Nouvel abonné Freebox: accès à la Freebox non https !?

Busyspider · Busyspider, Posté le: Mar 18 Mar 2025, 15:28 Sujet du message: 13133 11589

Là cela sort un peu de mes compétences .

D'autres intervenants auront sans doute des aides à te proposer.

menelas29 · Maitre de Chuck Norris Inscrit le: 30 Sep 2016 Messages: 11529

Bonjour,

Il y a bien un serveur DHCP pour les IPv6

Cela se passe dans Freebox OS >> Paramètres de la Freebox >> Configuration IPv6 >> onglet DHCPv6 et onglet DNS IPv6

Fystrack · Geek de L'Univers Inscrit le: 30 Juil 2012 Messages: 1248

Bonjour

OQEE a besoin de la connexion IPv6 pour fonctionné donc si tu possède le Player Pop je te conseille ne de pas activer la fonctionnalité.

Cordialement

menelas29 · Maitre de Chuck Norris Inscrit le: 30 Sep 2016 Messages: 11529

Quel rapport entre bail DHCP IPv6 et connectivité IPv6 ?

Chmike · Hobbit de L'Univers Inscrit le: 05 Déc 2015 Messages: 35

grubounet · Chevalier de L'Univers Inscrit le: 02 Mar 2015 Messages: 422

Bonjour,

je pense que vous mélangez un certain nombre de choses.

l'absence de https entre votre ordi et mafreebox.freebox.fr n'a aucun lien avec votre cumulus aux USA. La seul conséquence est que théoriquement, il est possible d'intercepter le trafic entre votre ordi et mafreebox.freebox.fr, via des attaques MITM. Du coup, à la rigueur, la seule info récupérable c'est le mot de passe de Freebox OS, et à condition de s'interposer donc d'être connecté sur votre réseau ...

Donc aucune inquiétude, dès lors que :
- vous n'avez pas fait de redirections de ports dangereuses (aucun accès distant à votre réseau)
- vous avez un accès distant Freebox OS désactivé (même en cas de fuite du mot de passe, aucun danger à distance)

Les avertissements https sont surtout à destinations des personnes qui auraient la mauvaise idée d'aller au cybercafé sur une connexion HTTP, et se feraient piéger par une attaque de type DNS menteur

Chmike · Hobbit de L'Univers Inscrit le: 05 Déc 2015 Messages: 35

Je ne pense pas mélanger les choses.

Ce n'est le MITM le problème, mais le sniffing qui permet de lire les données en clair et les mots de passes puis de se connecter à sa guise.

Il y a beaucoup de paramètres sensibles dans la feeebox dont par exemple le DNS utilisé qui ouvre la voie à de nombreuses attaques. Je n'ai pas exploré tous les dangers potentiels. Dire qu'il n'y en a pas est selon moi une grosse négligence. Pas étonnant qu'ils se font pirater.

[L'autre soucis est que les navigateurs comme safari sur l'iPad refusent l'accès â la Freebox lorsqu'il y a demande de mot de passe sur une connexion http. Du point de vue expérience utilisateur il n'y a pas pire. ](incorrect. Voir mon commentaire suivant).

Créer un nom de domaine pour avoir une connexion sécurisée ce n'est pas ce qu'on pourrait appeler plug & play. Pourquoi Bouygues peut le faire et pas Free ? Seraient-ils plus doué que Free ?

Le problème du cumulus était pour illustrer que l'idée qu'un réseau local serait sécurisé est complètement fausse aujourd'hui, surtout avec IPv6 qui par défaut ne filtre plus rien et expose toutes les machines directement à Internet. Les IoT sont très rarement mis à jours et peuvent avoir des backdoors.

spokenman · Maître de L'Univers Inscrit le: 09 Sep 2013 Messages: 948

Vous confondez absolument tout.

Chmike · Hobbit de L'Univers Inscrit le: 05 Déc 2015 Messages: 35

J'ai vérifié plus précisément ce qui se passe.

Si j'écris en toutes lettres "http://mafreebox.freebox.fr" dans la barre de menu avec safari, j'arrive bien à voir la page Web contrairement à ce que j'ai écrit dans ma réponse précédente. La mise â l'échelle est problématique, et il y a un avertissement que l'accès est non sécurisé.

Si on tape simplement mafreebox dans le champ de recherche on tombe sur Google qui propose alors le lien "https://mafreebox.freebox.fr" comme premier lien. C'est le mode d'accès qui sera le plus fréquent, car le plus simple et le plus rapide.

Si on clique sur le premier lien (https://mafreebox.freebox.fr), voici ce qu'on voit sur iPad (safari):

L'autorité de certification n'est pas reconnue par safari.

Certes cela va dissuader madame Michu de se connecter sur sa Freebox et de bidouiller les paramètres pour appeler ensuite l'assistance lorsqu'Internet ne fonctionnera plus.

J'aimerais connaître la proportion de freenautes qui ont pris la peine de créer un un nom de domaine Freebox.

L'utilisation de son propre nom de domaine est peu pratique puisqu'il faut copier coller son certificat manuellement pour l'actualiser. Pour une validité de courte durée, (ex. 3mois), ce n'est pas du tout réaliste d'utiliser cela.

Il suffirait d'un seul certificat "mafreebox.freebox.fr" copié avec sa clé privée sur toutes les Freebox et réactualisé automatiquement lorsque c'est nécessaire pour fournir un accès sécurisé (https) en local.

Le certificat retourné actuellement par mafreebox.freebox.fr ne me paraît pas une bonne idée. Je ne comprends pas la logique.

[/img]

spokenman · Maître de L'Univers Inscrit le: 09 Sep 2013 Messages: 948

Non la création de son nom de domaine n’oblige pas à copier-coller le certificat, c’est un domaine reconnu officiellement.

Et encore une fois le fait que EN LOCAL la connexion n’est pas en https n’a aucun impact, les gens qui sont de l’autre côté de votre routeur (de l’autre côté de la Freebox donc du côté d’Internet) n’ont pas accès. C’est le principe d’un routeur, ça laisse passer dans un sens mais pas dans l’autre.

Chmike · Hobbit de L'Univers Inscrit le: 05 Déc 2015 Messages: 35

Il y a deux possibilités pour le nom de domaine. Soit en sous domaine de Freebox OS où ils proposent la génération automatique de certificat par Let's Encrypt. Si on veut utiliser son propre nom de domaine (option 2), pas droit au let's encrypt et il faut copier coller son certificat à la main.

EDIT: j'ai créé sans problème xxx.Freebox OS.fr avec renouvellement par Let's Encrypt. L'autre option qui serait par exemple xxx.yyy.fr nécessite de copier coller les certificats. J'espère que c'est plus clair.

grubounet · Chevalier de L'Univers Inscrit le: 02 Mar 2015 Messages: 422

Vous mélangez absolument tout.

Le fait de ramener dans la boucle le piratage de Free, qui est une attaque d'un outil de gestion interne, lié à un technicien qui a vendu au plus offrant ses identifiants, n'a absolument aucun rapport.

Ici, le seul risque de sniffing est en INTERNE, sur VOTRE réseau.

Le seul qui puisse ici sniffer c'est Kevin, 13 ans,faché après son papa qui a configuré un contrôle parental au niveau de la Freebox, et cherche à voler le mot de passe Freebox OS pour s'inscrire dans la whitelist ...

A.U.C.U.N. risque de piratage par voie extérieure.

Chmike · Hobbit de L'Univers Inscrit le: 05 Déc 2015 Messages: 35

Je ne suis pas d'accord avec vos affirmations.

Je ne ne mélange pas "tout" et le risque n'est pas limité aux membres de la famille.

Si la communication via http à la Freebox se fait via Wifi, tout appareil qui a accès au réseau Wifi et au mot de passe peut sniffer le trafic, et donc mon cumulus (exemple) également.

Si la communication est filaire, il faut que le sniffeur soit sur la même machine car les switchs réseaux font en principe du point à point. Toute application installée sur la machine et disposant des droits administrateurs peut sniffer tout ce qui transite par le réseau. Lorsqu'on utilise du https, il ne voit que les échanges chiffrés.

Il y a une solution très simple à ce problème qui est d'installer un certificat avec sa clé privée pour le nom de domaine mafreebox.freebox.fr.

Pour les puristes de la sécurité, il peut être considéré comme une hérésie de copier la même clé privée sur toutes les machines, mais c'est un moindre mal. C'est bien pire de forcer les utilisateurs à utiliser http. Cette clé privée ne sert qu'à authentifier la Freebox et chiffrer la communication, et rien de plus. Donc l'impact du point de vue sécurité est limité.

Free pourrait utiliser Let's encrypt si c'est une question d'argent. La mise à jour peut se faire au démarrage de la Freebox ou automatiquement tous les 3 mois sur leur site central.

Il y a donc une solution très simple à ce problème et l'expérience utilisateur s'en trouvera grandement améliorée.

Comprenez moi bien. Les Freebox et les répéteurs sont de superbes machines qui fonctionnent super bien. Je viens de Bouygues et dans l'ensemble je n'ai absolument aucun regret du changement et je suis même impressionné. Okee est super. Il n'y rien d'équivalent chez Bouygues. Je n'ai pas encore trouvé comment faire apparaitre facilement la suite des programmes de la chaine que je regarde ou les autres, mais à part cela c'est nickel.

Avec Bouygues je ne pouvais même pas enregistrer une émission. C'est une des raisons du changement. Donc les ingénieurs de Free font du super travail. C'est jusque pour ce http qu'il y a un problème qui est sous-estimé par ceux qui n'y connaissent rien ou par les ingénieurs de Free et les ergonomistes.

spokenman · Maître de L'Univers Inscrit le: 09 Sep 2013 Messages: 948

Chmike · Hobbit de L'Univers Inscrit le: 05 Déc 2015 Messages: 35

Cette discussion tourne en rond et je m'arrête ici.

EDIT: je dois apporter une correction à ce que j'ai écrit. Les échanges Wifi sont chiffrés avec une clé propre à chaque machine de sorte qu'une personne ayant la clé d'accès ne peut sniffer le trafic des autres. Cette protection peut néanmoins être contournée avec un rogue AP qui ne nécessite pas d'être dans le réseau local. Un voisin peut le faire. Pour le filaire c'est aussi du point à point, mais cette "protection" est aisément cassée en jouant sur le ARP. Je n'en dit pas plus car l'objectif n'est pas d'expliquer comment le faire.

Si on ajoute à cela qu'il n'y a pas de pare feu par défaut pour l'IPv6 et qu'il y a de plus en plus d'appareils connectés dans le domicile que l'on ne maîtrise pas (ex: Smart TV, domotique, surveillance, consoles de jeux,...), l'idée qu'on est en sécurité chez soi du point de vue réseau informatique est désuète aujourd'hui.

Bref, c'est Freebox sont comme des Ferrari fournies sans ceintures de sécurité.