C'est du droit, donc c'est éminemment subjectif, donc oui j'essaie de voir la question sous le meilleur angle de vue pour faire avancer le schmilblick ... après il faudrait regarder de plus près la jurisprudence pour avoir une idée de là où on met les pieds. Et au final, en cas de procès, c'est justement la capacité de l'avocat à faire rentrer le truc dans la case qui t'arranges, et la réceptivité du juge à son argumentaire qui fait la différence. Y'a qu'à regarder les minutes de l'appel du procès de Bluetouff pour voir qu'en la matière on est pas à l'abri d'une bonne surprise (ou pas) ... même si je pense aussi que le juge sera plus sensible sur la forme à l'argumentation de l'avocat d'une honorable société comme Orange, plutôt qu'à celui d'une bande de geeks mal endimanchés pour l'occasion.

Après, le gars qui fait un reverse est pas obligé de publier sous son nom réel ou même sous un pseudo dans un forum susceptible d'être soumis à une commission rogatoire ... il peut aussi droper ça anonymement sur pastebin après 1 ou 2 rebonds proxy, et abracadabra.

Mais effectivement, j'en conviens, ça fait pas avancer le sujet ...

A noter que x0r a réalisé une analyse assez poussée de la partie SIP d'Orange.

Merci d'avoir mis le lien, c'est une très bonne initiative de sa part et l'article est intéressant.

Je remarque qu'en parallèle, il a commencé à coder et mettre en ligne une implèmentation en C sur son dépôt Bitbucket : http://code.x0r.fr/siproxd_orange/src

J'ai du mal a capter pourquoi ils ont tant sécurisé cette partie, par contre, ok c'est sensible (ca tape dans la facture), mais a ce point !?

Il y a eu des histoires de piratage de comptes SIP chez Free et Neuf, il y a quelques années. Tu peux facilement trouver des exemples sur différents sites d'actualité en ligne.

C'était une hypothèse comme une autre. Ce qui me fait penser ça est le cas de la SIP chez Free qui a été bridée suite à des détournements de ligne par des techniciens peu scrupuleux...

Par des techniciens ?

Je n'ai pas le niveau de x0r

Personnellement j'ai des connaissances en matière de rétro-ingénierie, si quelqu'un veut de l'aide il peut me contacter par MP.

et je ne suis pas capable d'aller faire un dump du firmware d'une LB pour finaliser le projet.

D'ailleurs, est-ce que quelqu'un ici serait capable de faire ça physiquement (essayer d'exploiter un port JTAG s'il y en a, ou dans le pire des cas dumper directement le contenu de la puce mémoire) ?

Par contre, si quelqu'un y arrive et publie l'algo, je veux bien me sortir les doigts et aller développer un plugin sur siproxd pour gérer les connexions SIP Orange, puis porter le plugin sur pfSense.

Comme je l'ai dit plus haut, ça a déjà été commencé : http://code.x0r.fr/siproxd_orange/src

Faudrait peut être aussi aller voir s'il y a moyen de décompiler leur appli mobile pour y trouver des données sur le mécanisme d'authentification.

L'application mobile, ou bien la version Windows, comme l'a fait x0r. Sachant que la majeure partie du code de la version Android n'est pas sous forme de bytecode Java mais de langage machine ARM, la rétro-ingénierie de l'application mobile ne serait pas forcèment plus simple à effectuer.

Mais niveau légal je ne sais pas ce que ça donnerait... le droit à l'interopérabilité pourrait peut-être être applicable ?

Je ne suis pas juriste, mais je dirais qu'il y a de fortes chances.

Ça pourrait marcher.

L'article en question sur Legifrance (il a fait l'objet de quelques reformulations sur le site vers lequel tu as mis un lien) : http://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006069414&idArticle=LEGIARTI000006278920

Hmmm, j'y connais rien, mais en l'occurrence on achète un service pas un logiciel.

Pourquoi faudrait-il l'avoir acheté ?

Et tu peux être sur que les CGVs bétonnent ces points.

Les CGV sont-elles seulement supérieures à la loi dans le cas présent ?

Sinon, j'ai pris le temps de lire les articles de x0f.

Si j'ai bien compris, il a réussi l'authentification ? Et son proxy semble marcher pour les appels sortants, mais pas entrants, c'est quasi fini en fait ?

Le livephone semble fonctionner différemment de la livebox play, je me trompe ? j'ai pas l'impression d'avoir vu les echanges décrits dans les captures faites depuis la LB, mais je peux me tromper.

Ok, je ne "conteste" plus le point légal, j'avais mal compris.

Coté technique :

J'avais tiqué, quand on m'a demandé de tester le livephone, de pouvoir me logguer au SIP avec un compte "mail".

Via cette couche d'authentification, on a donc accès a la ligne SIP... et la difficulté résidait dans les "bidouilles" d'orange dans les RFC d'ou le patch de sipproxy.

J'ai bon ?

Je dois pouvoir mettre sipproxy assez facilement sur l'ubiquiti, a tester.

Merci.

Bon ca va faire un tuto en plus, je vais voir si je peux aider x0r, on va commencer par tester son mod

Common (et les autres)

Si tu te lance dans l'histoire, j'aimerais que tu consulte vivien d'abord.
Il faut voir avec lui si il est d'accord ou pas pour partir sur cette voie.

Il peut potentiellement avoir des ennuis avec orange par la suite, avec d'identification des personnes impliqués et menaces de poursuites (c'est déjà arrivé pour un document diffusé ici)

Donc avant de continuer dans le domaine demande (demandez?) lui!