiètent enfin de ce genre d'aspect.
Vous jouez à quoi?
Vous jouez avec les logins d'autres abonnés?
Pas très sérieux !
Ach!lle
Bonjour
C'est uniquement un souci d'affichage :) rien d'autre. On voit son propre login en tant que connecté (et qui s'affiche sur le message en question)
Pour s'en convaincre, met le curseur dans la fenêtre ...
Comme tout service de type SSO seul un token est échangé permettant de valider l'accès.
C'est bien que les utilisateurs se posent la question. Maintenant réfléchissez aux applications dans lesquelles vous avez renseigné vos codes d'accès alors qu'il n'y pas de SSO développé entre Free et la société qui développe l'application. :)
dommage beaucoup de message pub sur le portable
Et si ma tante en avait, on appellerait mon oncle...