Free.fr  

Comptes compromis, quelques incidents.

Vous avez été redirigé sur cette page car un de vos comptes a été compromis (vos identifiants ont été récupérés par un tiers) et bloqués par nos services. Par moments, les requêtes de déblocage de nos abonnés se font beaucoup plus nombreuses et nous pouvons nous retrouver à identifier la source d'un incident. Parce que votre requête est arrivée à un moment spécifique, il est possible que nous ayons jugé possible que vous ayez été touché par un de ces incidents et nous vous avons suggéré de consulter catte page.

été 2019

La détection des comptes compromis repose en partie sur des algorithmes d'analyse des journaux des serveurs. Ces algorithmes ont été profondément remaniés au début de l'été et prennent plus de paramêtres en compte. Cela nous a permis d'identifier de très nombreux comptes compromis qui étaient toujours utilisés par des pirates sans que leur utilisateur principal ne s'en rende compte.

mi-mars 2020

Des connexions provenant d'IPs sur le réseau d'Amazon Web Services (hébergement cloud) ont été considérées comme anormales et de nombreux comptes ont été bloqués.

Des informations que nous avons collectées, il ressort qu'une partie conséquente des utilisateurs touchés utilisaient ou avaient utilisé les services de Cleanfox (aussi bien sur des comptes qui n'étaient plus utilisés depuis plus d'un an que sur des comptes très récents). Toutefois d'autres utilisateurs nous ont indiqué n'avoir jamais utilisé ce service et Cleanfox, dans sa FAQ, annonce ne pas conserver les identifiants des abonnés. À ce jour et en attendant d'avoir plus d'information sur cet incident, nous ne pouvons pas vous conseiller d'utiliser ce service.

Mise à jour du 25 mars 2020

Nous avons eu des contacts avec l'entreprise qui développe Cleanfox et il en résulte que ce sont bien leurs serveurs qui sont à l'origine des connexions ayant provoqué le blocage de nombreux comptes à la mi-mars.

Cleanfox semble se rémunérer sur la collecte de statistiques anonymes sur le contenu des boites mails de ses utilisateurs.

Lorsqu'une boite mail est configurée dans l'application Cleanfox, il semblerait que cette application collecte et retransmet à l'éditeur les identifants de connexion. L'ensemble des traitements se ferait ensuite depuis leurs serveurs sans aucun lien avec les consultations des utilisateurs. La désinstallation de l'application ne serait pas suffisante pour faire cesser ces consultations et il faudrait en sus demander la fermeture de son compte.

Nous avons pu faire à notre niveau un certain nombre d'observations :

  • les consultations de la boite mail sont bien le fait d'un tiers (ie l'éditeur de Cleanfox)
  • ces consultations viennent en sus des consultations des utilisateurs
  • ces consultations perdurent même après la désinstallation de l'application par l'utilisateur ou alors que l'utilisateur n'utilise plus sa messagerie (générant par là une consommation de ressources accrue)

Et, lors de la configuration d'une boite mails dans Cleanfox :

  • les identifiants de la boite mail sont demandés mais il n'est jamais précisé clairement que ceux-ci vont être transmis à l'éditeur de l'appication
  • il est bien fait référence à la création d'un compte mais sans auncune précision sur la portée de ce compte et aucune autre information n'est demandée (on aurait pu s'attendre à avoir à saisir un mot de passe s'il s'agissait d'un compte accessible en ligne)

Il en résulte que les utilisateurs n'avaient aucun moyen clair et explicite de savoir que leurs identifiants étaient transmis à un tiers ni que ce tiers continurait à consulter le contenu de leur boite mail après désinstallation de l'application

Nous n'avons pas d'explication sur la présence de comptes dont les utilisateurs ont déclaré n'avoir jamais utilisé Cleanfox.