La Fibre
Forum : => La Fibre FTTH (Fiber To The Home) => Technologie Gpon / Le futur: XGS-PON et NG-PON2 => Discussion démarrée par: vivien le 07 juin 2012 à 19:59:47
-
Récapitulatif des possibilités d'espionnage en ADSL, câble, FTTH P2P et FTTH Gpon
Données en clair ou chiffrées ?
- ADSL : données en clair
- Câble : chiffrement possible mais non activé aujourd'hui
- FTTH point à point : données en clair
- FTTH GPON : chiffrement fort pas cassé.
Coût :
- ADSL : PC + 40 000 € (Niva)
- Câble : PC + 40 € pour un canal descendant, 160€ pour 4 canaux descendants (carte TV DVB-C)
- FTTH point à point : PC + 80€ (2 média converter)
- FTTH Gpon : Non réalisé à ce jour
Risque lors de l'installation du dispositif :
- ADSL : Nécessite un accès à la ligne physique
- Câble : Nécessite d'être sur la même poche (même immeuble en FTTLA, même quartier en HFC)
- FTTH point à point : Nécessite un accès à la ligne physique
- FTTH Gpon : Nécessite d'être sur le même arbre Gpon (un arbre = 64 clients max)
Possibilité de détection lors de l'installation, lors de l'utilisation : effets de bords, visibilité du dispositif
- ADSL : Détection possible (baisse du débit de synchro) + coupure nécessaire pour la mise en place
- Câble : Détection impossible par contre on ne capte que le canal descendant
- FTTH point à point : Coupure nécessaire pour la mise en place du dispositif.
- FTTH Gpon : Inconnu car non réalisé.. A priori détection impossible.
Edit : message déplacé, le début de la conversation est sur le post Un élu souhaite que le FTTH soit mis en place par un GIE (https://lafibre.info/ftth-la-fibre-optique-gpon-ou-p2p/gie-pour-le-ftth/)
-
- FTTH GPON : chiffrement fort pas cassé.
Non :
- flux down chiffré en AES128
- flux up en clair
- clé transmise en clair
-
- flux up en clair
Mais pas récupérable, a priori, sur une prise d'abonné standard (comme pour le câble, le voisin n'est pas sur le même canal - ici la fibre optique - en up).
- clé transmise en clair
Je suppose qu'elle ne circule qu'au moment de la négociation, mais si c'est bien le cas, ça n'en reste pas moins une faille de sécurité splendide.
Mais à mon humble avis, ces histoires de sécurité n'ont qu'une importance relative, étant donné que la plupart des flux vraiment sensibles circulent déjà (ou pourraient déjà circuler, si les gens se donnaient la peine de configurer leurs logiciels en conséquence) de manière chiffrée entre l'abonné et les serveurs*.
* À ce sujet, ça serait pas mal que lafibre.info se dote d'un certificat TLS (on peut en obtenir gratuitement).
-
Sur le câble, le chiffrement est possible mais n'est pas utilisé par Numericable : une simple carte DVB-C à 40€ permet de récupérer le flux descendant de toute la poche => Câble: Capturer les communications de ses voisins avec une carte DVB-C et packet-o-matic. Pour avoir le flux montant cela nécessite un matériel un peu plus cher.
=> Capturer les communications de ses voisins avec une carte DVB-C et packet-o-matic (https://lafibre.info/numericable-fttla/packet-o-matic/)
-
Je suppose [que la clef] ne circule qu'au moment de la négociation, mais si c'est bien le cas, ça n'en reste pas moins une faille de sécurité splendide.
Quand l'ONT reboote, il se passe quoi?
Quand l'OLT reboote, il se passe quoi?
-
Bonsoir,
L'OLT demande alors le SLID à l'ONT,
à ce moment la ou aléatoirement durant la communication,
Ce qui posais des problème notamment chez Alcatel ou le SLID n'était à l'époque pas enregistré en Dur et était supprimé à chaque Reboot.
Espérant vous avoir éclairer sur ce point.
c'est vrai que l'espionnage d'une ligne GPON reste "théoriquement" possible le tout étant d'avoir accès au lien physiquement et en étudiant bien le trafic.
-
"SLID"?
-
SLID Subscriber Line Identifier
Un identifiant d'accès nécessaire à l'OLT pour reconnaître l'ONT ;)
-
D'après des témoignages, chez Free FTTH, des paquets sont parfois broadcastés et les abonnés voient ceux des voisins.
-
Déterrage de topic pour la nouvelle année 2015 ! :)
Je pense que je vais devoir surveiller mon armoire un peu plus souvent d'après ce que vous me dites.
-
Je pense que je vais devoir surveiller mon armoire un peu plus souvent d'après ce que vous me dites.
Pourquoi quelqu'un s'embêterait-il à faire un bricolage très risqué au niveau d'une armoire quand il peut déjà recevoir tout plein de choses chez lui...
-
Pourquoi quelqu'un s'embêterait-il à faire un bricolage très risqué au niveau d'une armoire quand il peut déjà recevoir tout plein de choses chez lui...
Ouais, heureusement que lafibre.info est en HTTPS :P
-
Pourquoi quelqu'un s'embêterait-il à faire un bricolage très risqué au niveau d'une armoire quand il peut déjà recevoir tout plein de choses chez lui...
A la réflexion, je comprends pas pkoi la clé en GPON est transmise en clair: Ca n'aurait pas pu être fait en Diffie-Hellman ?
Là le problème aurait été complètement éliminé - et à la limite, tant qu'on peut pas *modifier* le trafic de ses voisins, on s'en fout de le recevoir si on peut pas le déchiffrer...
-
A la réflexion, je comprends pas pkoi la clé en GPON est transmise en clair: Ca n'aurait pas pu être fait en Diffie-Hellman ?
Là le problème aurait été complètement éliminé - et à la limite, tant qu'on peut pas *modifier* le trafic de ses voisins, on s'en fout de le recevoir si on peut pas le déchiffrer...
Ca doit surement être pour simplifier le travail du renseignement intérieur
-
Ca doit surement être pour simplifier le travail du renseignement intérieur
Les services officiels ne tapent pas sur le lien d'accés, ils demandent à l'opérateur un dump du traffic de l'abonné, c'est si simple.
-
Les services officiels ne tapent pas sur le lien d'accés, ils demandent à l'opérateur un dump du traffic de l'abonné, c'est si simple.
Mais si long pour obtenir les autorisations légales pour faire. Espionner le traffic va beaucoup plus vite et au moins ils ont tout ce qu'ils veulent sans restriction.
Pour rappel en France, on ne peut utiliser un chiffrement supérieur à 256Bits, c'est illégal car tout doit pouvoir être déchiffré par la DCRI au besoin.
De même que créer nos propres systèmes de cryptage, implique une transmission complète de l'algo aux autorités au cas où elles en auraient besoin pour déchiffrer les données.
-
Mais si long pour obtenir les autorisations légales pour faire. Espionner le traffic va beaucoup plus vite et au moins ils ont tout ce qu'ils veulent sans restriction.
Pour rappel en France, on ne peut utiliser un chiffrement supérieur à 256Bits, c'est illégal car tout doit pouvoir être déchiffré par la DCRI au besoin.
De même que créer nos propres systèmes de cryptage, implique une transmission complète de l'algo aux autorités au cas où elles en auraient besoin pour déchiffrer les données.
mon dieu je devrais être en taule, il faut que j'aille embrasser mes enfants de suite.
-
Pour rappel en France, on ne peut utiliser un chiffrement supérieur à 256Bits, c'est illégal
T'es pas à jour poto.
L'utilisation de la cryptographie est libre depuis assez longtemps, l'« export »/« la fourniture » peuvent (théoriquement) être soumis à demande. C'est à peu près tout.
http://www.ssi.gouv.fr/entreprise/reglementation/controle-reglementaire-sur-la-cryptographie/
-
En effet, apparemment la limitation ne concerne que les sociétés èmettrices de logiciels de cryptographie, mais les particuliers sont libres d'utiliser l'aglo qu'ils veulent et une clé de chiffrement aussi longue que le particulier le désir. Je ne savais pas que ça avait changé depuis l'époque où j'ai eu l'info.
-
En effet, apparemment la limitation ne concerne que les sociétés èmettrices de logiciels de cryptographie, mais les particuliers sont libres d'utiliser l'aglo qu'ils veulent et une clé de chiffrement aussi longue que le particulier le désir. Je ne savais pas que ça avait changé depuis l'époque où j'ai eu l'info.
non, non, même les pros font ce qu'ils veulent dans la vraie vie
-
Mais si long pour obtenir les autorisations légales pour faire. Espionner le traffic va beaucoup plus vite et au moins ils ont tout ce qu'ils veulent sans restriction.
Pour rappel en France, on ne peut utiliser un chiffrement supérieur à 256Bits, c'est illégal car tout doit pouvoir être déchiffré par la DCRI au besoin.
On peut savoir quelles sont tes qualifications inexistantes?
-
A la réflexion, je comprends pas pkoi la clé en GPON est transmise en clair: Ca n'aurait pas pu être fait en Diffie-Hellman ?
À ton avis, pourquoi en WPA Personal tout est déterministe et peut être dérivé de la PSK, ce qui permet des attaques force brute/dictionnaire sur la passe-phrase?
Et pourquoi en CPL HomePlug la clé est envoyée en clair?
Hint informatique embarquée