A noter que x0r a réalisé une analyse assez poussée de la partie SIP d'Orange.
Merci d'avoir mis le lien, c'est une très bonne initiative de sa part et l'article est intéressant.
Je remarque qu'en parallèle, il a commencé à coder et mettre en ligne une implèmentation en C sur son dépôt Bitbucket :
http://code.x0r.fr/siproxd_orange/srcJ'ai du mal a capter pourquoi ils ont tant sécurisé cette partie, par contre, ok c'est sensible (ca tape dans la facture), mais a ce point !?
Il y a eu des histoires de piratage de comptes SIP chez Free et Neuf, il y a quelques années. Tu peux facilement trouver des exemples sur différents sites d'actualité en ligne.
C'était une hypothèse comme une autre. Ce qui me fait penser ça est le cas de la SIP chez Free qui a été bridée suite à des détournements de ligne par des techniciens peu scrupuleux...
Par des techniciens ?
Je n'ai pas le niveau de x0r
Personnellement j'ai des connaissances en matière de rétro-ingénierie, si quelqu'un veut de l'aide il peut me contacter par MP.
et je ne suis pas capable d'aller faire un dump du firmware d'une LB pour finaliser le projet.
D'ailleurs, est-ce que quelqu'un ici serait capable de faire ça physiquement (essayer d'exploiter un port JTAG s'il y en a, ou dans le pire des cas dumper directement le contenu de la puce mémoire) ?
Par contre, si quelqu'un y arrive et publie l'algo, je veux bien me sortir les doigts et aller développer un plugin sur siproxd pour gérer les connexions SIP Orange, puis porter le plugin sur pfSense.
Comme je l'ai dit plus haut, ça a déjà été commencé :
http://code.x0r.fr/siproxd_orange/srcFaudrait peut être aussi aller voir s'il y a moyen de décompiler leur appli mobile pour y trouver des données sur le mécanisme d'authentification.
L'application mobile, ou bien la version Windows, comme l'a fait x0r. Sachant que la majeure partie du code de la version Android n'est pas sous forme de bytecode Java mais de langage machine ARM, la rétro-ingénierie de l'application mobile ne serait pas forcèment plus simple à effectuer.
Mais niveau légal je ne sais pas ce que ça donnerait... le droit à l'interopérabilité pourrait peut-être être applicable ?
Je ne suis pas juriste, mais je dirais qu'il y a de fortes chances.
Ça pourrait marcher.
L'article en question sur Legifrance (il a fait l'objet de quelques reformulations sur le site vers lequel tu as mis un lien) :
http://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006069414&idArticle=LEGIARTI000006278920Hmmm, j'y connais rien, mais en l'occurrence on achète un service pas un logiciel.
Pourquoi faudrait-il l'avoir acheté ?
Et tu peux être sur que les CGVs bétonnent ces points.
Les CGV sont-elles seulement supérieures à la loi dans le cas présent ?