Activité (très) suspecte sur Freebox Delta

[gcollector (Auteur du topic)]

Bonjour,

En me connectant à Freebox OS, je me suis aperçu qu'une machine virtuelle de type Debian (nommée Freebox-VM-XXXXX) a été installée à mon insu. Après inspection, il semble que cette machine a été configurée (sans doute automatiquement) via Cloud-init, et qu'elle a permis de « vendre » (grâce à la mise en place d'un proxy payant) ma connexion Internet pendant un certain temps à un service (IPRoyal Pawns).

Pour la rendre la connexion au proxy possible, cette VM a ajouté une redirection UPnP (le service UPnP IGD de la Freebox était activé).

D'après les journaux de log de cette machine, ma connexion Internet aurait rapporté $80 aux hacker(s) en l'espace de deux semaines…

Bien que l'interface Freebox OS était accessible depuis l'extérieur, elle était protégée par un mot de passe unique plutôt sûr (au moins 12 caractères alphanumériques).

Plusieurs questions :
1) Comment cette VM a-t-elle été le plus plausiblement installée ? L'attaquant devait-il nécessairement connaître le mot de passe de l'interface Freebox OS, ou est-ce qu'une VM peut être installée autrement (màj malveillante de la Freebox, faille de sécurité connue…) ?
2) Bien sûr, j'ai depuis supprimé la VM et désactivé l'accès distant à Freebox OS. Y a-t-il d'autres recommandations à suivre ?
3) Je suis évidemment nquiet de savoir que ma connexion Internet a pu être utilisée à des fins illégales. Conseilleriez-vous que je dépose une main courante (par anticipation de faits qui pourraient m'être reprochés) ?

Merci de votre aide !

[SiliconBox]

Il ne faut JAMAIS donner accès à la Freebox en externe

La raison est assez simple :

Il y a une faille de sécurité MAJEURE, l'interface Freebox ne réclame qu'un mot de passe et pas un couple identifiant/MDP.
Dans ces conditions... il est facile pour un attaquant de faire tourner une "moulinette" pour tenter toute sorte de mots de passe.

Il est possible que votre mot de passe était un mot de passe faible c'est à dire constitué en tout ou partie d'une chaîne de caractère intelligible du type :

machérie478jk

Le fragment "macherie" figure dans ce que l'on appelle des tables arc-en-ciel ou "dictionnaire", une fois ce fragment identifié (c'est l'affaire de quelques minutes voire secondes selon la taille de ces tables arc-en-ciel), on fait tourner une moulinette pour essayer toute sorte de combinaisons sur les derniers caractères.

Les hackeurs ont en général sous la main des tables arc-en-ciel de plusieurs teraoctets.... donc les attaques par dictionnaires sont très très rapides.

Un mot de passe du type :

*rzrs866q'(s

Ne peut pas figurer dans un dictionnaire, donc il faut obligatoirement de la force brute, et là ça prend énormément de temps.

CA FAIT LONGTEMPS QUE JE DENONCE CETTE ABERRATION QUI MONTRE A QUEL POINT LES DEVS SONT "LEGEREMENT" PIEDS NICKELES

La présence d'un couple identifiant/MDP rendrait immédiatement toute attaque bien plus compliquée car il faut deviner deux champs, j'avais même demandé dans le bug tracker une option pour mettre en place un second facteur d'authentification via un code application... mais les devs ont toujours fait la sourde oreille.

Malgré tout :

- votre truc est assez surprenant...

Déjà l'attaque viendrait probablement de France car la Delta n'est connue qu'en France, et pour savoir qu'on peut lui mettre des machines virtuelles.... En plus l'interface est en français pas en anglais. On pourrait même presque avancer que l'attaquant serait lui-même un Freenaute ou ex Freenaute....

Or usuellement les attaques viennent plutôt d'Asie, de Russie... bref de l'étranger car le hackeur sait qu'il sera difficilement attrapable. Or si on agit de France, une enquête de gendarmerie peut imposer au FAI d'ouvrir ses logs... donc c'est un peu risqué, même si on passe par des VPNs.

L'histoire des VPNs est loin d'être claire... dès lors que c'est toléré par la NSA, en général il y a une contrepartie, celle de la présence probable d'une porte dérobée en échange de sa bienveillance. On remarquera aussi que la France n'a jamais ouvertement agi contre ces VPNs, pas plus que la plupart des pays Européens, donc on peut réellement se demander si en échange de cette "bienveillance" un peu curieuse, des Etats comme la France, l'Allemagne, le Royaume-Uni qui ne sont pas des enfants de coeur lorsque l'on parle sécurité n'auraient pas obtenu des contreparties secrètes.

Bref... je crois que je ne paierai jamais pour un quelconque VPN commerciale, c'est "caviardé" j'en suis presque sûr.
Au final le truc sans doute le plus efficace... ce serait le réseau TOR, puisque la CIA, l'Ukraine incitent les repenties russes à communiquer par ce biais... ce me semble être un signe assez clair que le réseau TOR est très difficile à déchiffrer.

Donc, ne serait-on pas face à l'action d'un proche ??? (un enfant, son copain... toute personne gravitant autour de vous ami ou pas) ?

- L'attaque peut aussi venir de l'intérieur.

La manière la plus simple c'est un Windows attaqué par des malwares et qui installe un "trojan" qui permet l'accès de votre machine à distance. Le pirate peut aussi installer un keylogger pour épier vos frappes de clavier avec un scanner de mémoire pour épier votre presse papier et de cette façon il réussit à chopper votre mot de passe Freebox... entre autre, méfiez vous donc pour le reste.

Toutefois, la présence de "trojans" se traduit dans 70% des cas par des ralentissements anormaux de la machine.
Les bons "trojans", donc ceux les plus dangereux, c'est ceux qui savent se faire discret... or dans 70% des cas, ces "trojans" sont de la cochonnerie qui ralentissent fortement la machine, ce qui est en fait une bénédiction car ça donne la puce à l'oreille. On va dire que les "trojans" haut de gamme c'est ceux programmés par la NSA mais aussi par les services de contre espionnage français (se rappeler du fameux 'babar' qui espionnait la Syrie), ça c'est du haut de gamme avec des stratégies complexes pour se mettre en sommeil et s'allumer.

Il y a la problématique des OS pas à jour donc potentiellement remplis de failles de sécurité non comblées.
A la limite ce n'est pas trop Windows le risque, car Windows va vous "taner" jusqu'à la mort pour installer ses mises à jour, c'est plutôt Linux au mains de personnes n'ayant pas le niveau, car on voit énormément d'utilisateurs Linux qui ne mettent jamais à jour leur OS... ça fait franchement très peur. On voit sur les forums nunux plein d'utilisateurs qui se sont fait retourner leur Linux comme une crêpe par des hackeurs... systèmes pas à jour, systèmes mal paramétrés, ni Linux, ni MacOS ne sont susceptibles de répondre aux déficiences de l'interface chaise clavier, donc tous les OS, Windows compris, sont fondamentalement à égalité, le problème vient avant tout des utlisateurs.

D'autre part, le modèle traditionnel de Linux qui veut une grosse mise à jour tous les 18/36 mois mois joue contre lui. En effet, j'ai été confronté dans le passé à des systèmes qui refusaient de se mettre à jour lors d'une migration sur une nouvelle version majeure, alors inutile d'imaginer le calvaire pour l'utilisateur moyen... c'est pour cette raison que je ne travaille désormais qu'avec des "Rolling Releases", les mises à jour se font au fil de l'eau et c'est 10 000 fois plus fiable que ces migrations de c...hiotte tous les 18/36 mois, avec comme résultat que beaucoup d'utilisateurs finissent par renoncer à mettre à jour leur OS.

Sur des rolling releases on rencontre des problèmes certes réguliers, mais dans 99% des cas "mineurs". On parvient rapidement à les résoudre, on apprend les évolutions de l'OS au fil de l'eau, et c'est une démarche en définitive beaucoup plus intelligente que de se retrouver comme un couillon 18 ou 36 mois après à devoir "updater" par "gros blocs" certaines de ses connaissances et être bloqué pendant plusieurs jours, mais ça requiert qu'on y consacre régulièrement du temps. Beaucoup trop de gens paramètrent des serveurs Linux... et puis les oublient, et après viennent se plaindre qu'ils se sont fait hacker notamment lorsqu'il s'agit de serveurs Web auto hébergés en accès public qui finissent tôt ou tard par se faire attaquer.

Donc exit Ubuntu, Mageia, Debian et compagnie, place à openSUSE Tumbleweed, Gentoo... et bien entendu la référence des rolling releases, Arch Linux, le Linux taillé pour les "Geeks, développeurs, expérimentateurs" mais moins adapté pour un usage entreprise (préférer dans ce cas openSUSE Tumbleweed qui est dans la filiation Red Hat, la référence en entreprise).

MAIS, le plus gros point faible de n'importe quel système que ce soit Linux, Windows, MacOS ce sont les navigateurs. Les prises de contrôle à distance se font assez couramment via des navigateurs non mis à jour et contenant des failles de sécurité. Encore une fois, MacOS, Linux, Windows... dans ce cas c'est du pareil au même, inutile d'aller nous raconter que MacOS c'est de la balle, les conn..eries des Apple maniaques approchant la sénilité passez votre chemin... Safari, Firefox, Chrome... pas à jour, la sanction potentielle est la même pour tout le monde.

Autre scénario assez classique.... un Wifi avec une passphrase faible, là aussi une chaine de caractère en partie intelligible, et une personne vous ayant repéré s'installerait à proximité de chez vous pour s'éclipser rapidement.
Du coup ça rendrait cohérent l'hypothèse de la VM intruse car cet attaquant est donc bien une personne vivant en France et pouvant donc connaitre la Freebox

- votre truc est tellement surprenant qu'on pourrait même se demander si vous n'auriez pas reçu accidentellement une Delta avec ses disques durs non effacés

Le propriétaire aurait oublié de les retirer avant de les rendre à Free et Free n'aurait pas prêté attention.
Normalement les Delta sont livrées NUES sans disques durs

- Il faut aussi savoir que les Freebox ont une "backdoor" très connue.

Le SAV Free peut à tout moment accéder à votre Freebox sans avoir à entrer un quelconque mot de passe. De là à se demander si ce ne serait pas une personne véreuse de chez Free.... dans ce cas sans doute une personne de passage genre stagiaire... car pour un permanent faire ce genre de choses c'est suicidaire


Quoiqu'il en soit, il faut déjà cesser cette pratique qui consiste à activer l'accès distant à la box... du moins tant que Free n'aura pas établi a minima un système d'identification login/MDP, et à charge de mettre un mot de passe qui tienne la route, soit une chaine de caractère aléatoire qui la fera échapper à toute attaque par dictionnaire (mais ça ne résoudra pas la question de l'attaque de l'intérieur donc attention aux malwares).

N'écartez pas l'hypothèse que vous ayez été épié de l'intérieur, donc un bon conseil... changez les mots de passe de tous vos comptes sensibles.

Si vous êtes sous Windows.... il serait temps de faire un bon scan.... ou de faire une reinstallation à neuf pour être sûr d'être débarrassé de possibles malwares.

Pour un accès distant à la box... il faut passer par OpenVPN bridgé qui vous donnera un accès distant à tout votre réseau.

Sachant toutefois que si vous avez été espionné de l'intérieur, l'attaquant a pu subtiliser vos accès VPN, voire aura crée un accès VPN à votre insu, donc là aussi changer les accès.

- Après... je ne suis pas totalement surpris.

Ce qui me surprend c'est la nature de l'attaque... installer une VM

Les attaques traditionnelles visent à vous piquer les identifiants de cartes bancaires, à épier vos email pour retirer de l'info (tiens sa belledoche elle s'est acheté une Rolex, elle adore les bijoux elle a un coffre planquée chez elle... ce qui peut entrainer une tentative de cambriolage si les informations recueillies sont suffisamment précises, et qui peut tourner vers une agression physique, voilà pourquoi protéger ses emails avec un mot de passe béton, un second facteur d'authentification, ce n'est pas seulement se protéger soi, mais c'est aussi protéger les autres).

Là on aurait affaire à une sorte d'Arsène Lupin, si c'est bien ça, j'adore.... et ce n'est finalement pas si méchant, en réalité vous ne subissez pas de réel préjudice, on vous a juste emprunté de la bande passante qui était comprise dans votre forfait, ce n'est pas comme si un inconnu utilisait votre téléphone pour appeler plein de numéro surtaxés.

Au demeurant, possesseurs d'Ultra... grosse grosse mise en garde. Le débit symétrique 8/8 Gbits risque à l'avenir d'attirer de plus en plus ce type d'attaques où des tiers vont essayez d'utliser votre bande passante à votre insu. Un ordinateur zombie derrière une Ultra.... ça peut faire de très très très gros dégâts car la faculté de lancer des attaques masquées à partir de votre poste va être terriblement efficace... de 2.5 à 8 Gbits d'Upload, imaginez un peu le nombre d'attaques qui peuvent être lancées en à peine une minute.

L'ADSL avait un avantage... le faible niveau d'Upload rendait les ordinateurs zombie moyennement efficace, et surtout on détectait assez rapidement un malware qui pouvait saturer facilement la bande passante montante en provoquant des blocages. Avec de 1 à 8 Gbits d'Upload, de nombreuses attaques pourront être menées en silence, sans que vous vous en aperceviez si vous ne faites pas un contrôle régulier de la sécurité du poste.

Sous Windows le meilleur parefeu grand public c'est Comodo Firewall qui permet facilement de visionner les logs de trafic... en plus il est totalement gratuit, pas même de publicité (contrairement à AVG et autres qui sont carrément pénibles). Il surpasse en terme de fonctionnalités tous les pare-feu grands publics même payants... mais il s'adresse à des gens qui ont un minimum de connaissances, un parefeu mal paramétré pouvant être aussi dangereux que l'absence de parefeu.

J'ai toujours considéré que les Freebox étaient mal sécurisées.
Les devs ont par exemple longtemps conservé cette verrue de SMB1 comme seul protocole de connexion Samba, alors qu'on savait tous que SMB1 posait un gros soucis de sécurité, Microsoft lui-même ayant banni ce protocole (il est toujours présent pour assurer la rétrocompatibilté avec d'anciens appareils, mais ce n'est plus le protocole par défaut, l'utilisateur doit explicitement le réactiver).

Ca a été 3 à 4 ans de lutte sur le bugtracker pour forcer les devs à implémenter SMB2/3, les devs n'arrêtant pas de mentir honteusement en trouvant des prétextes aussi bidons les uns que les autres pour ne rien faire... et puis un beau jour sans prévenir ils nous ont sorti SMB2/3... qui se paramètre sans aucun souci sur Linux depuis maintenant plus de 10/15 ans

Ce n'est pas comme si on parlait de nouveauté, hein....
La Freebox est en réalité remplie de bibliothèques pas à jour et j'en ignore les raisons.

Je suis en fait surpris que vous soyez l'un des premiers à relater ce genre de choses... où peut-être que les gens évitent d'en parler parce que ça fiche un peu la honte...

Pour finir, une dernière chose m'intrigue...

Vous avez été en mesure de nous indiquer ce que faisait cette VM, donc vous saviez ce qu'était une VM, déjà ce n'est pas à la portée du commun des clients Free, vous êtes même allé jusqu'à définir un montant de gains pour le hacker... wahou !!!!

Si j'aurais détecté facilement la présence d'une VM "intruse", je ne suis pas certain que j'aurais forcément compris ce qu'elle faisait exactement, donc de là à fixer un montant de gains, alors là je suis carrément sur le c..ul
A se demander si ce n'est pas vous qui auriez mis en place cette machine pour la connaitre si bien....

Car vous ne semblez pas être un bleu... pourtant vous vous seriez fait prendre comme un bleu, comme un bleu vous avez activé un accès distant que toute personne avec un peu d'expérience évite de faire... je me suis expliqué à ce sujet, c'est limpide, si après ça les gens veulent continuer à faire leurs c...nneries, c'est leur problème, mais HONTE AUX DEVELOPPEURS D'AUTORISER UN accès PUBLIC SI PEU SECURISE. Il y a franchement des coups de pieds aux fesses et des claques qui se perdent lorsque l'on voit une telle incohérence perdurer.

Est-ce que cette histoire est totalement vraie ?

Que vous soyez attaqué de l'intérieur ça OK ça peut arriver à tout le monde, y compris au meilleur administrateur du monde avec le meilleur système d'exploitation du monde, car aucun système, absolument aucun n'est infaillible...

Mais encore une fois... mettre en place une VM dans une Freebox, ça c'est cocasse, ça relèverait presque du gag parce que la on vise une frange très réduite de "hackeurs", des gens qui "a priori" connaissent la Freebox Delta qui à l'échelle de la planète est moins qu'un excrément de mouche.

Donc ne serait-on pas face à un message teinté de second degré ????
Hormis le possible canular... je pencherais pour l'action de personnes gravitant régulièrement auprès de vous et qui auraient abusé de votre confiance, car on est face à quelque chose d'atypique (et sur le fond pas si méchant que ça).

[rr]

[gcollector (Auteur du topic)]

Bonjour,

Merci beaucoup pour vos retours. Pour répondre sur plusieurs points :

- Je suis du même avis que rr et je ne crois pas que la connexion a été effectuée par force brute. Soit l'attaquant a eu un accès direct au mot de passe (après tout, il était enregistré sur Firefox et synchronisé sur plusieurs appareils, dont l'ordinateur fixe au boulot…), soit il a pu installer la VM sans se connecter à l'interface Freebox OS (via une faille de sécurité). La première option me semble maintenant plus plausible.

- Je ne suis pas complètement novice en informatique. J'ai installé sur la Freebox Delta trois disques durs neufs en RAID. Il n'y avait donc pas de vieilles données dessus.

- J'ai constaté la VM suspecte car j'avais moi-même configuré une première VM. Je suis tombé des nues en m'apercevant par hasard qu'il y avait deux VM configurées ! J'ai inspecté le fichier disque .qcow2 de la VM suspecte pour essayer de comprendre ce que l'attaquant avait fait (création d'un proxy et mise à disposition de celui-ci via un service payant).

- J'ai sans doute fait une erreur en autorisant la connexion à Freebox OS depuis l'extérieur, cela m'apprendra. J'ai eu la faiblesse de me contenter de l'idée que les Freebox ne sont pas assez répandues pour être la cible d'attaques systématiques, mais vu le potentiel de celles-ci (notamment les Delta, qui permettent de créer des VM et donc de faire tourner à peu près n'importe quoi dessus), je ne serais pas étonné qu'il y ait un ou même plusieurs groupes de hackers spécialisés là-dedans.

- Bien que je n'en ai la preuve, je crains maintenant que l'attaquant ait aussi profité de l'accès à la Freebox pour voler les fichiers persos sur mon NAS (il y a de quoi usurper mon identité, et donc ouvrir un crédit à mon nom par exemple). Je vais sûirement déposer une main courante et contacter la CNIL dans les prochains jours.

Dernière question : puis-je facilement demander à Free les logs de connexion à l'interface Freebox OS sur la période des 30 derniers jours, ainsi que le volume de données d'Upload réalisé chaque jour (pour savoir si l'attaquant a téléchargé mes données) ? Je suis surpris que ces informations ne figurent pas. (Je n'ai trouvé que les courbes de débit, ce qui n'a pas grand intérêt ici).

Merci

[rr]

[Fystrack]

Bonjour,

[rr]

@gcollector Autre point:

Si jamais tu as installé une app non officielle pour accéder à la box, elle peut avoir gardé / partagé le token de connexion.

Tu peux aller dans "Gestion des accès" > onglet "Applications" ?

http://mafreebox.freebox.fr/#Fbx.os.app.settings.Accounts

Tu y vois quoi comme applications, et comme appareils ?

Et dans Sessions, tu as quelqu'un d'autre que toi ?

[gcollector (Auteur du topic)]

Bonjour,

[Fystrack]

Bonjour,