Quantcast
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Que faire quand on n’arrive pas à tomber sur le portail captif d’une borne wifi publique ?

Quand on se connecte à un réseau public wifi, il arrive parfois qu’on ait du mal à obtenir le fameux « portail captif »‘ où on nous demande en général notre adresse email, avant de nous laisser librement surfer. En effet, sur certaines bornes wifi, le truc est tellement mal configuré que si vous entrez l’URL de votre moteur de recherche préférée ou de Facebook et bien vous n’obtiendrez rien.

Plantage ? Non, c’est juste que le portail captif n’accepte pas les connexions en HTTPS… Et comme la plupart des sites utilisent SSL/TLS, HSTS…etc., et bien ça ne passe pas.

Alors dans ce cas, il y a 2 solutions pour vous assurer des vacances pépères. Moi à titre perso, ce que je fais surtout, c’est de me placer directement sur le routeur en entrant dans mon navigateur des IP comme 192.168.0.1 ou 192.168.1.1 ou 10.0.0.1 … En général ça passe et on est renvoyé vers le portail captif où on peut alors rentrer ses infos pour se connecter.

Mais l’autre solution consiste à se placer sur un site sans SSL/TLS. Si vous en avez un en tête, testez-le, sinon utilisez le site http://neverssl.com.

Sur ce site, pas d’authentification forte, pas de HTTP2, pas de HSTS, pas de chiffrement. Juste du bon vieux HTTP comme on en fait plus. À partir de ce point d’entrée, vous serez alors redirigé vers le portail captif et ensuite vous pourrez surfer sur tous vos sites préférés (avec HTTPS, je vous rassure) comme bon vous semble.

N’oubliez pas quand même, les bornes wifi publiques, c’est comme le sexe non protégé. Quand on ne sait pas trop sur quoi on se « branche », il vaut mieux utiliser une protection type VPN.

source


On fête la rentrée avec NordVPN ! [Bon plan] -68%

-68% 3,3€/mois durant 2 ans

Protection en un clic, fonctionnalité Kill Switch, masquage de votre adresse IP, prise en charge des partages de fichiers en p2p, protection contre les malwares et les pubs, streaming sans interruption, test de fuite DNS et même possibilité de coupler l’outil avec l’anonymat de The Onion Router … sont quelques-unes des autres options disponibles.

À noter que cet été l’outil a passé avec succès l’audit d’une société indépendante (PricewaterhouseCoopers) concernant leur politique de non-conservation de registre d’activité, validant que NordVPN ne conservait pas l’activité de ses utilisateurs sur le web.

De plus une licence NordVPN vous permet de protéger jusqu’à 6 appareils et cela, quelle que soit la plateforme sur laquelle ces derniers tournent (android où iOS, Windows, Linux ou macOS, android TV).

En Savoir +



Un korbenaute trouve son nouveau job via Laou et ça c’est cool

— Article sponsorisé par Laou (mais basé sur des faits réels) —

Salut les amis, vous vous souvenez de mes articles concernant le service Laou ? Et bien j’ai appris récemment qu’au moins un de mes lecteurs (les meilleurs lecteurs du monde à la base donc ils ont un bonus en charisme) a trouvé un nouveau travail grâce à ça. Et ça fait vraiment, mais alors vraiment, plaisir.

Lorsqu’un de mes tutos permet de débloquer une situation ou que je fais découvrir un nouveau site, ça fait zizir et j’ai l’impression d’avoir été utile de manière concrète. Mais si quelqu’un trouve un travail grâce à une de mes infos c’est forcément encore mieux. Parce que l’impact sur la vie de la personne en question est beaucoup plus grand. D’ailleurs, aider les gens à trouver un emploi a toujours été une de mes envies, raison pour laquelle j’ai lancé RemixJobs dès 2010 (longtemps site de référence pour le recrutement web et informatique). Et si ce dernier vient de mourir de sa belle mort, il est possible que je vous réserve l’une ou l’autre surprise sur le sujet bientôt.

Laou recherche d'emploi dans le numérique

Tout ça pour en revenir à Laou. Pour les nouveaux venus je rappelle qu’il s’agit d’une plateforme de recrutement spécialisée dans l’IT en région. Si vous voulez découvrir le travail en province et/ou quitter le stress de la capitale, Laou vous aidera non seulement à trouver un nouvel emploi sur mesure, mais prendra aussi un tas de « soucis » à sa charge : vous trouver un logement, trouver un boulot à votre conjoint, gérer le déménagement, vous faire découvrir votre ville d’adoption … Et cerise sur le gâteau tous les frais sont à la charge de votre futur employeur.

Maintenant la partie la plus cool de l’histoire. Elle concerne Steven, développeur fullstack de 25 ans.

Sans trop entrer dans des détails perso, Steven est originaire du sud de la France et était monté à Paris pour se faire une expérience pro. Il n’y arrive pas vraiment et a un peu de mal à s’y faire un cercle d’amis. Du coup il se dit que Laou pourrait être une option et qu’il va essayer de trouver son boulot rêvé : gameplay developper dans le secteur du jeu vidéo. Sans succès dans un premier temps, car sans expérience c’est tout de suite plus compliqué.

Quitter Paris en 2020 avec Laou

En discutant un peu avec Charlotte, la personne en charge de son dossier, il se rend compte qu’il est plus important pour lui de quitter Paris et d’avoir un cadre de vie adapté que de trouver l’intitulé de boulot exact qu’il recherche. Il est prêt à faire ses classes avant. Et là BAM tout décolle, il reçoit plusieurs propositions dans diverses régions de l’hexagone.

Après plusieurs échanges et un suivi, régulier Laou lui paie une nuit d’hôtel pour lui permettre de rencontrer ce qui sera son futur employeur, be-ys. En plus c’est situé à Clermont-Ferrand #AuvergneRepresent. Juste pour vous situer un peu le dévouement de Laou, le train de Steven est arrivé avec 3 heures de retard à Clermont, et pour s’assurer que tout se passerait bien pour lui, Charlotte était à la gare, de nuit, juste pour l’accueillir. C’est ça le service Laou, du sur mesure et de la flexibilité.

Service Settlesweet

Une fois le contrat signé c’est au tour de Settlesweet de prendre le relais. Settlesweet est le partenaire de Laou pour tout ce qui se touche à la recherche de logement, ce sont eux qui prennent en charge cet aspect de A à Z. Le principe est simple : leur algorithme va analyser une quinzaine de sites d’annonces selon vos critères personnalisés afin de vous trouver le logement le plus adapté à vos envies.

Ensuite, un Home Matcher dédié à votre recherche se chargera de prendre rendez-vous pour les visites et de déposer vos candidatures, le tout en vous tournant les pouces. Settlesweet est entièrement gratuit pour les déménagements dans le cadre d’un nouvel emploi ou d’une mutation. 

Au final il se sera passé quelques mois entre la lecture de mon article et son premier jour de travail. Ce qui est plutôt pas mal, surtout en considérant la pandémie qui a retardé beaucoup de choses. J’espère que Steven lira cet article et qu’il n’hésitera pas à nous partager avec ses mots la manière dont il a vécu tout le processus, ça ferait plaisir !


On fête la rentrée avec NordVPN ! [Bon plan] -68%

-68% 3,3€/mois durant 2 ans

Protection en un clic, fonctionnalité Kill Switch, masquage de votre adresse IP, prise en charge des partages de fichiers en p2p, protection contre les malwares et les pubs, streaming sans interruption, test de fuite DNS et même possibilité de coupler l’outil avec l’anonymat de The Onion Router … sont quelques-unes des autres options disponibles.

À noter que cet été l’outil a passé avec succès l’audit d’une société indépendante (PricewaterhouseCoopers) concernant leur politique de non-conservation de registre d’activité, validant que NordVPN ne conservait pas l’activité de ses utilisateurs sur le web.

De plus une licence NordVPN vous permet de protéger jusqu’à 6 appareils et cela, quelle que soit la plateforme sur laquelle ces derniers tournent (android où iOS, Windows, Linux ou macOS, android TV).

En Savoir +


Réponses notables

  1. Avatar for fofo fofo says:

    Ton navigateur fait ça tout seul, et t’affiche un bandeau indiquant qu’il semble avoir une page de connexion :
    y’à qu’à attendre un peu et cliquer dessus.

    J’ai découvert se bandeau un jour que la freebox v6 avait désynchro (la v6 affiche une page d’erreur avec un lien vers mafreebox.free.fr -qui marche pas sans DNS d’ailleurs-)

    A priori en cas de pb réseau le navigateur (tester avec Firefox) va chercher une page HTTP qu’il connaît bien, si il trouve un contenu différent il affiche le bandeau. Windows fait ça tout seul aussi

    • Connecté / Pas d’accès internet : Il n’a pas trouvé la page magique,
    • Connecté / Authentification requise : La page a été chargée mais son contenu est différent
  2. Moi, mon problème est inverse : je n’arrive pas à faire passer les connections en HTTPS sur le portail captif que j’ai mis en place :laughing:

  3. Avatar for fofo fofo says:

    [quote=“Bencici, post:3, topic:6035, full:true”]
    Moi, mon problème est inverse : je n’arrive pas à faire passer les connections en HTTPS sur le portail captif que j’ai mis en place :laughing: [/quote]Non c’est le même point que l’article : c’est impossible, ça s’appelle une attaque man-in-the-middle SSL sert justement a empêcher ce genre d’attaque.
    Les navigateurs sont de plus en plus strict, un élément HTTP ou une redirection vers HTTP est bloqué depuis un site HTTPS (mixed content policy)
    HTTP n’étant pas sécurisé affichera la page de login du routeur, toute page HTTPS sera bloqué par le navigateur (pas de certificat et/ou redirection HTTPS) le pb de fond est que la majorité des pages web migre en HTTPS: google doit être en home de 90-95% des internautes, pas de chance c’est de l’HTTPS depuis quelques mois / années

  4. Mon problème ne vient pas forcément de la redirection mais de la navigation.
    Une fois l’authentification faite, les sites en HTTPS ne chargent pas sur tous les navigateurs (vieux Firefox, Chrome sur Android…)

  5. Simple, logique mais tout le monde ne le sait pas… accessoirement on peut taper macdonalds ou starbucks… enfin en .com hein soyez pas cons.

  6. Avatar for Cyrus Cyrus says:

    Une bonne idée est aussi de désactiver vos DNS personnalisés du style google, si le portail n’ouvre pas. On peut bien entendu les reactiver après coup.

  7. La plupart des portails forcent à utiliser leur DNS donc il sera même après connexion impossible de définir ses propres DNS parce que le traffic ne passera pas.

  8. le truc est mal configuré, ou l’utilisateur trop impatient. Après quelques secondes, il y a une notification qui apparait ( sous android ) , et il suffit de cliquer dessus pour arriver sur le portail. Je n’ai jamais vérifié si ça venait du navigateur ou de l’OS par contre…

    Et sinon, il y a l’excellent http://www.phoenixjp.net/news/fr/ , d’où j’arrive d’ailleurs pour commenter cette info.

  9. ou bien ca vient du téléphone ? Mon nexus m’affichait la notif’, mon Samsung ne le fait pas (pour les mêmes wifi publics, sfr et orange).
    donc perso mon téléphone se connecte à un réseau, et si je lance chrome vers google ou fb par exemple j’aurais la belle page “attention quelqu’un veut vous piquer vos infos” (parce que adresse demandée en https)

    à noter que si je tape google en http_ j’aurais la page d’authentification du wifi. Par contre http_://facebook.fr me redirige automatiquement (comment c’est possible ?) vers httpS://facebook.fr , alors que je ne suis toujours pas connecté au wifi public (donc je tombe sur la page d’alerte)

  10. Pour ma part c’est “perdu.com” dont j’ai un raccourci sous forme d’icône dans la barre de favoris. Spécial portails captifs !

  11. example.com ne redirige pas automatiquement vers la version https.

  12. Avatar for fofo fofo says:

    [quote=“esteban, post:10, topic:6035, full:true”]

    ou bien ca vient du téléphone ? Mon nexus m’affichait la notif’, mon Samsung ne le fait pas (pour les mêmes wifi publics, sfr et orange).[/quote]
    comme expliqué plus haut c’est Logiciel: firefox (PC) le détecte tout comme WIndows, pour Andoid j’ai l’impression que c’est l’OS, car la notif apparait en notif sur le réseau Wifi, c’est pas un message qui apparait dans le navigateur.

    [quote=“esteban, post:10, topic:6035, full:true”]donc perso mon téléphone se connecte à un réseau, et si je lance chrome vers google ou fb par exemple j’aurais la belle page “attention quelqu’un veut vous piquer vos infos” (parce que adresse demandée en https)

    à noter que si je tape google en http_ j’aurais la page d’authentification du wifi. Par contre http_://facebook.fr me redirige automatiquement (comment c’est possible ?) vers httpS://facebook.fr , alors que je ne suis toujours pas connecté au wifi public (donc je tombe sur la page d’alerte)
    [/quote]La redirection FB est un code HTTP 301 (permanently moved) + location donc mis en cache par ton navigateur, ton navigateur trouve le cache et la redirection avant de se rendre compte qu’il y’a un pb réseau.
    Pour google, y’a soit une redirection JS, une date d’expiration (pour être de bien chopper ton cookie :-/ ), ou c’est un moved temporary code 302

  13. SSL ne sert pas à empêcher une attaque MITM, il sert à protéger les données si ça arrive. Le “hacker” n’aura accès qu’à des données chiffrées. Mais rien n’empêche au traffic sur SSL d’être redirigé, de passer par un proxy, …ça arrive très fréquemment en entreprise d’ailleurs.

  14. Avatar for fofo fofo says:

    [quote=“UpsiloNIX, post:14, topic:6035, full:true”]SSL ne sert pas à empêcher une attaque MITM, il sert à protéger les données si ça arrive. Le “hacker” n’aura accès qu’à des données chiffrées. [/quote]Tu joues un peu sur les mots, dans ce cas brancher un cable réseau sur un hub, ou se connecter à un Wifi est un man in the middle , si on descend d’une couche OSI le simple fait d’avoir sa carte WiFi activée est un MITM vue qu’elle voit passer des packets WEP / WPA qui ne sont pas pour elle.

    SSL au niveau de la couche applicative permet de garantir qu’il n’y’a pas eu de MITM (les données n’ont été ni interceptées, ni modifiées) ensuite dans la mise en oeuvre il y’a des données difficilement déchiffrable qui transitent et qui peuvent être intercepté au niveau de la couche transport, réseau ou physique. (Tout comme une VPN, TOR, du CPL…)

  15. Je ne joue pas vraiment sur les mots, dans pas mal de cas un MITM se fait via ARP spoofing, qui se place sur la couche 2 et 3, on est loin de la couche 7.
    SSL assure qu’il n’y a pas eu d’altération OK, mais d’interception, non. Si vraiment tu penses que tu as raison, explique moi comment, je suis tout ouvert mais j’ai du mal à voir comment SSL va vérifier qu’il n’y a pas eu de spoofing ARP et que quelqu’un n’a pas pu récupérer les paquets (chiffrés toujours).

    Enfin on s’est peut-être tout simplement mal compris à la base :slight_smile:

  16. Avatar for fofo fofo says:

    [quote=“UpsiloNIX, post:16, topic:6035, full:true”]
    Je ne joue pas vraiment sur les mots, dans pas mal de cas un MITM se fait via ARP spoofing, qui se place sur la couche 2 et 3, on est loin de la couche 7.
    SSL assure qu’il n’y a pas eu d’altération OK, mais d’interception, non. Si vraiment tu penses que tu as raison, explique moi comment, je suis tout ouvert mais j’ai du mal à voir comment SSL va vérifier qu’il n’y a pas eu de spoofing ARP et que quelqu’un n’a pas pu récupérer les paquets (chiffrés toujours).

    Enfin on s’est peut-être tout simplement mal compris à la base :)[/quote]
    Par définition, récupérer des paquets chiffrés n’est pas un man in the middle, faire de l’ARP spoofing sur une connexion SSL n’est pas un man in the middle, par contre SSL permet de se protéger d’un simple ARP spoofing.

    Tu dois travailler dans le réseau et résonne au niveau transport, mais ça n’a aucun sens, il faut raisonné globalement peu importe le moyen (VPN, TCP, UDP,ATM, IPv4, IPv6, IPoverPigeon…), avec SSL tes données n’ont ni été interceptées ni altérées. Ensuite que des paquets chiffrés se soient baladés n’importe où sur la toile ait été interceptés voir altérés ne change rien au constat que les données que tu reçois (et envois) n’ont été visible par personne, et si quelqu’un les a touché tu le sais, et peux redemander un envoi.

    Google man in the middle : on parle bien de canal de communication, pas des couches inférieures.

  17. Oui, il y a raison c’est quand même du MITM.

    Firewall Fortinet, tu fais du ssl deep inspection, personne ne voit rien mais le contenu est intercepté.

    http://help.fortinet.com/fos50hlp/52data/Content/FortiOS/fortigate-firewall-52/Security%20Policies/SSL%20-%20SSH%20Inspection.htm

    ou

    et sinon bien sur que la couche est importante.

  18. Avatar for fofo fofo says:

    NON, lis ta propre “source” : https://stackoverflow.com/a/14907718
    Ou la défintion d’un man in the middle : https://fr.wikipedia.org/wiki/Attaque_de_l’homme_du_milieu

    Pour Firewall Fortinet, c’est bien une attaque MITM qui se base sur des CA vérolés: les postes sont configurés pour faire confiance à un CA foireux, ensuite le firewall se fait passer pour les sites Web en question ça ne marche qu’avec des navigateurs peu fiable qui accepte qu’on manipule les certificats racines (typiquement IE et depuis peu Chrome).
    Firefox est compilé avec la liste des certificats racines, il détecte parfaitement l’attaque et empêche toute navigation en HTTPS.
    Ce type de solution est extrêmement dangereuse (une faille dans le firewall, et c’est tout le traffic SSL qui est accessible), et interdite (Usurpation d’identité numérique: 1an de prison 15000€ d’amende)

  19. Va dire ça à ma boite, c’est pas vraiment interdit en tout cas chez nous, après c’est moralement discutable.

    Si une des conditions est remplie, un MITM est possible avec SSL, c’est tout.

    Les CA, tu les contrôles pas vraiment, Microsoft avais laissé des CA pourris et personne n’avais rien vu.

    Donc désolé mais bon c’est de la merde, sa protège pas vraiment et surtout si tu es dans mon réseau il y a d’autre chose que d’intercepter mes paquets, il y a encore bien pire à faire. Donc et toujours cela restera pour moi une protection qui sert à rien, gâche du réseau, complique les choses pour la plus part qui sont déjà perdu dans ces clés de chiffrement. (voir dernier article korben sur le logiciel qui chiffrait pas).

    et il faut aussi penser que les antivirus on tendance à installer leur propre CA pour justement intercepter et pouvoir “protéger” les utilisateurs (https://bugs.chromium.org/p/project-zero/issues/detail?id=989) et (http://hexatomium.github.io/2015/06/26/ms-very-quietly-adds-18-new-trusted-root-certs/), enfin ça plombe encore plus la sécurité plus qu’autre chose… il paie eu l’amende ? c’est interdit ? :wink:

  20. Avatar for fofo fofo says:

    [quote=“madshiva, post:21, topic:6035, full:true”]
    Si une des conditions est remplie, un MITM est possible avec SSL, c’est tout.
    Les CA, tu les contrôles pas vraiment, Microsoft avais laissé des CA pourris et personne n’avais rien vu.
    [/quote]Avoir un CA root obsolète ne signifie pas forcément MITM. Les CA tu les contrôles parfaitement, c’est justement ce qui permet à certains inconscients d’admin d’utiliser du MITM pour fliquer.

    [quote=“madshiva, post:21, topic:6035, full:true”]Donc désolé mais bon c’est de la merde, sa protège pas vraiment et surtout si tu es dans mon réseau il y a d’autre chose que d’intercepter mes paquets, il y a encore bien pire à faire. Donc et toujours cela restera pour moi une protection qui sert à rien, gâche du réseau, complique les choses pour la plus part qui sont déjà perdu dans ces clés de chiffrement. (voir dernier article korben sur le logiciel qui chiffrait pas).[/quote]Ça ne gâche pas vraiment de réseau ?! ça ne complexifie pas l’utilisation (https au lieu de http), et si SSL est généralisé il n’y’aura pas grand chose d’autre à faire chez toi pour quelqu’un qui aurait pénétré ton réseau. (des DDoS ?)
    Le seul “défaut” est une légère surcharge CPU pour chiffrer / déchiffrer. Mais bon à moins de parler d’un serveur Web avec plusieurs milliers de hits / heure c’est relativement anecdotique sur un intranet.

  21. Au taf on rajoute le certificat racine de notre PKI dans le magasin Firefox des users avec certutil.exe et une bonne dose de scripts car Firefox c’est de la merde. Au moins Chrome s’appuie sur le magasin de l’OS et pas sur un truc propriétaire.
    Qu’est-ce qui m’empêche alors de générer un certificat www.facebook.com à l’aide de ma PKI, de l’utiliser dans mon Firewall DPI et de servir les pages aux utilisateurs ?
    Je n’ai jamais essayé remarque… mais à mon avis ça fonctionne sans lever d’alerte.

Continuer la discussion sur Korben Communauté

2 commentaires supplémentaires dans les réponses

Participants