Je pense à kgersen et à nivek.

Il n'a jamais été dit qu'il y aurait une protection contre les rejeu, ce sont de pures suppositions.

Des quelques allégations de Hugues, c'est la plus crédible : avant même l'ajout des champs salt et MD5, juste avant le champ user, nous configurons tous nos clients DHCP pour envoyer 11 octets 0x00. Ces 11 octets 0x00 correspondent aux champs de replay detection de la RFC3118 (RD protocol, RD algorithm, RD method, RD value). En d'autres termes : la crédiblité de l'activation d'une protection contre le replay PRÉCÈDE de plusieurs mois (années ?) l'arrivée de ce champ MD5. Spécifiquement, je m'attends à ce que la Livebox se mette un jour à envoyer un timestamp au milieu de ces octets 0x00.

Et quand bien même, un patch de 3 lignes dans dhclient et c'est réglé.

Entièrement d'accord sur le principe (peut-être un peu plus que trois lignes mais je pinaille). Mais c'est plus facile à dire pour ceux d'entre nous qui avons des facilités pour personnaliser ce qui tourne sur nos équipements. Typiquement, pour une box Linux/BSD qui fait routeur, c'est très accessible. Mais beaucoup ici utilisent des routeurs plus génériques qui sont plus configurables qu'une Livebox mais moins souple qu'une box Linux/BSD.

On est d'accord que l'idéal serait du DHCP "pur".

Tout à fait. Ou sinon, une IP fixe, ça me va aussi, je ne suis pas difficile.

Je critique simplement le fait que certains tirent des plans sur le comète en partant du principe qu'Orange fait la chasse aux routeurs alternatifs, et je doute franchement que ça soit le cas (ça serait se prendre la tête pour une poignée abonnés).

Je ne pense pas non plus que les routeurs alternatifs soient la cible principale ; par contre, ils ne sont clairement qu'un à-côté dispensable, un détail, un vœu pieu face à la masse de LiveBox et aux roadmaps techniques internes. Je suppose également que le management Orange est réfractaire à publier des indications qui laisseraient à penser que le support Orange doive un jour fournir une assistance pour autre chose que la sacro-sainte Livebox (parce que ça compliquerait les choses, ça ferait baisser les stats de satisfaction de la hotline, etc.).

T'entends quoi par usages anormaux ?

Je suis en phase,

cependant, attention, j'ai remarqué un truc en testant chez moi.

La box génère un challenge unique à chaque reboot mais le réutilise  ensuite pour la demande initiale mais également les refresh vers le serveur DHCP de mon edge router (en conf avec la box orange en DMZ).
Le challenge démarre actuellement systématiquement avec un compteur à 0 et je ne l'ai jamais vu s'incrèmenter pour le moment .
J'ai pu récupérer (via test avec le DHCP serveur et reboot auto en boucle de la box) quelques dizaines de token unique prêt à l'emploi.

Je pense que ceux-ci seront valables pour deux raisons:
- La livebox ne possède pas de batterie ou pile pour maintenir la clock interne , elle ne peut donc pas utiliser de timestamp à proprement parler dans la mesure qu'a chaque reboot cela part à zéro;
- La box ne sauvegarde pas aujourd'hui les baux entre deux reboot, cela n'est pas déconnant dans la mesure où cela pourrait générer des problèmes en cas de changements d'infra ou autre chez orange entre deux reboot;

La suite est de voir si il y a du changement dans la réponse officielle du serveur DHCP orange.Pour le moment ( avec les traces pcap en fond) rien n'a changé, pas d'incrèmentation sur les réponses.

Bah challenge toujours identique = pas une Livebox au bout, ce qui ne veut pas dire que ça entraînera un quelconque blocage.

Je ne pense pas non plus que les routeurs alternatifs soient la cible principale

J'en suis moins sur : Quel serait l'intérêt de complexifier cette procédure sinon ? Le protocole actuel (login + hash du password dans l'option 90 en statique) est largement suffisante. C'est pas solide certes (encore qu'ils pourraient utiliser un protocole de hash plus robuste), mais ça ne l'est pas davantage en PPP.

Je ne suis pas fan de la méthode Hugues  ( "moi je sais des choses que vous savez pas, na na na") , mais il est logique que si il y a eu des changements, c'est pas pour rien, d'autant plus que les autres opérateurs n'ont pas ce genre de procédures.

Le mode bride a existé il y a très longtemps dans les livebox, il a été retiré. Pareil pour la possibilité de changer les DNS (et ce n'est que petite partie de ce qui est possible sur un routeur du commerce). Certes il y a un problème de maintenance / hotline / légal , mais à mon avis Orange va tout faire pour imposer ses livebox:

J'ai eu au téléphone des commerciaux d'OBS qui m'ont parlé de leurs "nouvelles" offres FTTH en marque blanche (Optimum ou un truc comme ça (*)) , et la réponse à ma question a été très très claire : C'est UNIQUEMENT des livebox, sans logo. Mais on sera limité aux livebox & leurs options. Quand je leur ai dit que moi je souhaitait placer mon propre matériel, ils ont immédiatement parlé d'offres plus importantes, genre FTTH collecté sur des portes CELAN (et là c'est plus du tout le même prix mensuel).

=> Donc à mon sens il y a une raison : Une certaine segmentation commerciale, avec en fond l'idée de ne "pas trop" laisser de possibilités aux offres les moins chères, de peur que les presta ouvrent des lignes FTTH (ou VDSL2) et placent leur offres par-dessus, avec des routeurs capable de faire du multiwan ou de la 4G pour éviter de prendre des liens avec GTR.

Surtout quand on prends en compte le fait que dans beaucoup de zones géographiques, pour avoir du VDSL2 ou du FTTH c'est Orange ou rien, les commerciaux d'OBS ne se sont pas gêné pour le rappeler (Ou SFR parfois, mais bon.... SFR quoi).

Je ne serais pas non plus étonné qu'Orange mette en place un "programme de certification" avec des routeurs tiers (payant pour les constructeurs) qui donneraient accès à ces derniers aux binaires d'Orange pour l'authentification, avec des contraintes sur les fonctionnalités (voire une redevance unitaire). Ce qui impliquerais, de fait, de garder secret l'algo pour éviter de le retrouver sous OpenWRT ou pfsense (pas mal utilisé chez les prestataires).

Ca se faisait , avant, pour les modems analogique même si c'était plutôt à l'époque pour la partie lien physique.

La collecte et notamment l'auth est en pleine refonte. Et a l'échelle d'Orange et du nombre de ses abonnés c'est pas juste un dhcp dans un coin. Mais non, ce n'est pas pour empêcher les routeurs tiers. Oui ça complique les choses, mais c'est pas non plus ouf. Perso j'ai beaucoup plus de soucis avec le dhcpv6 d'online que celui d'Orange par exemple.

Et est-ce qu'il y a besoin d'envoyer plus ? De ce que j'ai pu voir il n'y a pas encore besoin de plus que le fti et la chaine statique. Pas même le pass, même si les livebox l'envoient. Et si demain il faut envoyer le pass encodé avec un random a la xkcd, ben c'est pas bien compliqué.

Effectivement, si ça reste comme c'est , ou similaire, alors oui OSEF.

(Et je suis d'accord avec la config de l'IPv6 par Free - j'ai jamais réussi à diffuser leur /60 dans mon LAN via la fbx crystal).

Vous flippez tous sur le replay detection, et ok, je comprends. Mais rien ne dit que ça sera activé un jour. Et quand bien même ça serait activé, vu qu'ici en dhcp c'est le client qui envoie le secret, ben c'est pas bien solide comme mesure non plus.

En fait ce sont les changements non documentés et non rfc-compliant, le problème, parce qu'a ce moment ça implique d'intervenir en urgence, et encore ce coup-là on avait de la chance, des gens ici ont réussi à trouver avant les modifs à faire.

(Ensuite, si c'est pas bien solide comme tu le dis, on se demande bien à quoi ça sert de le mettre en place. Est-ce que c'est pour éviter que des gens se connectent sur un arbre gpon sans abo en piquant le login fti/ du voisin ...? Mais dans ce cas, le problème est sur l'ONT, il me semble.... et ce problème doit déjà exister en ADSL / VDSL actuellement)

Si Orange avait réellement voulu bloquer les routeurs tiers il y aurait eu un tunnel ipsec vers les serveurs d'auth par exemple. Comme ce que peut faire free entre player et server pour la tv...

Mhhh dans ce cas il faudrait que la clé privée + certif client soit bien planqué dans le firmware. Mais oui, c'est certain.