Free a fait une gaffe aujourd’hui : l’opérateur a oublié de renouveler le certificat pour FreeWiFi. Le problème a été corrigé aujourd’hui, mais il a été en place pendant près de 24 heures.
FreeWiFi permet aux clients de l’opérateur de se connecter sur les hotspots Free afin d’accéder à Internet. Ils doivent d’abord entrer leur identifiant et leur mot de passe sur la page wifi.free.fr et c’est là que ça pose un problème. En effet, la sécurité des données aurait pu être compromise sachant que le certificat n’a pas été valide pendant les 24 dernières heures.
La page n’ayant plus de certificat valide, elle n’est plus en HTTPS. Les données peuvent être à nouveau en clair et une personne mal intentionnée aurait pu modifier la page pour récupérer ensuite les identifiants sans que l’utilisateur ne soit au courant. Comme le note Freenews, « même si le risque est limité, c’est un danger à considérer en particulier lors d’un usage nomade ».
Free a corrigé le tir peu avant 15 heures et wifi.free.fr propose maintenant un nouveau certificat. Celui-ci est valide jusqu’au 8 août 2019 à 1h59m59. Espérons que Free ne fera pas la même erreur dans deux ans et pensera à renouveler le certificat en avance pour éviter des problèmes de sécurité.
Vous faites erreur, la page reste en https mais il y a tout de même un avertissement de sécurité…
Les certificats ont une durée limité et son donc régulièrement renouvelé afin d’éviter qu’il soit forgé.