Bonjour à tous, je souhaitais vous faire part de mon aventure encore d’actualité suite à un piratage assez épais.

Aujourd’hui il ne reste plus que la livebox6 de connectée.
Avant réinitialisation je désactive la sauvegarde de la configuration.
Je me reconnecte sur une box en théorie toute fraîche.
Je désactive le wifi par défaut, ipv6 et upnp.
Je débranche la connexion fibre et me rend dans la section pare-feu et sélectionne « personnalisé » je supprime toutes les règles par défaut.
J’ajoute :
DNS  UDP(protocol)  192.168.1.0(network origin)  255.255.255.0(netmask origin)  53(port destination)  ACCEPT
HTTPS  TCP(protocol)  192.168.1.0(network origin)  255.255.255.0(netmask origin)  443(port destination)  ACCEPT
THEN DENY TOUT(protocol) DENY

Contrairement à iptables les règles doivent être insérées à l’envers.

J’active le Wi-Fi invité et c’est tout.

Le but ici est de forcer la restauration du MacBook sur le Wi-Fi invité via le port 443 ce qui permet d’être certain d’atteindre les servers officiels. Et donc éviter de booter sur une image pleine de « privateFramework ».

La restauration du Mac commence , écran de la livebox qui flash une fois comme une modification de configuration livebox. Apparition d’un second réseau wifi nommé Livebox-XXXX-WPA3-TM(persistant).
Après boot sur l’image je scan le port 80 sur lip d’Apple par exemple. Résultat open. Idem avec un téléphone sans carte SIM via le wifi invité.

J’ai remarqué que une fois sur l’image de restauration oscdn.apple.com pointe vers des ip qui lookup vers « akamaitechnologies.com cf MarkMonitor. Je trouve vraiment pas MarkMonitor très legit pour faire simple. Puis le domaine lookup sans commentaires.

J’ai essayé de refaire la configuration avec plusieurs pc ET téléphones fraîchement reset (au cas où je pouvais insérer quelques chose malgré moi via websocket en accédant à l’interface admin). Sans succès.

J’ai un rendez-vous téléphonique lundi de 8h à 9h avec le service réclamation.
Je devais en avoir un vendredi 22 entre 15h et 16h mais il n’a pas été honoré et la commerciale m’a dit que maintenant c’était lundi le prochain rdv lors de mon rappel.

Ça fait environs 6 rdv sur 7 qui n’ont pas été honorés depuis le 4 juillet…
Ils m’ont fait changer 3 fois la livebox5 et 2 fois la livebox6.

——-

Du coup je réfléchis à installer un routeur sur lequel à termes je pourrais installer un système open source.
Cependant j’ai un câble fibre en direct cf. Photo.
Ne pouvoir rien faire sur un équipement qui se comporte bizarrement et se faire balader par le support orange c’est frustrant. puis je me dis que à l’avenir pouvoir maîtriser ses équipements c’est certainement mieux.

Je trouve le RB5009 super sympa. Avec le sfp onu gpon de chez SF (https://www.fs.com/fr/products/133619.html) en direct ça peut être top. J’ai demandé au support mikrotik ce qu’ils en pensent et la réponse est la suivante :

« Please make sure that it is possible to connect 5009 SFP+ (that comes with the cage, you need to use SFP+ module) to your ISP, then I do not see any problem.
Note, MikroTik devices do not support GPON modules »

(À savoir que en théorie je devrais être en fibre dédiée 2gbps) donc le module SFP n’irait pas malgré vos retours positifs sur certains de leurs produits ?
(@gnubyte https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/)

Je voudrais pas me tromper de matériel car c’est vraiment un budget pour moi.

En vous remerciant déjà de m’avoir lu jusqu’au bout <3

J’ai pas tout compris, mais la config un peu « originale » qui saute, pour moi c’est pas un piratage c’est un bug de box 

D’ailleurs je ne comprends pas bien toutes ces manips pour réinitialiser un mac, perso je fais cmd-r, je connecte au wifi et c’est parti!

J’avoue que akamai.net est aussi enregistré via MarkMonitor mais je n’exclue pas une utilisation malicieuse d’un cdn.

Concernant la fibre, la commerciale m’a confirmé hier que c’était 2gbps dédiés. Alors comment vérifier ? (À la limite ça c’est secondaire)

Le problème est que la box ne respecte pas la restriction que je lui impose essentiellement le refus de communiquer sur le port 80 en sortie afin d’obliger la restauration sur le port 443 et ainsi être certain d’atteindre les serveurs officiels.

L’activation de ce deuxième réseau wifi lors de l’initiation de la restauration du mac n’est pas OK. Ce n’est pas ma configuration. Une configuration non respectée et altérée contre mon gré c’est pas OK.

La Livebox et le réseau respectent ce que Apple pousse en fonction de la requête, c'est à dire via les peers directs entre Apple et Orange mais aussi via les CDN utilisés par Apple et ce via les ports 443 et 80 conformément à tel que ça nous est envoyé.

Tes "problèmes" sont imaginaires.

Sur le port 80 pas de certificat == easy avec des dns altérés.
Sur le 443, en cas de dns altéré == erreur

le port 443 ne garantie en rien que tu es sur le bon serveur d'apple.
l'utilisation du https garantie le chiffrage des données entre le client et le serveur. je sens qu'on va rentrer dans un long débat 

Ah bon ? Serais-tu en capacité de te faire délivrer un certificat si tu n’est pas propriétaire du domaine ? (Valide bien entendu)