gcollector (Auteur du topic), Posté le: Lun 11 Mar 2024, 20:37 Sujet du message: Activité (très) suspecte sur Freebox Delta
Activité (très) suspecte sur Freebox Delta241247217714
Bonjour,
En me connectant à Freebox OS, je me suis aperçu qu'une machine virtuelle de type Debian (nommée Freebox-VM-XXXXX) a été installée à mon insu. Après inspection, il semble que cette machine a été configurée (sans doute automatiquement) via Cloud-init, et qu'elle a permis de « vendre » (grâce à la mise en place d'un proxy payant) ma connexion Internet pendant un certain temps à un service (IPRoyal Pawns).
Pour la rendre la connexion au proxy possible, cette VM a ajouté une redirection UPnP (le service UPnP IGD de la Freebox était activé).
D'après les journaux de log de cette machine, ma connexion Internet aurait rapporté $80 aux hacker(s) en l'espace de deux semaines…
Bien que l'interface Freebox OS était accessible depuis l'extérieur, elle était protégée par un mot de passe unique plutôt sûr (au moins 12 caractères alphanumériques).
Plusieurs questions :
1) Comment cette VM a-t-elle été le plus plausiblement installée ? L'attaquant devait-il nécessairement connaître le mot de passe de l'interface Freebox OS, ou est-ce qu'une VM peut être installée autrement (màj malveillante de la Freebox, faille de sécurité connue…) ?
2) Bien sûr, j'ai depuis supprimé la VM et désactivé l'accès distant à Freebox OS. Y a-t-il d'autres recommandations à suivre ?
3) Je suis évidemment nquiet de savoir que ma connexion Internet a pu être utilisée à des fins illégales. Conseilleriez-vous que je dépose une main courante (par anticipation de faits qui pourraient m'être reprochés) ?
rr, Posté le: Mar 12 Mar 2024, 3:15 Sujet du message:
169182155388
SiliconBox a écrit:
Il ne faut JAMAIS donner accès à la Freebox en externe
La raison est assez simple :
Il y a une faille de sécurité MAJEURE [...]
il est très facile pour un attaquant de faire tourner une "moulinette" pour tenter toute sorte de mots de passe.
Il est possible que votre mot de passe était un mot de passe faible c'est à dire constitué en tout ou partie d'une chaine de caractères intelligible du type
machérie478jk
@SiliconBox Tu peux essayer de
1. Mettre ce mot de passe sur ta Freebox
2. faire un brute force sur la Freebox pour essayer de trouver ce mot de passe ?
Le mot de passe comporte 13 caractères, des chiffres, des lettres, un caractère "non standard" (avec un accent).
Le site du gouvernement indique qu'il faudrait entre 332 ans et 3000 ans pour trouver ce mot de passe.
Je suis convaincu que même sans nom d'utilisateur, le brute force d'un mot de passe sur une Freebox ne passera pas, surtout parce que la Freebox bloque les accès (blocage de l'IP) pendant une certaine durée, après 3 ou 4 tentatives erronées !
D'ailleurs, plus le nombre d'erreurs augmente, plus le temps d'attente avant un nouvel essai est rallongé ! Avec ce blocage, le brute force n'ira pas loin (car l'estimation de 3000 ans, c'est quand tu peux tester plein de mots de passes à la suite, sans aucune pause).
Donc, aucune raison de ne pas utiliser l'accès à distance de la Freebox.
SiliconBox a écrit:
le fragment "macherie" figure dans ce que l'on appelle des tables arc-en-ciel ou "dictionnaire", une fois ce fragment identifié (c'est l'affaire de quelques minutes seulement)
@SiliconBox (Tu avais mis un accent, ce qui a rendu le mot de passe encore plus fort). Mais même sans accent, un mot de passe est un tout :
- soit le mot de passe est bon : tu peux te connecter à labox
- soit il n'est pas bon, et la box te jette !
La box ne donne pas d'indice du type : c'est bon, tu y es presque, il ne manque plus que la fin !
Je suis intéressé de savoir comment tu identifies ce "fragment", s'il existait vraiment un moyen de le faire !
SiliconBox a écrit:
Le SAV Free peut à tout moment accéder à votre Freebox sans avoir à entrer un quelconque mot de passe. De là à se demander si ce ne serait pas une personne véreuse de chez Free....
@SiliconBox Pour avoir discuté avec un membre de la famille qui a travaillé chez Free (on ne parle donc pas du frère de l'ami du cousin de l'oncle de ma belle tante ), le service client n'a pas du tout accès aux données personnelles dans les box des abonnés.
Par contre, les données "factuelles" de la box, nécessaires pour faire un diagnostic (débit en ADSL, températures, vitesse des ventilateurs, ...) sont effectivement disponibles à distance.
SiliconBox a écrit:
La manière la plus simple c'est un Windows attaqué par des malwares et qui installe un "trojan" qui permet l'accès de votre machine à distance. Le pirate peut aussi installer un keylogger avec un scanner de mémoire pour épier votre presse papier et de cette façon il réussit à chopper votre mot de passe Freebox... entre autre, méfiez vous donc pour le reste.
@gcollector C'est effectivement une manière possible. Si c'était le cas, vérifiez toutes les appareils depuis lesquels vous avez rentré le mot de passe de votre Freebox, nettoyez-les tous.
Si le nettoyage détecte des programmes anormaux/étranges, changez le mot de passe de votre Freebox (et tous les autres mots de passes que vous avez pu écrire depuis ces appareils d'ailleurs).
gcollector (Auteur du topic), Posté le: Mar 12 Mar 2024, 22:54 Sujet du message:
241247217714
Bonjour,
Merci beaucoup pour vos retours. Pour répondre sur plusieurs points :
- Je suis du même avis que rr et je ne crois pas que la connexion a été effectuée par force brute. Soit l'attaquant a eu un accès direct au mot de passe (après tout, il était enregistré sur Firefox et synchronisé sur plusieurs appareils, dont l'ordinateur fixe au boulot…), soit il a pu installer la VM sans se connecter à l'interface Freebox OS (via une faille de sécurité). La première option me semble maintenant plus plausible.
- Je ne suis pas complètement novice en informatique. J'ai installé sur la Freebox Delta trois disques durs neufs en RAID. Il n'y avait donc pas de vieilles données dessus.
- J'ai constaté la VM suspecte car j'avais moi-même configuré une première VM. Je suis tombé des nues en m'apercevant par hasard qu'il y avait deux VM configurées ! J'ai inspecté le fichier disque .qcow2 de la VM suspecte pour essayer de comprendre ce que l'attaquant avait fait (création d'un proxy et mise à disposition de celui-ci via un service payant).
- J'ai sans doute fait une erreur en autorisant la connexion à Freebox OS depuis l'extérieur, cela m'apprendra. J'ai eu la faiblesse de me contenter de l'idée que les Freebox ne sont pas assez répandues pour être la cible d'attaques systématiques, mais vu le potentiel de celles-ci (notamment les Delta, qui permettent de créer des VM et donc de faire tourner à peu près n'importe quoi dessus), je ne serais pas étonné qu'il y ait un ou même plusieurs groupes de hackers spécialisés là-dedans.
- Bien que je n'en ai la preuve, je crains maintenant que l'attaquant ait aussi profité de l'accès à la Freebox pour voler les fichiers persos sur mon NAS (il y a de quoi usurper mon identité, et donc ouvrir un crédit à mon nom par exemple). Je vais sûirement déposer une main courante et contacter la CNIL dans les prochains jours.
Dernière question : puis-je facilement demander à Free les logs de connexion à l'interface Freebox OS sur la période des 30 derniers jours, ainsi que le volume de données d'Upload réalisé chaque jour (pour savoir si l'attaquant a téléchargé mes données) ? Je suis surpris que ces informations ne figurent pas. (Je n'ai trouvé que les courbes de débit, ce qui n'a pas grand intérêt ici).
rr, Posté le: Mer 13 Mar 2024, 0:17 Sujet du message:
169182155388
gcollector a écrit:
le volume de données d'Upload réalisé chaque jour (pour savoir si l'attaquant a téléchargé mes données) ? Je suis surpris que ces informations ne figurent pas. (Je n'ai trouvé que les courbes de débit, ce qui n'a pas grand intérêt ici.)
Si tu vas sur http://mafreebox.freebox.fr/#Fbx.os.app.settings.ConnectionStatus tu as les courbes de débit.
Ensuite,
- Sur la partie Download, clique sur "Débit maximum"
- Fais la même chose sur la partie Upload (ça va le désactiver la longue ligne qui représente le débit max atteignable)
- clique sur "mois" (ou semaine) en bas à droite
Tu auras une vision des moments où ta connexion a été utilisée.
Après, difficile de distinguer les cas où c'était toi / quelqu'un chez toi qui utilisais, ou si c'était une VM.
Fystrack, Posté le: Mer 13 Mar 2024, 8:24 Sujet du message:
7867973203
Bonjour,
Citation:
dont l'ordinateur fixe au boulot
Perso depuis une mauvaise aventure avec un PC de boulot. Ou l'admin avait récupéré mes logs et MDP teamviever. Celui-ci c'été permis de se connecter à mon PC perso et d'explorer celui-ci . Heureusement que les log de teamviever été clean. Depuis finis l'utilisation du PC pro pour consulter mail ou autres.
Après bien sur, ça reste un cas particulier tout comme toi. Donc pense a changer de MDP par précaution sur tout tes accès.
gcollector (Auteur du topic), Posté le: Mer 13 Mar 2024, 16:07 Sujet du message:
241247217714
Bonjour,
Fystrack a écrit:
Perso depuis une mauvaise aventure avec un PC de boulot. Ou l'admin avait récupéré mes logs et MDP teamviever. Celui-ci c'été permis de se connecter à mon PC perso et d'explorer celui-ci . Heureusement que les log de teamviever été clean. Depuis finis l'utilisation du PC pro pour consulter mail ou autres.
C'est dingue… J'espère que l'administrateur a été poursuivi.
rr a écrit:
Tu auras une vision des moments où ta connexion a été utilisée.
Merci. Ça donne en effet une idée, mais difficile d'en déduire le volume. Pensez-vous que Free me donnerait plus d'informations (notamment les logs de connexion à l'interface), ou c'est peine perdue ?
rr a écrit:
Autre point:
Si jamais tu as installé une app non officielle pour accéder à la box, elle peut avoir gardé / partagé le token de connexion.
Tu peux aller dans "Gestion des accès" > onglet "Applications" ?
Tu y vois quoi comme applications, et comme appareils ?
Et dans Sessions, tu as quelqu'un d'autre que toi ?
Je n'utilise pas d'autres applications que Freebox Connect/Freebox Files. J'avais déjà regardé ces onglets, rien de suspect. Là encore, dommage qu'il n'y ait aucune trace de l'historique des sessions ! Y a-t-il une chance que Free ait gardé la liste des sessions qui ont été ouvertes le 21 février dernier (date à laquelle la VM a été installée) ?
Fystrack, Posté le: Jeu 14 Mar 2024, 12:46 Sujet du message:
7867973203
Bonjour,
Citation:
C'est dingue… J'espère que l'administrateur a été poursuivi.
Malheureusement non car je n ai jamais su lequel des 3 cela aurait put être. Et ensuite si j allais plus loin on m aurais reprocher d'utiliser un moyen de contournement cde la sécurité des outils.
Citation:
Pensez-vous que Free me donnerait plus d'informations
J ai pas connaissance de ce genre de service chez Free. Si tu envoie ta lettre a l'adresse de réclamation standard j ai bien peur que tu reçoive une lettre type comme quoi ils peuvent pas traiter ta demande.
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum
FAQ
Rechercher
Liste des Membres
Groupes d'utilisateurs
S'enregistrer
), le service client n'a