Authentification automatique chez Orange : WTF

Je viens d’arriver dans un gîte pour quelques jours de vacances avec de la famille. Mon oncle en profite donc pour me demander un coup de main : Microsoft lui demande de mettre à jour ses paramètres de sécurité avant d’accéder à sa messagerie Outlook et ça le perturbe. À la création de ce compte, il a saisi son adresse email Orange comme adresse de secours. Je vais donc pour me connecter, depuis mon ordinateur portable personnel, au webmail Orange… et là c’est le drame : je suis connecté sur le compte email du propriétaire du gîte.

Mais c’est quoi ce bordel ?!

Les ingénieurs de chez Orange croient-ils que tous les utilisateurs du réseau de madame Michu ont son entière confiance au point de lui donner accès à ses mails… autant lui livrer le numéro de carte bancaire en même temps, package fidélité ?! Croient-ils qu’elle est consciente de donner accès à toute sa correspondance, ses factures détaillées de téléphone et au moyen de changer tous ses mots de passe lorsque son fils donne le code Wifi à ses potes en soirée (il n’y pas de réseau « invité » distinct sur la Livebox) ? Non mais c’est pas croyable !

Mise à part cette absurdité de sécurité, ça entretien la croyance que la boîte email n’est accessible qu’au domicile chez les personnes les moins à l’aise avec la technologie. D’autre part ça ne les aide pas à retenir leur mot de passe d’adresse email, chose que l’on devrait connaître aussi bien que son code de carte bleue.

En cherchant il s’avère que l’on peut contourner ce comportement par défaut déviant inadmissible. Mais non, contrairement à toute logique il ne s’agit pas d’une case à décocher dans l’espace client ou dans l’interface d’administration de la Livebox, il faut créer une adresse de messagerie « secondaire » sur le compte, même si elle ne servira jamais.

Je pestais à l’automne contre le stockage des mots de passe en clair chez Free, mais là on atteint un niveau record.

8 réflexions sur « Authentification automatique chez Orange : WTF »

  1. Rien de nouveau, ça a été toujours le cas avec Wanadoo, donc depuis plus de 10 ans…
    France Télécom, toujours les meilleurs.

  2. D’ailleurs, savez-vous qu’il existe un système similaire sur Free Mobile ? si vous partagez votre connexion 3G (ou que vous avez l’habitude de prêter votre téléphone à des membres de la famille par exemple), les utilisateurs se rendant sur mobile.free.fr se retrouvent sur votre compte, et peuvent modifier les options, voir les factures, etc. Et si vous avez plusieurs lignes attachées à votre compte, n’importe quelle ligne donne accès à tous les comptes.
    Déplorable d’un point de vue sécurité.

    1. Je ne savais pas non ! Disons que le partage de connexion 3G est plus rare et qu’accéder au seul compte client Free est un peu moins problématique qu’un compte email(quoique avec les nouveaux prélèvements SEPA…) mais ce n’est pas non plus excusable. Sans de telles conneries, les fainéants (dont je fais parti) pourraient toujours utiliser un système à base de cookie ou la mémorisation par le navigateur…

  3. Merci pour la recherche et la solution, cela faisait quelques temps que je cherchais comment « désactiver » cette fonctionnalité d’authentification automatique par box.

    On notera quand même (http://assistance.orange.fr/messagerie-orange-creer-un-compte-secondaire-2436.php) qu’il faut choisir un mot de passe particulièrement simple… :
    Pour créer votre mot de passe, veillez à n’utiliser que des lettres (sans accents et sans caractères spéciaux comme « ç »), des chiffres, le tiret « – » et le point. N’introduisez aucun espace et n’utilisez pas le point devant @.

  4. Je confirme l’info, ça fait plus de 10 ans que mes parents sont chez Orange, et ça a toujours été comme ça. C’est vrai qu’on met du temps à y croire, mais on finit par s’y habituer…

    Je me souviens d’ailleurs que ma mère, qui me suspectait, à tort, de lire ses mails a cherché plusieurs fois à faire sauter cette authentification automatique, sans succès (ne connaissant pas l’astuce)… x)

  5. Effet Sebsauvage itou 🙂
    Vécu également dans ma résidence étudiante (privée), avec wi-fi non protégé : En tentant d’aller sur orange on était directement redirigé vers le webmail du compte. Heureusement, rien de personnel dessus, certains étudiants avaient juste dû l’utiliser comme adresse poubelle.

  6. le plus fun, c’est par exemple dans des écoles, où les mails destinés à la personne en charge de l’école sont lisibles par tous (profs, élèves …). Vérifié dans des écoles maternelle / primaire. C’est vraiment une idée à la noix, juste pour simplifier (un peu) la vie des internautes. Le plus embêtant, c’est que ça supprime la notion de mot de passe, car quand je demande à des clients d’orange leur mot de passe de messagerie, le plus souvent on me répond « ben y en a pas, on en a jamais mis » ! :-/

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *