Salut,

Je confirme que j'ai droit à la même blague, en DOCSIS… le "BPI (+)" qui était affiché avant a été remplacé pas « désactivé »…
BPI c'est du chiffrement entre le Cable Modem (CM) et Cable Modem Termination System (CMTS). Donc faut qu'il soit supporté/activé coté infra (CMTS). Et vu que son uspport est obligatoire donc les normes DOCSIS par trop vielles (déjà depuis un bon moment…), et que donc, par conséquent, il n'est pas désactivable coté « client » (aucun menu en ce sens dans la webUI d'admin), ça ne peut venir que du coté infra. Ça sert donc à rine de reset le modem câble et c'est attendu que ça ne réactive pas BPI(+).

SFR commence sérieusement a me fatiguer… à force d’accumulés les merdes

• Avoir complètement viré HTTPS du serveur web de la box (accès à l'interface web d’administration)
• Sous pretxet de « trop kpmolikay », avoir arjouter à la box et sans perrser une seule secondes aux implications niveau sécurité, une saloperie de tag NFC permettant au premier venu (n'importe quel invité avec un débilophone) se connecter au réseau WiFi comme bon lui semble, sans accord du propriétaire de la ligne
• pas désactivable depuis la web UI. aucun menu en rapport avec le tag NCF
• par défaut sur le réseau WiFi 2.5 Ghz
• « basculable » sur le réseau invité uniquement depuis un écran HDMI branché sur la box (menu via la télécommande) mais pas « dasctivable » (enregistrer dans tag NFC une valeur vide, ou whatever, ne permettant d’accéder à rier du tout.
• Avoir complètement cassé le menu de consentement RGPD pour du tracking publicitaire de me***, là encore, pas accessible depuis la web UI, uniquement le menu de la télécommande… Encore faut-il être adepte de télé et penser à fouiller les menus, surtout après des mises à jours et des changements de box

Ils ont désactivé le BPI(+), génial… C'est quoi la prochaine étape ? Foutre un parefeu entre les clients et internet en blocant le port 443 ? Je trouve à peine…

Sans compter toutes les merdes du genre WPs, ou encore UPnP actives par défaut, alors que chacune apporte son lot de problème de sécurité, et que c'est très loin d'être indispensables au fonctionnement du service… Ce qui justifie amplement le choix de désactiver par défaut en considérant que si quelqu'un veut les utiliser, à cette personne de les activer, de préférence en connaissance de cause…

Ça m'étonnerai que SFR en ait quelque chose à secouer, vu comment cette bande de bras cassés réagissent aux incidents causant des chutes de débits monstrueuses rendant l'accès Internet souvent purement et simplement inutilisable (sinon au moins beaucoup trop lent)… C'est à dire prrendre les gens pour dess cons, laisser le problème empirer en faisant semblant d'apporter une solution… Promettre une intervention ou prétendre avoir agi et corrigé le problème, alors que ça dure depuis des mois (et même depuis 2 ans à moindre fréquence). Et se cacher derrière « faut un délai de 48 heures pour que la correction du problème se voit »…

1. Probablement actif par défaut, mais inaccessible/message d’erreur hors contexte) la dernière fois que j'ai vérifié après l'install d'une nouvelle box en décembre 2022… D’ailleurs, lors de l'install, ce menu n'est pas présenté… donc pour ce qui est de vérifier les valeurs par défauts et les changer si nécéssaire, c'est de la responsabilité de l'utilisateur, très loin du consentement libre et *éclairé*…

Plop

Certes un certificat a une durée de vie limitée et en effet y a un certif constructeur dans la chaîne de certification. Mais rien n'empêche de renouveler un certif expiré… Les specs de BPI+ parlent de clé public du CA Root stockée sur la mémoire (évidemment non-volatile) du modem. Pas du certif stocké dans une ROM :insert troll face here: Techniquement le CMTS envoie toute la chaîne de certification, la clé publique (à renouveler le cas échéant) stockée sur le modem devrait suffit à vérifier toute la chaîne

Et généralement ça se renouvelle *avant* expiration, pas après. Avant c'est à dire en prévoyant une marge épaté à la situation. (quand il a trouzemilles clients qui doivent avoir la nouvelle clé publique du CA root sur leurs modem, et si ça prend par exemple 2 mois (simple exemple) de le déployer pour les n clients, commencer la compagne de renouvellement plus 2 mois avant la date d'expiration histoire de se laisser de la marge en cas où Murphy s'en mêle)

Je ne vois aucune bonne raison de désactiver le chiffrement si c'est juste une histoire de certif qui va bientôt expirer. Une mise à jour pour envoyer le nouvelle clé publique du certif Root EuroDOCSIS et c'est réglé…

Quelqu’un qui fait une conneries dans la conf quelque part c'est plus probable. ET je ne dit que c'est forcément la seule possibilité/la raison pour la quelle SFR a actuellement désactivé le chiffrement. Je dis juste que c'est probable.

Ou alors, le certif a déjà expiré et quelqu’un est en panique et a trouvé que c’était une bonne idée de désactiver le chiffrement pour pas que ça gueule et que refuse de se connecter… Mais c'est étrange qu'ils l'auraient par renouvelé depuis tout ce temps… Sachant que ce n'est pas tellement différent d'un certif TLS dans le principe¹.

Je n'ai jamais pu voir les métadonnées dudit certif dans l'interface admin du modem SFR et donc qui est la CA Root pour pouvoir creuser, (Un certif étant par définition public, c'est complètement stupide de cacher ces infos mais bon… ) Mais
- À priori il n'existe que 2 CA Root pour DOCSIS². Un pour « le vrai » DOCSIS (Implem utilisée en Amérique du Nord) et un pour EuroDOCSIS (implem' utilisée en Europe). Les 2 utilisant des certifs/clés publiques différentes, entre autres.
- Le certif Root, si c'est comme pour TLS, peut être payant, et les CA en profitent le facturer un max (des sommes complètement délirante) si le client est une entreprise, car en théorie sursigner leurs certifs TLS c'est leurs vendre une « assurance » (intervention rapide si le certif ne fonctionne pas comme prévu)… Faut voir si le même délire est appliqué pour let certifs (Euro)DOCSIS

Si SFR raque pour avoir chaine de certif EuroDOCSIS valide sur ses modems, y a peut-être un génie de financier chez SFR qui a décidé de « faire des économies » sur ça, allez savoir… Sachant que dans les specs de (Euro)DOCSIS, depuis un certain temps déjà (à priori depuis au moins (Euro)DOCSIS 1.1³), BPI(+) est requis, pas optionnel…


1,2,3 : https://www.excentis.com/system/files/resources/eurodocsis.bpireq_v7.pdf

   Serial Number (hex): 074fdb70923ce84534cc8a4fa3d3dcc5
   Issuer: CN=Euro-DOCSIS Cable Modem Root CA,OU=Cable Modems,O=tComLabs - Euro-DOCSIS,C=BE
   Validity:
      Not Before: Thu Jan 17 00:00:00 UTC 2002
      Not After: Sun Jan 16 23:59:59 UTC 2022
   Subject: CN=Askey Cable Modem Root Certificate Authority,OU=10F No119\, Chien-Kang Rd.\, Chung-Ho\, Taipei Hsien 235 TW R.O.C.,OU=Euro-DOCSIS,O=Askey,C=TW


Fin 2017, c'était un certificat signé par cette CA qui servait au BPI sur le SagemCom F@st 3686.
Expiration 16/01/2022, est-ce l'explication ?

La CA raçine expirera en 2031, cela approche rapidement ...
   Serial Number (hex): 634b5963790e810f3b5445b3714cf12c
   Issuer: CN=Euro-DOCSIS Cable Modem Root CA,OU=Cable Modems,O=tComLabs - Euro-DOCSIS,C=BE
   Validity:
      Not Before: Fri Sep 21 00:00:00 UTC 2001
      Not After: Sat Sep 20 23:59:59 UTC 2031
   Subject: CN=Euro-DOCSIS Cable Modem Root CA,OU=Cable Modems,O=tComLabs - Euro-DOCSIS,C=BE


J'ai extrait les CA root DOCSIS ici si vous souhaitez jouer.

Heureusement que notre fournisseur nous a fournit des nouveaux certifs

Les changements de certs passent par un fichier de config ou il faut flasher un nouveau firmware ?
Si c'est le second cas, je comprends que SFR n'ait pas envie de lancer cette opération.