Messages récents

Pages: 1 2 3 4 5 6 [7] 8 9 10
61
Free Actus Free / Compromission de données chez Free en 2024
« Dernier message par lgom le Hier à 12:06:53 »
Avis de ma banque ce Lundi 13/07 pour un nouveau prélèvement SEPA à partir du 21/07 récursif avec mon IBAN.
Un abonnement avec pour créancier un établissement espagnol.
Bien sûr pas d'abonnement pris, encore moins chez un établissement ibérique: Donc blocage dans l'heure du code créancier après de la banque. Évidemment, pas contacté le créancier, car pas connu.

Mercredi 15/07, je reçois un mail annonçant un "renouvellement abonnement Prime, la période d'essai étant terminée"... Avec mon IBAN et la bonne somme, et en titre "Facture"
J'ai effectivement un abonnement "Prime", mais...
Primo: Mail pas en provenance d'Amazon, mais d'un site "folklo", Deuzio: Ma période d'essai Prime s'est terminée il y "quelques années" et Tertio: mon abonnement prime est sur une carte bancaire...

Le piège du mail est dans "gentil bouton" placé au bon milieu du message pour "gérer mon abonnement". Le passage de la souris dessus indique que le lien doit emmener sur un site contrefait.
Donc une cochonnerie!
Mon IBAN utilisé 2 fois en quelques jours; le double effet kiss-pas-cool 2 ans après la fuite de données.

En passant, les mails des expéditeurs seraient affichés partout (je pense aux smartphones, je sais y'a pas beaucoup de place), cela fournirait déjà un premier niveau d'information qui pourrait mettre la puce à l'oreille d'une victime potentielle...
Je suis à 2 doigts de penser que la fuite est vendue, revendue et re-revendue par morceaux de moins en moins coûteux, et que l'on n'est pas sorti de l'auberge!
Pas que je sois devenu parano, mais j'aurais tendance désormais à tirer d'abord, et discuter ensuite...  ;) ::)

À moins que vous parveniez à invoquer le Symbol, spécialiste, sur ce sujet, je vous recommande de lui transmettre votre intervention sur le topic banque d'HFR (saintbol). Il y répondra avec plaisir ;)


COncernant la fuite de Free, comme pour beaucoup d'autres (celle de byg), évidemment elle a été revendue dès les premiers jours, puis en un an son tarif a baissé à force de passer de mains en mains (pour avoir pu les consulter par un tiers). Avec ces deux là, identifier le proprio d'un numéro, c'est quoi, une chance sur trois? Juste pas les clients orange/SFR, mais free 20M de clients fixe/mobile... Faut prendre ses précautions, les fuites de données : faudra vivre avec, c'est comme les escroqueries au faux banquier. La sélection naturelle fera le reste.
62
@jeannot

Interroger une IA peut éventuellement aider. Tu verras que ce n'est pas compliqué de réaliser une capture réseau simplifiée avec OPNSense.
Il faudra ensuite analyser la réponse du serveur Orange.

Hyperlien : Manuel OPNSense : diagnostique d'interface

Le point de vue peut varier selon le niveau de connaissances. Beaucoup de sujets sont difficiles à aborder à cause de la complexité apparente.
63
Free Actus Free / Compromission de données chez Free en 2024
« Dernier message par fansat70 le Hier à 11:21:28 »
Avis de ma banque ce Lundi 13/07 pour un nouveau prélèvement SEPA à partir du 21/07 récursif avec mon IBAN.
Un abonnement avec pour créancier un établissement espagnol.
Bien sûr pas d'abonnement pris, encore moins chez un établissement ibérique: Donc blocage dans l'heure du code créancier après de la banque. Évidemment, pas contacté le créancier, car pas connu.

Mercredi 15/07, je reçois un mail annonçant un "renouvellement abonnement Prime, la période d'essai étant terminée"... Avec mon IBAN et la bonne somme, et en titre "Facture"
J'ai effectivement un abonnement "Prime", mais...
Primo: Mail pas en provenance d'Amazon, mais d'un site "folklo", Deuzio: Ma période d'essai Prime s'est terminée il y "quelques années" et Tertio: mon abonnement prime est sur une carte bancaire...

Le piège du mail est dans "gentil bouton" placé au bon milieu du message pour "gérer mon abonnement". Le passage de la souris dessus indique que le lien doit emmener sur un site contrefait.
Donc une cochonnerie!
Mon IBAN utilisé 2 fois en quelques jours; le double effet kiss-pas-cool 2 ans après la fuite de données.

En passant, les mails des expéditeurs seraient affichés partout (je pense aux smartphones, je sais y'a pas beaucoup de place), cela fournirait déjà un premier niveau d'information qui pourrait mettre la puce à l'oreille d'une victime potentielle...
Je suis à 2 doigts de penser que la fuite est vendue, revendue et re-revendue par morceaux de moins en moins coûteux, et que l'on n'est pas sorti de l'auberge!
Pas que je sois devenu parano, mais j'aurais tendance désormais à tirer d'abord, et discuter ensuite...  ;) ::)
 
64
Orange fibre Remplacer la LiveBox par un routeur / Crash ONU SFP+ WAS-110 aléatoire
« Dernier message par zoc le Hier à 11:06:03 »
Je n’arrive pas à surveiller la température qui monte à +80C…
Si je dois mettre du fan cooling ça devient une usine à gaz

Je suis passé de 70° à 40° rien qu'en utilisant un petit ventilo alimenté en USB...

Et aucun crash de mon coté depuis 3 mois.
65
Free Actus Free / Compromission de données chez Free en 2024
« Dernier message par Couize le Hier à 10:20:40 »
@alain_p

Sur le site "haveibeenpwned.com" même constat, c'est bien à cause de Free !
Il y a peu/pas de site qui affiche ton IBAN comme le fait Free dans notre espace abonné ! Le type qui arrive à pirater ton espace abonné peut même afficher et imprimer un mandat SEPA qu'il pourrait modifier ! ("Afficher votre mandat SEPA") Est ce vraiment utile d'afficher ça dans l'espace abonné, c'est pas vraiment sécure !?  :-\

 ;)

66
Orange fibre Remplacer la LiveBox par un routeur / Crash ONU SFP+ WAS-110 aléatoire
« Dernier message par Lucy-Han le Hier à 10:19:44 »
@JiPay

"Les valeurs changeaient dans winbox ?" Il me semble que oui mais je n'en suis pas certain, je serai plus attentif "la prochaine fois". Pourquoi cette question ? Cela change les causes du problème ?
67
reseau IPv6 / Baromètre IPv6 Arcep 2026
« Dernier message par vivien le Hier à 08:47:57 »
Extrait du Post #88 (Juillet 2026)

UNE VIDÉO DES ÉCHOS (AVEC UN ARCEPIEN DEDANS) VULGARISE LA TRANSITION VERS IPV6

La chaîne YouTube du journal Les Echos s’est spécialisée dans la vulgarisation de sujets économiques variés, et le format qu’elle a développé rencontre désormais un certain succès sur la toile. Une des dernières vidéos en date : le marché de reventes d’adresses IP qui s’est opportunément développé en réaction à l’épuisement en 2019 des adresses IPv4 (le protocole commun adopté jusque-là pour l’adressage). La vidéo s’appuie notamment sur l’expertise de Vivien Guéant, spécialiste du sujet à l’Arcep, qui rappelle les raisons techniques de cette pénurie et l’action de l’Arcep pour accélérer la transition des opérateurs vers le protocole IPv6. Ce nouveau protocole permet en effet de passer d’un stock de 4,3 milliards d’adresses IP à une quasi-infinité. Une transition complète nécessite des efforts de développement mais permettrait de résoudre définitivement la pénurie d’adresses et de simplifier la gestion technique de l’internet. L’Arcep produit chaque année un « Baromètre de la transition IPv6 » mesurant la progression de l’écosystème en France et ailleurs dans le monde et dont la prochaine édition sera publiée dans les prochains jours !


68
reseau IPv6 / Baromètre IPv6 Arcep 2026
« Dernier message par vivien le Hier à 08:47:37 »
3.3.3/ Fonctionnement du 464XLAT

Le 464XLAT consiste à introduire le CLAT (partie cliente du NAT) dans le système d’exploitation du client, pour que les applications disposent en apparence d’une adresse IPv4 privée fonctionnelle alors que le terminal n’est connecté qu’à un réseau IPv6-only.

Les IPv4 utilisées côté smartphone appartiennent généralement à la petite plage 192.0.0.0/29, ce sont les mêmes IP pour chaque terminal. Le CLAT va traduire algorithmiquement les IPv4 en IPv6 pour le flux sortant, comme le ferait le DNS64 en utilisant le préfixe réservé 64:ff9b::/96 ou un autre préfixe découvert via une requête DNS vers un nom de domaine particulier : « ipv4only.arpa » (voir RFC 8683). Dans tous les cas, les 32 derniers bits sont les 32 bits de l’adresse du site en IPv4.

Côté opérateur, c’est le PLAT, la plateforme NAT64, qui récupère l’IPv4 de destination dans l’IPv6 destination qu’il a reçue, afin de former l’IPv4 destination, envoyé sur l’internet IPv4.






3.3.4/ Différence entre l’IPv4 publique du DNS64 et celle du 464XLAT sous Android

De nombreux mobiles Android utilisent une IPv6 source pour le CLAT différente de l’IPv6 source utilisée pour les flux qui partent directement sur internet. La plateforme NAT64 de l’opérateur va attribuer une adresse IPv4 source différente aux flux provenant de deux IPv6 source distinctes. Il en résulte que l’IPv4 source utilisée par le NAT64 pour un même mobile est différente si la requête est réalisée via le DNS64 ou via le CLAT.
69
reseau IPv6 / Baromètre IPv6 Arcep 2026
« Dernier message par vivien le Hier à 08:46:58 »
Annexe 3.3/ Réseau mobile : les solutions de translation pour fournir une connectivité IPv4 derrière un mobile connecté à un réseau IPv6 only (IPv4 as a Service)


Bouygues Telecom et Orange proposent par défaut à leurs clients mobiles un accès à internet en IPv6 sans proposer d’accès natif IPv4, ce qui nécessite d’utiliser un mécanisme pour accéder aux ressources de l’internet disponibles uniquement en IPv4. Free et SFR proposent un réseau double pile avec une IPv4 privée derrière un Carrier-grade NAT et un préfixe IPv6 d’une taille /64.

Les deux technologies présentées ci-dessous sont complémentaires :
• DNS64 + NAT64 permet de convertir un flux qui utilise le DNS d’IPv4 vers IPv6 ;
• 464XLAT permet de gérer les cas dans lesquels un flux ne fait pas de requête DNS (IPv4 littérale).

Un terminal qui ne gère pas 464XLAT (cas de certaines box 4G) n’aura pas de connectivité IPv4 complète. À l’inverse, il est possible de se passer d’un DNS64 et de faire uniquement du 464XLAT (avec pour avantage de permettre au client de faire du DNSSEC, mais pour inconvénient de rajouter une latence imperceptible, et d’avoir potentiellement un impact sur la batterie d’alimentation de l’appareil).




3.3.1/ Le couple DNS64+NAT64 : une solution pour accéder en IPv6 côté client à un site hébergé en IPv4-only

Comme une partie importante d’internet est encore accessible uniquement en IPv4, Bouygues Telecom et Orange proposent un DNS64 : le résolveur DNS n’envoie pas une adresse IPv4 pour les sites hébergés en IPv4-only, mais une IPv6 spéciale : c’est une IPv6 qui pointe vers une plateforme NAT64, placée sur le réseau de l’opérateur. La plateforme NAT64 permet de faire communiquer la pile réseau IPv6 du client avec internet IPv4. La plateforme NAT64 fait une traduction d’adresse classique (NAT), mais en remplaçant l’IPv4 privée par une adresse IPv6.

DNS64 : Encapsulation de l’adresse destination IPv4 dans l’adresse IPv6

Le DNS64 génère une IPv6 construite à partir du préfixe réservé 64:ff9b::/96. Les 32 derniers bits de l’IPv6 créé sont les 32 bits de l’adresse du site en IPv4. La plateforme NAT64 sur le réseau de l’opérateur récupère l’IPv4 de destination dans l’IPv6 destination qu’il a reçu. L’opérateur sait alors créer une traduction NAT à la volée vers l’IPv4 de destination, et envoyer le paquet sur l’internet IPv4.


3.3.2/ Certains usages ne fonctionnent pas avec le DNS64 : naissance du 464XLAT

Certaines applications et services peuvent ne pas fonctionner côté client avec une IPv6. C’est par exemple le cas quand une application utilise une IPv4 littérale (exemple : 87.65.43.21) au lieu d’utiliser des noms DNS qui seraient résolus par le DNS64. Par exemple une application peer-to-peer a de fortes chances d’utiliser une IPv4 littérale à la place d’un nom de domaine. On se retrouve également en IPv4 quand une application ne fait pas appel au DNS64 proposé par le système d’exploitation, mais utilise son propre résolveur DNS qui n’est pas DNS64 (exemple : Certains terminaux n’utilisent pas le serveur DNS proposé par l’opérateur, mais le DNS 8.8.8.8 de Google). Enfin certains opérateurs, ne proposent pas de DNS64.

Historiquement, le 464XLAT est né de développeurs équipés de Nokia N900 qui ont cherché à utiliser le service IPv6-only proposé par T-Mobile aux USA. Plusieurs applications ne fonctionnaient pas, malgré la présence d’un DNS64 et d’un NAT64 chez l’opérateur. Ces développeurs ont commencé à expérimenter la traduction locale d’IPv4 en IPv6 sur le smartphone Nokia N900 en août 2010. Cela a permis à diverses applications de fonctionner correctement sur des réseaux IPv6-only qui, autrement, nécessiteraient IPv4. Cette même idée et ce même code ont ensuite été portés sur Android et intégrés au projet Android Open Source* en novembre 2012. Cela a donné naissance à la RFC6877**, publiée en avril 2013.


* Soumission du logiciel nécessaire pour le CLAT au projet Android Open Source.

** RFC 6877 : « 464XLAT: Combination of Stateful and Stateless Translation ».

Le 464XLAT est intégré à partir d’Android 4.3 Jellybean, sortie en juillet 2013. Pour le partage de connexion IPv6 lorsqu’il n’y a qu’un seul préfixe d’une taille /64 délégué au combiné, il a fallu attendre la RFC7278*, publiée en juin 2014 et son intégration à Android à partir de 5.1 Lollipop sortie en mars 2015.

* RFC 7278 : « Extending an IPv6 /64 Prefix from a Third Generation Partnership Project Mobile Interface to a LAN Link ».

Apple de son côté privilégiait une approche sans CLAT, forçant les développeurs à utiliser des API compatibles IPv6, et Apple a imposé avec iOS 9 que toutes les applications soumises à l'App Store supportent les réseaux IPv6-only*, forçant les développeurs à utiliser des API compatibles IPv6 (comme NSURLSession). Toutefois, si les applications devaient être compatibles IPv6, ce n’était pas systématiquement le cas pour le contenu web.

* Diapositives Apple WWDC15 Transition vers des réseaux exclusivement IPv6.

En 2018, Apple a finalement intégré le support du CLAT avec iOS 12.0 pour assurer une compatibilité avec les applications qui utilisent encore des adresses IPv4 « en dur », facilitant ainsi la transition vers des réseaux mobiles IPv6-only. En France métropolitaine, Bouygues Telecom a basculé tous les iPhone équipés d'iOS 12.2 en IPv6 only. Pour Orange, cela fut en place avec iOS 13.0 pour les iPhone 7 ou plus récent et iOS 15.4 pour les iPhone 6S et SE. Free et SFR proposent de l’IPv6 double pile.
70
reseau IPv6 / Baromètre IPv6 Arcep 2026
« Dernier message par vivien le Hier à 08:46:33 »
Annexe 3.2/ Réseau fixe : Les solutions pour fournir une connectivité IPv4 derrière une box connectée à un réseau IPv6-only (IPv4 as a Service)

Avec les technologies IPv4 as a service, le réseau transporte de l’IPv6 pur (il n’y a plus de paquets IPv4 sur le réseau de transport) tout en permettant d’accéder aux services en IPv4.

TechnologieType de mécanismeRFCÉtat dans le
réseau opérateur
Localisation du
NAT44 / NAPT
Usage Typique
DS-LiteEncapsulation 4‑en‑6 + CGNRFC 6333StatefulCarrier-grade NAT dans
le cœur de réseau
En France : Orange sur le fixe
Lightweight 4over6Encapsulation 4‑en‑6 + A+PRFC 7596État par abonnéBox internetÉvolution de DS-Lite
MAP-EEncapsulation 4‑en‑6 statelessRFC 7597StatelessBox internetEn France : Free sur le fixe
MAP-TDouble traduction 4‑6‑4 statelessRFC 7599StatelessBox internetEn France : Bouygues Telecom sur le fixe
4rdEncapsulation ou traduction statelessRFC 7600StatelessBox internetProtocole historique, moins déployé

Voici le descriptif de ces technologies utilisées par les fournisseurs d’accès à internet pour un réseau fixe, avec des box déployées chez les clients.

3.2.1/ DS-Lite (Dual-Stack Lite)

Le DS-Lite ne demande pas de fonctions complexes dans la box internet. Cette dernière prend tout le trafic IPv4 local, l’encapsule dans de l’IPv6 et l’envoie à un Carrier-grade NAT chez l’opérateur. Le Carrier-grade NAT doit maintenir l’état de chaque connexion IPv4 TCP / UDP de chaque abonné (un NAT44 classique est réalisé).
• Avantage : Compatibilité avec un très grand nombre de box.
• Inconvénients : Le Carrier-grade NAT dans le réseau est très gourmand en ressources (obligation de garder des journaux) et est un point unique de défaillance. Le Carrier-grade NAT bloque la possibilité d’ouvrir les flux entrants IPv4 non sollicités pour permettre un auto-hébergement IPv4. Le passage par la plateforme qui héberge le Carrier-grade NAT peut, dans certaines architectures, rajouter de la latence. Enfin, un en-tête IPv6 de 40 octets est ajouté à chaque paquet IPv4.


3.2.2/ Lightweight 4over6 (lw4o6)

Le Lightweight 4over6 garde l’architecture DS-Lite (tunnel IPv4 dans IPv6), mais on déplace la fonction NAT du cœur de réseau vers la box chez le client. Le routeur central ne fait plus que du routage de tunnels (stateless ou semi-stateless), il n’a plus besoin de suivre chaque connexion TCP. L’opérateur dit explicitement à chaque box : « Toi, tu as l’IP X et la plage de ports Y ».
• Cas d’usage : Idéal pour migrer une infrastructure DS-Lite existante vers quelque chose de plus léger, en réutilisant en grande partie l’architecture existante.
• Inconvénients : Le mapping (IP et ports) n’est pas algorithmique, mais provisionné. Un en-tête IPv6 de 40 octets est ajouté à chaque paquet IPv4.


3.2.3/ MAP-E (Mapping of Address and Port with Encapsulation)

Dans MAP-E, comme pour lw4o6, le NAT est sur la box du client. Mais ici, le cœur de réseau est totalement stateless. Il n’y a pas de table de correspondance chez l'opérateur. L’adresse IPv6 de la box contient mathématiquement (via un algorithme) l’adresse IPv4 et la plage de ports. Le routeur de bordure calcule simplement où envoyer le paquet en lisant l’adresse IP.
• Avantages : Stateless. Passage à l’échelle infinie (pas de mémoire requise côté opérateur par utilisateur). Très robuste. Deux abonnés peuvent échanger en IPv4 sans passer par un élément central. Permet d’ouvrir les flux entrants IPv4 non sollicités sur la plage de ports attribuée à la box, pour permettre un auto-hébergement IPv4 (en plus de IPv6 pour lequel tous les ports sont disponibles).
• Inconvénient : Un en-tête IPv6 de 40 octets est ajouté à chaque paquet IPv4.


3.2.4/ MAP-T (Mapping of Address and Port using Translation)

MAP-T est identique à MAP-E, sauf pour l’encapsulation qui est remplacée par une traduction : Au lieu d’enfermer le paquet IPv4 dans un paquet IPv6 (ce qui ajoute 40 octets), MAP-T remplace l'en-tête IPv4 par un en-tête IPv6 (NAT46). Le routeur de bordure re-traduit en IPv4 vers Internet (NAT64).
• Avantages : Identiques à MAP-E, avec en plus l’absence de double en-tête IP pour les paquets IPv4.
• Inconvénients : Perte de certaines informations de l’en-tête IPv4 original (checksums à recalculer, options IPv4 perdues, ce qui peut compliquer le traitement de certains champs tel que la fragmentation, géré différemment dans l’en-tête IPv6). C’est techniquement plus complexe à implémenter correctement pour ne rien casser.


3.2.5/ 4rd (IPv4 Residual Deployment)

4rd était une technologie expérimentale, créée par un ingénieur français Rémi Després, qui a été déployé essentiellement par le fournisseur d’accès à internet français Free. Les concepts de 4rd ont essentiellement été absorbés et finalisés avec MAP-E et MAP-T. Il n’y a plus de nouveaux déploiements de 4rd et Free a basculé son infrastructure réseau sur MAP-E.
Pages: 1 2 3 4 5 6 [7] 8 9 10