Auteur Sujet: Fuite firmware livebox ?  (Lu 13189 fois)

0 Membres et 1 Invité sur ce sujet

renaud07

  • Abonné Orange adsl
  • *
  • Messages: 3 345
Fuite firmware livebox ?
« le: 18 mars 2018 à 18:53:33 »
Bonsoir,

En cherchant les noms des différents firmwares des livebox, je suis tombé sur un site qui en contient plusieurs et chose intéressante, ce ne sont pas les sources diffusées par Orange ni des images, mais directement le système de fichiers.

Est-il possible que ce soit une compilation des sources libres ?  Je n'ai rien trouvé de bien intéressant dedans. De plus on dirait que les fichiers sont ajoutés petit à petit car les dates ne sont pas toutes les mêmes.

Dans le doute je préfère ne pas mettre le lien du site en question, vous devriez trouver  ;) Indice :  faire la recherche avec le numéro d'un ancien firmware de livebox pro v2.


vivien

  • Administrateur
  • *
  • Messages: 47 077
    • Twitter LaFibre.info
Fuite firmware livebox ?
« Réponse #1 le: 18 mars 2018 à 20:13:52 »
Ce ne serait pas dans le cadre des obligations sur le logiciel Open source intégré dans le firmware ?

SFR propose officiellement ses firlmwares : https://www.neufbox4.org/firmwares/

Bouygues Telecom fait le strict minimum et il n'est pas possible de recompiler à partir de source sur http://floss.bbox.fr/

renaud07

  • Abonné Orange adsl
  • *
  • Messages: 3 345
Fuite firmware livebox ?
« Réponse #2 le: 18 mars 2018 à 20:44:52 »
Je ne pense pas. Il ne s'agit pas d'un site officiel d'Orange, qui diffuse déjà  la partie opensource des frimware :

https://opensource.orange.com/fr/software/logiciels-de-la-maison/livebox/

Je vois mal Orange recompiler ces sources et les mettre sur un site bizarre...

D'ailleurs dans ces fichiers il y a l'air d'y avoir du code propriétaire.

Voici ce qu'on peut trouver dans certains scripts :
Citer
# Copyright : (c) 2012 SAGEMCOM - Site Rueil-Malmaison - ATR-URD2
#
# The information and source code contained herein is the exclusive
# property of SAGEMCOM and may not be disclosed, examined, or
# reproduced in whole or in part without explicit written authorization
# of the company.


EDIT : je vois qu'ici ils indiquent comment compiler (c'est bien la première fois qu'ils le disent de manière explicite) sur une ubuntu 16.04, peut-être que la personne a donc bien compilé à partir de là... et qu'il y a du code propriétaire au milieu...

Faudrait que je teste voir si j'obtiens la même chose (je sens que ça va être long  ;D)

renaud07

  • Abonné Orange adsl
  • *
  • Messages: 3 345
Fuite firmware livebox ?
« Réponse #3 le: 19 mars 2018 à 15:44:39 »
Après une nuit de compilation, c'est bien ce qu'il me semblait : rien ne correspond.
 
Il manque pleins de fichiers, notamment toute la partie interface web ou encore dans /etc.

De même je vois que sur le site il y a une version de firmware inconnue (que je prenais pour un firm de v4), qui ne fait pas parti de la liste officielle des firmwares diffusés. On trouve également le dernier firmware de la livebox 2 qui n'est pas dispo sur le site d'Orange.



Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 804
  • 73
Fuite firmware livebox ?
« Réponse #4 le: 19 mars 2018 à 18:04:04 »
Salut,

Ce site c'est exactement le strict minimum de l'obligation légale, c'est à dire que pour les petits composants sous GPL qu'ils ont modifié ils diffusent les patches, et c'est tout. Free, SFR, les autres font pareil. Donc pour l'essentiel ça correspond mais ce n'est utile à personne.

Ce n'est pas une fuite, c'est un site officiel.

Les firmwares sont hébergés sur des serveurs sans authentification mais les URL ne sont pas publiques. Il y en a qui sont basés sur ARM (Livebox 4) donc facilement décompilables.

renaud07

  • Abonné Orange adsl
  • *
  • Messages: 3 345
Fuite firmware livebox ?
« Réponse #5 le: 19 mars 2018 à 18:19:11 »
Ce site c'est exactement le strict minimum de l'obligation légale, c'est à dire que pour les petits composants sous GPL qu'ils ont modifié ils diffusent les patches, et c'est tout. Free, SFR, les autres font pareil. Donc pour l'essentiel ça correspond mais ce n'est utile à personne.

Ce n'est pas une fuite, c'est un site officiel.

On est d'accord, opensource.orange.com est bien un site officiel.

Les firmwares sont hébergés sur des serveurs sans authentification mais les URL ne sont pas publiques. Il y en a qui sont basés sur ARM (Livebox 4) donc facilement décompilables.

Tu parles de karma.orange.com? Sauf que ce n'est pas ça.

Le site en question ne contient pas que des  firmwares de livebox, mais aussi des vidéos, mp3  et plein d'autres choses qui n'ont rien à voir avec orange... Je peux te l'envoyer en MP si tu veux.

EDIT : je viens de tilter : la personne serait allée se servir sur karma.orange.com et aurait décompilé les firmwares ? Sacrèment badass quand même...
« Modifié: 19 mars 2018 à 20:18:10 par renaud07 »

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 423
  • Lyon (69) / St-Bernard (01)
    • Twitter
Fuite firmware livebox ?
« Réponse #6 le: 19 mars 2018 à 18:24:25 »
Je veux bien le lien aussi stp ;)

renaud07

  • Abonné Orange adsl
  • *
  • Messages: 3 345
Fuite firmware livebox ?
« Réponse #7 le: 19 mars 2018 à 18:28:22 »
Je veux bien le lien aussi stp ;)

Envoyé  ;)

Nh3xus

  • Réseau Deux Sarres (57)
  • Abonné MilkyWan
  • *
  • Messages: 3 247
  • Sarrebourg (57)
Fuite firmware livebox ?
« Réponse #8 le: 19 mars 2018 à 20:32:20 »
Hello,

Karma sert à gérer le parc de Livebox actives.

De l'asset management en fait.

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 2 237
  • Chambly (60)
Fuite firmware livebox ?
« Réponse #9 le: 19 mars 2018 à 21:08:08 »
EDIT : je viens de tilter : la personne serait allée se servir sur karma.orange.com et aurait décompilé les firmwares ? Sacrèment badass quand même...
Il peut aussi y avoir une faille, par exemple dans l'interface web, qui aurait permis d'avoir un shell, ou d'exécuter des commandes, ce qui permettrait de récupérer le contenu de tous les fichiers.

renaud07

  • Abonné Orange adsl
  • *
  • Messages: 3 345
Fuite firmware livebox ?
« Réponse #10 le: 19 mars 2018 à 21:18:35 »
Il peut aussi y avoir une faille, par exemple dans l'interface web, qui aurait permis d'avoir un shell, ou d'exécuter des commandes, ce qui permettrait de récupérer le contenu de tous les fichiers.

Possible, je n'y avais pas pensé. Mais bizarre que personne n'en ai parlé vu le nombre de clients Orange...

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 2 237
  • Chambly (60)
Fuite firmware livebox ?
« Réponse #11 le: 19 mars 2018 à 21:35:55 »
Possible, je n'y avais pas pensé. Mais bizarre que personne n'en ai parlé vu le nombre de clients Orange...
Déjà, si c'est un firmware SagemCom de Livebox pro, ça concerne qu'un nombre limité de clients.
Les Livebox 2/3/4 (non pro) ont un firmware SoftAtHome.

Ensuite, à moins d'une faille côté WAN ou wifi partagé qui permettrait d'attaquer le LAN depuis l'extérieur, pouvoir prendre la main sur une box depuis le LAN n'est pas critique. De toute façon l'utilisateur qui veut plus de contrôle peut mettre son propre modem/routeur, le réseau xDSL/FTTH ne l'interdit pas.
Chez SFR le firmware des NB4/NB6/NB6V peut facilement être téléchargé, n'est pas chiffré, et on peut reflasher une version modifiée.

Il y a habituellement plus de protections côté décodeur où il y a les flux TV à protéger (CAS/DRM, HDCP, ...).