La Fibre
Fournisseurs d'accès à Internet fixe en France métropolitaine => SFR / RED => 
Incidents câble => Discussion démarrée par: Beuleuleu le 31 janvier 2022 à 10:43:06
-
Bonjour,
Un soucis de sécurité depuis environ le 15 Janvier, qui concerne aussi d'autres clients que moi (forum sfr et red plusieurs témoignages).
La sécurité BPI+ est désactivée, quelque soit le modem (dans mon cas un sagemf@st 3686), et faire un reset ne change rien.
Cela vient donc du réseau et pas des modems (d'ailleurs il n'y pas eu de changement de firmware).
Pouvez-vous voir si SFR a conscience du problème ?
Merci
-
Salut,
Je confirme que j'ai droit à la même blague, en DOCSIS… le "BPI (+)" qui était affiché avant a été remplacé pas « désactivé »…
BPI c'est du chiffrement entre le Cable Modem (CM) et Cable Modem Termination System (CMTS). Donc faut qu'il soit supporté/activé coté infra (CMTS). Et vu que son uspport est obligatoire donc les normes DOCSIS par trop vielles (déjà depuis un bon moment…), et que donc, par conséquent, il n'est pas désactivable coté « client » (aucun menu en ce sens dans la webUI d'admin), ça ne peut venir que du coté infra. Ça sert donc à rine de reset le modem câble et c'est attendu que ça ne réactive pas BPI(+).
SFR commence sérieusement a me fatiguer… à force d’accumulés les merdes
- Avoir complètement viré HTTPS du serveur web de la box (accès à l'interface web d’administration)
- Sous pretxet de « trop kpmolikay », avoir arjouter à la box et sans perrser une seule secondes aux implications niveau sécurité, une saloperie de tag NFC permettant au premier venu (n'importe quel invité avec un débilophone) se connecter au réseau WiFi comme bon lui semble, sans accord du propriétaire de la ligne
- pas désactivable depuis la web UI. aucun menu en rapport avec le tag NCF
- par défaut sur le réseau WiFi 2.5 Ghz
- « basculable » sur le réseau invité uniquement depuis un écran HDMI branché sur la box (menu via la télécommande) mais pas « dasctivable » (enregistrer dans tag NFC une valeur vide, ou whatever, ne permettant d’accéder à rier du tout.
- Avoir complètement cassé le menu de consentement RGPD pour du tracking publicitaire de me***, là encore, pas accessible depuis la web UI, uniquement le menu de la télécommande… Encore faut-il être adepte de télé et penser à fouiller les menus, surtout après des mises à jours et des changements de box
Ils ont désactivé le BPI(+), génial… C'est quoi la prochaine étape ? Foutre un parefeu entre les clients et internet en blocant le port 443 ? Je trouve à peine…
Sans compter toutes les merdes du genre WPs, ou encore UPnP actives par défaut, alors que chacune apporte son lot de problème de sécurité, et que c'est très loin d'être indispensables au fonctionnement du service… Ce qui justifie amplement le choix de désactiver par défaut en considérant que si quelqu'un veut les utiliser, à cette personne de les activer, de préférence en connaissance de cause…
Ça m'étonnerai que SFR en ait quelque chose à secouer, vu comment cette bande de bras cassés réagissent aux incidents causant des chutes de débits monstrueuses rendant l'accès Internet souvent purement et simplement inutilisable (sinon au moins beaucoup trop lent)… C'est à dire prrendre les gens pour dess cons, laisser le problème empirer en faisant semblant d'apporter une solution… Promettre une intervention ou prétendre avoir agi et corrigé le problème, alors que ça dure depuis des mois (et même depuis 2 ans à moindre fréquence). Et se cacher derrière « faut un délai de 48 heures pour que la correction du problème se voit »…
1. Probablement actif par défaut, mais inaccessible/message d’erreur hors contexte) la dernière fois que j'ai vérifié après l'install d'une nouvelle box en décembre 2022… D’ailleurs, lors de l'install, ce menu n'est pas présenté… donc pour ce qui est de vérifier les valeurs par défauts et les changer si nécéssaire, c'est de la responsabilité de l'utilisateur, très loin du consentement libre et *éclairé*…
-
Je confirme que j'ai droit à la même blague, en DOCSIS… le "BPI (+)" qui était affiché avant a été remplacé pas « désactivé »…
BPI c'est du chiffrement entre le Cable Modem 4CM) et Cable Modem Termination System (CMTS). Donc faut qu'il soit supporté/activé coté infra (CMTS). Et vu que son uspport est obligatoire donc les normes DOCSIS par trop vielles (déjà depuis un bon moment…), et que donc, par conséquent, il n'est pas désactivable coté « client » (aucun menu en ce sens dans la webUI d'admin), ça ne peut venir que du coté infra. Ça sert donc à rine de reset le modem câble et c'est attendu que ça ne réactive pas BPI(+).
C'est étonnant en effet qu'SFR-NC supprime le chiffrement, alors que ça coute rien en soi.
Je sais que dans les fichiers DOCSIS, il faut injecter le certificat du constructeur, et que les certifs sont donnés à 10 ans max. Peut-être anticipent-ils le non-renouvellement de ces certificats là ?
C'était d'ailleurs une de mes frayeurs du 1er janvier 2022 : de vieux modems qui tombent sans raison. Certif expiré. ::)
-
Plop
Certes un certificat a une durée de vie limitée et en effet y a un certif constructeur dans la chaîne de certification. Mais rien n'empêche de renouveler un certif expiré… Les specs de BPI+ parlent de clé public du CA Root stockée sur la mémoire (évidemment non-volatile) du modem. Pas du certif stocké dans une ROM :insert troll face here: Techniquement le CMTS envoie toute la chaîne de certification, la clé publique (à renouveler le cas échéant) stockée sur le modem devrait suffit à vérifier toute la chaîne
Et généralement ça se renouvelle *avant* expiration, pas après. Avant c'est à dire en prévoyant une marge épaté à la situation. (quand il a trouzemilles clients qui doivent avoir la nouvelle clé publique du CA root sur leurs modem, et si ça prend par exemple 2 mois (simple exemple) de le déployer pour les n clients, commencer la compagne de renouvellement plus 2 mois avant la date d'expiration histoire de se laisser de la marge en cas où Murphy s'en mêle)
Je ne vois aucune bonne raison de désactiver le chiffrement si c'est juste une histoire de certif qui va bientôt expirer. Une mise à jour pour envoyer le nouvelle clé publique du certif Root EuroDOCSIS et c'est réglé…
Quelqu’un qui fait une conneries dans la conf quelque part c'est plus probable. ET je ne dit que c'est forcément la seule possibilité/la raison pour la quelle SFR a actuellement désactivé le chiffrement. Je dis juste que c'est probable.
Ou alors, le certif a déjà expiré et quelqu’un est en panique et a trouvé que c’était une bonne idée de désactiver le chiffrement pour pas que ça gueule et que refuse de se connecter… Mais c'est étrange qu'ils l'auraient par renouvelé depuis tout ce temps… Sachant que ce n'est pas tellement différent d'un certif TLS dans le principe¹.
Je n'ai jamais pu voir les métadonnées dudit certif dans l'interface admin du modem SFR et donc qui est la CA Root pour pouvoir creuser, (Un certif étant par définition public, c'est complètement stupide de cacher ces infos mais bon… ) Mais
- À priori il n'existe que 2 CA Root pour DOCSIS². Un pour « le vrai » DOCSIS (Implem utilisée en Amérique du Nord) et un pour EuroDOCSIS (implem' utilisée en Europe). Les 2 utilisant des certifs/clés publiques différentes, entre autres.
- Le certif Root, si c'est comme pour TLS, peut être payant, et les CA en profitent le facturer un max (des sommes complètement délirante) si le client est une entreprise, car en théorie sursigner leurs certifs TLS c'est leurs vendre une « assurance » (intervention rapide si le certif ne fonctionne pas comme prévu)… Faut voir si le même délire est appliqué pour let certifs (Euro)DOCSIS
Si SFR raque pour avoir chaine de certif EuroDOCSIS valide sur ses modems, y a peut-être un génie de financier chez SFR qui a décidé de « faire des économies » sur ça, allez savoir… Sachant que dans les specs de (Euro)DOCSIS, depuis un certain temps déjà (à priori depuis au moins (Euro)DOCSIS 1.1³), BPI(+) est requis, pas optionnel…
1,2,3 : https://www.excentis.com/system/files/resources/eurodocsis.bpireq_v7.pdf
-
C'est étonnant en effet qu'SFR-NC supprime le chiffrement, alors que ça coute rien en soi.
La seule fois où j'ai vue BPI activé chez Numericable, c'était sur une liaison Sewan (https://lafibre.info/sewan/sewan-sur-reseau-cable/).
Après, tous les CPE sondés étaient dans à proximité de Marseille. Peut être que c'est different ailleurs?
-
En 2016, j'ai souvenir que BPI+ n'était pas activé chez moi.
En 2019, il était activé :
(https://lafibre.info/images/altice_cable/201910_sfr_sagem_laboxv3b_voisin.png)
En 2020, il était activé :
(https://lafibre.info/images/altice_cable/202005_sfr_sagem_fast3284dc.png)
En 2022, il était désactivé :
(https://lafibre.info/images/altice_cable/202203_modem_red_fast3284dc_14.png)
-
Également désactivé sur du NC ;)
-
Serial Number (hex): 074fdb70923ce84534cc8a4fa3d3dcc5
Issuer: CN=Euro-DOCSIS Cable Modem Root CA,OU=Cable Modems,O=tComLabs - Euro-DOCSIS,C=BE
Validity:
Not Before: Thu Jan 17 00:00:00 UTC 2002
Not After: Sun Jan 16 23:59:59 UTC 2022
Subject: CN=Askey Cable Modem Root Certificate Authority,OU=10F No119\, Chien-Kang Rd.\, Chung-Ho\, Taipei Hsien 235 TW R.O.C.,OU=Euro-DOCSIS,O=Askey,C=TW
Fin 2017, c'était un certificat signé par cette CA qui servait au BPI sur le SagemCom F@st 3686.
Expiration 16/01/2022, est-ce l'explication ?
La CA raçine expirera en 2031, cela approche rapidement ...
Serial Number (hex): 634b5963790e810f3b5445b3714cf12c
Issuer: CN=Euro-DOCSIS Cable Modem Root CA,OU=Cable Modems,O=tComLabs - Euro-DOCSIS,C=BE
Validity:
Not Before: Fri Sep 21 00:00:00 UTC 2001
Not After: Sat Sep 20 23:59:59 UTC 2031
Subject: CN=Euro-DOCSIS Cable Modem Root CA,OU=Cable Modems,O=tComLabs - Euro-DOCSIS,C=BE
J'ai extrait les CA root DOCSIS ici (https://github.com/sectigo/CTLogs-AcceptedRoots/pull/40) si vous souhaitez jouer.
-
Fin 2017, c'était un certificat signé par cette CA qui servait au BPI sur le SagemCom F@st 3686.
Expiration 16/01/2022, est-ce l'explication ?
Oui.
J'ai légèrement paniqué quand bcp de modems d'un même modèle commencaient à tomber d'un coup :-[
Heureusement que notre fournisseur nous a fournit des nouveaux certifs :)
-
Heureusement que notre fournisseur nous a fournit des nouveaux certifs :)
Les changements de certs passent par un fichier de config ou il faut flasher un nouveau firmware ?
Si c'est le second cas, je comprends que SFR n'ait pas envie de lancer cette opération.
-
Fichier de config.
-
C'est le fichier de config qui fixe les débits, fichier de config récupéré a chaque boot via un téléchargement TFTP ?
Modem câble RED au Mée-sur-Seine (77): Sécurité désactivé
(https://lafibre.info/images/altice_cable/202204_red_cable_config_modem_fast3284dc.png)
-
Bonjour,
Sécurité toujours désactivée...
-
Toujours désactivé chez moi aussi… Un renouvellement de certifs ne prend pas plusieurs mois avec coupure du chiffrement, on s'y prend à l'avance.
Donc soit ils sont vraiment très très très mauvais pour gérer le cycle de vie de leurs certifs soit un génie a pour une raison inconnue trouvé que c’était une bonne idée de désactiver le chiffrement…
Soit quelqu’un la désactivé « par inadvertance » et ils sont même pas courant de l'avoir fait… SI quelqu'un sait (de source sure) pour c'est désactivé, la « raison » m'intéresse, par curiosité….
-
Il faut raisonner comme Free sur de nombreux sujets : SFR a il l'obligation d'activer la sécurité / chiffrement des données sur le média ?
Si la réponse est non, on peut penser que cela va rester comme ça.
-
Sachant que
- comme tu dois le savoir, DOCSIS fonctionne broadcast, dont sans chiffrement, à condition d'avoir un routeur DOCSIS qu'on peut contrôler¹ (y installer ce qu'on veut, genre un tcpdump compilé pour), on peut écouter le trafic des autres abonnés.
- légalement, les entreprises ont l'obligation de mettre en place des mécanismes de sécurité quand il s'agit de données personnelles²
- de mémoire, il me semble dans les specs de DOCSIS, la partie chiffrement est devenue obligatoire dans quelques versions de DOCSIS majeures. (SFR en est encore à la 3.0, mais le chiffrement date d'avant, d’ailleurs c’était actif chez SFR avant début 2022)
J'aurai tendance à dire qu'ils sont quand mêmes obligés de laisser le chiffrement actif. Maintenant, entre les bonnes pratiques, leurs obligations et ce qu'ils font…
1. Et je ne me risquerai pas à affirmer que se procurer un tel routeur soit totalement impossible.
2. Une donnée perso n'étant pas que le nom est prénom, mais n'importe quelle donnée pouvant permettre d'identifier quelqu’un de façon directe ou indirecte. Et il un paquet d'infos plus ou moins directement identifiantes peut être déduits en connaissant l'usage d'Internet des gens, même sans accéder au payload parce que https
-
- comme tu dois le savoir, DOCSIS fonctionne broadcast, dont sans chiffrement, à condition d'avoir un routeur DOCSIS qu'on peut contrôler¹ (y installer ce qu'on veut, genre un tcpdump compilé pour), on peut écouter le trafic des autres abonnés.
Une carte d"acquisition DVB-C suffit.
La partie logiciel est dans pom-ng (https://wiki.packet-o-matic.org/pom-ng/docsis/docsis).
-
Je viens de voir qu'en effet cette sécurité est désactivée chez moi, voilà, je suis supposé faire quoi ? et pas non plus d'https dans l'interface web ...
-
Je viens de voir qu'en effet cette sécurité est désactivée chez moi, voilà, je suis supposé faire quoi ?
Rien :)
-
Rien :)
Ca mérite peut être des explications, non ? Car c'est quand même l'objet de ce topic, et donc si la sécurité est devenue le dernier soucis de SFR/Red depuis quelque temps ou même avant, la question est de l'intérêt de rester chez eux ou pas, sachant que je paye 15 € depuis 5 ans
-
Ca mérite peut être des explications, non ? Car c'est quand même l'objet de ce topic, et donc si la sécurité est devenue le dernier soucis de SFR/Red depuis quelque temps ou même avant, la question est de l'intérêt de rester chez eux ou pas, sachant que je paye 15 € depuis 5 ans
C'est le contrôle de l'opérateur cet aspect, s'il veut chiffrer les communications ou non. Vous ne pouvez rien y faire.
Et effectivement, dans le monde du câble, il y a des certificats dans les boxs, qui expirent fatalement à un moment.
L'un des moyens est de faire sauter le chiffrement pour que les vieilleries continuent à fonctionner dans le réseau.
-
C'est le contrôle de l'opérateur cet aspect, s'il veut chiffrer les communications ou non. Vous ne pouvez rien y faire.
Et effectivement, dans le monde du câble, il y a des certificats dans les boxs, qui expirent fatalement à un moment.
L'un des moyens est de faire sauter le chiffrement pour que les vieilleries continuent à fonctionner dans le réseau.
Mais je ne suis pas sûr de comprendre, ça veut dire que le trafic de mon navigateur internet n'est plus crypté malgré que j'ai le cadenas ?
-
"Grâce" à quelques démonstrations grand publique d'interception et détournement de compte sur des réseaux WiFi Open, une grosse partie du Web est passé en HTTPS.
Le flux de donné entre ton navigateur et le serveur distant est chiffré.
Il y a néanmoins quelque métadonnées qui fuitent en clair.
-
Le trafic chiffré dans les hautes couches applicatives (genre HTTPS) restera chiffré.
Par contre, vu que la couche basse ne sera plus chiffrée, tout le trafic au-dessus qui n'est pas chiffré par une application, sera effectivement en clair.
Et vu que c'est du broadcast, suffira d'écouter :)
-
OK mais alors il reste quoi à se balader en clair, quel genre de données ?
-
OK mais alors il reste quoi à se balader en clair, quel genre de données ?
Bah y a toujours des trucs croustillants que tu n'as pas envie que tes voisins voient, notamment dans le trafic DNS.
J'ai pas envie que lafibre.info sache que je suis un passionné de BDSM, pris par d'irréstibiles envies d'être foueté par Maitresse Sophie, avec son superbe site que je consulte 12 fois par jour tellement les photos sont pleines de mystères qu'il faut découvrir.
...
Vous comprenez pourquoi le chiffrement est important désormais ? :)
-
Bah y a toujours des trucs croustillants que tu n'as pas envie que tes voisins voient, notamment dans le trafic DNS.
J'ai pas envie que lafibre.info sache que je suis un passionné de BDSM, pris par d'irréstibiles envies d'être foueté par Maitresse Sophie, avec son superbe site que je consulte 12 fois par jour tellement les photos sont pleines de mystères qu'il faut découvrir.
...
Vous comprenez pourquoi le chiffrement est important désormais ? :)
Je vous ai répondu mais je ne vois pas ce post donc de mémoire je disais que se pose la question de savoir si ce risque de vol de données est possible en connaissant mon adresse IP seulement, ou faut il avoir un accès au réseau entre chez moi et l'armoire ou sur l'armoire ? Tout est là non ? Et ensuite est ce que DNScrypt peut représenter une parade ?