Pour avoir lu et relu l'article de Pierre Kim, y'a de grosses approximations sur la partie que je connais, Orange.
Déjà, le slid de l'ont doit être l'un de ceux provisionnés sur l'arbre, donc le bruteforce, on repassera...
Ensuite, que ça soit en ppp ou en dhcp, l'olt (et le dslam en xdsl) insère des champs dans les padi/padr ou discover/request qui permettent d'identifier le raccordement physique du client : dslam/olt, carte, port (et n° d'ont pour le ftth). Cette information, couplée avec le fti du ppp ou du dhcp permet d'éviter 90-99% des problèmes (pas forcèment de la malveillance - plutôt genre inversion de ligne).
La partie retro-ingénierie des binaires est intéressante, de ce coté là ça n'a peut-être pas beaucoup évolué depuis le temps, après je ne vois pas, contrairement à un routeur troué, quel est le risque réel. L'ont n'est pas joignable depuis le lan en temps normal, et pas joignable depuis le wan non plus.
Bref, y'a eu du boulot, intéressant, mais avec quelques approximations amha.
Ah oui, et l'auth implicite sur orange.fr, c'est fini également.