La sécurité des box
Introduction
Les box sont arrivées sur le marché français en 2002, le premier opérateur à en commercialiser est Free qui sera suivi par Neuf Télécom (désormais propriété de Altice/SFR), par Orange avec sa Livebox et par Bouygues avec sa Bbox.
Dès les premières versions elle permettait un accès Triple Play (Internet, Téléphone, TV) incluant de base ou en option l’accès internet en Wi-Fi.
Désormais toutes les box incluent de base ces services exceptés pour certaines offres où la télévision reste en option. De nouvelles fonctionnalités ont fait leur apparition comme le stockage de données (NAS), le contrôle de la maison (Domotique) incluant des fonctionnalités d’alarmes.
La box est désormais le cœur de votre réseau domestique, elle fait l’interface entre le domaine public "Internet" et votre réseau local.
La sécurité de cet équipement n’est pas à négliger, il y a eu de nombreuses vulnérabilités ces dernières années qui nous exposent à des menaces de plus en plus nombreuses.
Nous verrons dans ce chapitre le fonctionnement de base d’une box, ses faiblesses, les bonnes pratiques à adopter ainsi que ce qui tourne à l’intérieur.
Les fonctionnalités d’une box
Routeur
Les box actuelles disposent toutes de la fonction routeur, qui est activée par défaut pour la majorité d’entre elles.
Ce mode permet de connecter plus d’un périphérique derrière votre box et permet également de renforcer la sécurité.
Dans cette configuration, la box s’occupe de router les communications entre vos ordinateurs, tablettes, smartphones et Internet. Pour cela, la box utilise le NAT (Network Address Translation). Ce mécanisme permet à plusieurs machines d’accéder à Internet avec une seule adresse IP publique.
Switch
Le switch permet de connecter en liaison filaire plusieurs machines.
Les box actuelles disposent de plusieurs ports Gigabyte, voire même d’un port 2,5 Gbits ou 10 Gbits pour les dernières versions, permettant d’obtenir des débits élevés.
Le switch travaille au niveau 2 du modèle OSI ; chaque paquet transmis comporte un en-tête qui contient les informations nécessaires à son acheminement telles que l’adresse IP de destination, l’adresse MAC...
Contrairement à un hub, le switch dispose d’une table d’adresses MAC qui lui permet d’envoyer les paquets vers le port du destinataire et non vers tous les ports du switch.
Téléphonie
Toutes les box disposent désormais d’un port RJ11 (FXS) qui permet de relier un téléphone classique à la ligne de téléphone par Internet (voix sur IP) de votre fournisseur d’accès.
Cela permet de disposer, pour la plupart des forfaits, des appels illimités vers les téléphones fixes et mobiles français et même vers l’étranger.
Selon les box, le protocole utilisé pour transmettre vos appels...
Les différentes box
Orange
Orange possède plusieurs modèles de box appelés Livebox, mais leur interface de gestion est quasiment identique grâce à une unification des firmwares.
Ils sont désormais conçus par une société créée par les groupes : Orange, Sagem, Thomson nommée Soft@thome.
La fonctionnalité voix sur IP d’Orange repose sur deux protocoles selon l’abonnement :
-
Le protocole H.323 (en extinction) pour les anciennes offres Pro.
-
Le protocole SIP pour les offres résidentielles et les nouveaux abonnements Pro.
Tous les modèles de Livebox supportent le Wi-Fi B/G, et N/AC pour les derniers modèles. Cela permet d’atteindre un débit théorique de 1 732 Mbit/s en 5 GHz, soit environ 600 Mbit en conditions réelles.
À partir de la Livebox 3 (Play), elle dispose désormais d’un switch Gigabyte permettant des échanges rapides sur le réseau local.
Sur le dernier modèle, la Livebox permet d’atteindre un débit descendant jusqu’à 2 Gbits (ce débit n’est atteignable qu’en utilisant plusieurs appareils filaires simultanément, celle-ci étant dépourvue de port Ethernet 2,5 Gbit/s ou 10 Gbit/s).
Les Livebox disposaient d’un réseau Wi-Fi communautaire qui permet aux abonnés Fixe et Mobile d’obtenir un accès Wi-Fi gratuit et illimité sous réserve d’être à proximité d’une Livebox ; ce réseau est, pour des raisons de sécurité, totalement isolé du réseau de l’abonné. Ce service a été arrêté le 1er août 2021.
Les firmwares des Livebox sont basés sur le système d’exploitation Linux...
La configuration des box
Le mode modem
Le mode modem, communément appelé "mode Bridge", permet de connecter un seul équipement à la box. Cela ne permet pas la connexion simultanée de plusieurs équipements.
Dans cette configuration, le périphérique connecté récupère directement l’adresse IP publique de la connexion de l’abonné. Tous les services exécutés sur le périphérique deviennent donc accessibles sur Internet, il n’y a aucun filtrage. Par exemple, si l’on connecte une machine avec des dossiers partagés non protégés par un mot de passe, ils deviennent accessibles sur Internet.
Même s’il est configuré par défaut sur certaines box, ce mode ne doit être utilisé que dans des cas bien spécifiques :
-
Pour l’hébergement d’un serveur accessible depuis Internet après l’avoir correctement sécurisé par un pare-feu et en veillant à maintenir le système à jour, notamment les mises à jour de sécurité.
-
Pour connecter un routeur qui se chargera d’effectuer le filtrage et le NAT pour permettre l’accès internet aux équipements connectés.
-
Pour héberger des services qui ne supportent pas le NAT (MGCP, VPN...).
Configuration du mode Bridge sur la Freebox :
Le mode routeur
Le mode routeur, actif sur la plupart des box par défaut, permet la connexion de plusieurs équipements.
Pour cela, la box partage la connexion internet grâce au NAT.
Dans ce mode, la box embarque un serveur DHCP qui permet d’attribuer aux différents équipements une adresse IP privée.
Lorsqu’une machine souhaite accéder à Internet, elle envoie sa requête à la box qui transfère...
La configuration par défaut, un danger
L’interface d’administration web
Auparavant accessible par défaut avec le couple admin/admin, cette interface est la clé de votre réseau local. Toute personne ayant un accès temporaire à votre réseau local câblé ou via un PC/smartphone connecté en Wi-Fi peut récupérer très rapidement votre clé WPA ou même permettre un accès à distance à votre box ou vers un périphérique local.
Il est possible de récupérer d’autres informations sensibles telles que vos identifiants de connexion, votre numéro de téléphone par Internet, l’historique des derniers appels, etc.
Il existe même des virus qui s’attaquent à la configuration de la box en modifiant certains paramètres tels que les serveurs DNS pour effectuer une attaque Man In The Middle, appelée MITM, qui permet entre autres de récupérer vos mots de passe. Depuis 2015-2016, les opérateurs ont pris conscience de cette vulnérabilité, les mots de passe sont désormais uniques. Ils sont généralement composés d’une partie de la clé WPA (Orange, SFR) ou celui-ci doit être initialisé à la première connexion (Free, Bouygues).
La première règle est de remplacer dès l’installation le mot de passe de l’interface d’administration de votre box par un mot de passe complexe, notamment si vous souhaitez activer l’accès distant.
L’interface d’administration d’une Livebox Play
2. Le Wi-Fi
Pour simplifier l’installation, les fournisseurs d’accès activent par défaut le Wi-Fi sur les box avec un type de chiffrement différent selon les modèles.
Par défaut...
Installation d’un firmware alternatif
Dans quel intérêt ?
Les box actuelles fournissent de plus en plus de services tels que l’hébergement de fichiers, le partage via Internet, la gestion du multimédia, les tunnels VPN, le téléchargement de fichiers, etc., mais certaines fonctions restent très limitées. Il n’est pas possible par exemple de créer plusieurs utilisateurs pour accéder au disque partagé avec des autorisations différentes par compte.
Pour les utilisateurs avancés, il est également intéressant de pouvoir régler des paramètres tels que la puissance d’émission du Wi-Fi afin de réduire la portée au minimum nécessaire ou, à l’inverse, d’augmenter la portée. Il est également possible de gérer le débit descendant de sa ligne afin d’augmenter le débit pour bénéficier du service TV par exemple ou, à l’inverse, limiter le débit pour stabiliser une ligne instable.
Il est également possible, selon le fournisseur d’accès, de personnaliser le service voix sur IP en intégrant par exemple un filtrage des appels par numéro, filtrer les appels en numéro masqué, voire établir un filtrage plus avancé en fonction de l’heure.
La personnalisation peut aussi permettre d’augmenter le niveau de sécurité en ne laissant actifs que les services nécessaires (désactivation du Telnet ou SSH, par exemple). Attention, la désactivation de ces services est sous votre responsabilité. En effet, les opérateurs refuseront généralement d’apporter un support aux utilisateurs de box modifiées.
Connexion au port console
Avant de se lancer dans la personnalisation...
La sécurité des firmwares officiels
Les failles de ces dernières années
-
2006 - Club Internet : l’opérateur fournit un utilitaire pour générer la clé par défaut du modem en rentrant le nom du réseau, ce qui permet à une personne malveillante l’accès à votre réseau en moins de 30 secondes.
-
2009 - Bouygues : Bouygues Telecom vient de sortir sa Box fabriquée par Thomson en gardant l’algorithme de génération des clés par défaut déjà cassé par Kevin Devine (http://www.hakim.ws/st585/KevinDevine/). Rapidement, un utilitaire sera disponible permettant de générer la clé par défaut depuis PC et smartphone.
-
2011 - Free : la Freebox possède une version de Samba vulnérable, ce qui permet à toute personne connectée au réseau d’accéder en tant que root au système d’exploitation de la box (http://dev.freebox.fr/bugs/task/4684).
-
2011 - Orange : la Livebox 2 Sagem possède une porte dérobée en Telnet. En plus d’un compte déjà connu, il y a un compte administrateur qui permet à n’importe quel utilisateur connecté sur le réseau de la box d’accéder à toute la configuration et même de récupérer des données sensibles telles que les identifiants de connexion (http://korben.info/livebox-2-unlocker.html).
-
2011 - Orange : la Livebox 2 ZTE permet un export de sa configuration sans authentification ; cette faille signalée à Orange sera corrigée avant d’être rendue publique.
-
2013 - Bouygues : plusieurs modèles de Bbox sont vulnérables aux attaques de force brute du code PIN WPS. Via l’outil reaver, il est possible de récupérer...
Reverse engineering de la Neufbox 5
Introduction
Dans cette partie, nous allons étudier le fonctionnement complet de la Neufbox 5 de SFR. Le choix s’est porté sur cet opérateur qui est le seul à tolérer la modification de ses box. Cette box était dédiée à l’offre Fibre optique (FTTH) de SFR, la connexion est possible via un module SPF ou via un ONT en Ethernet. Elle n’est désormais plus commercialisée.
La Neufbox 5 Fibre de SFR
Caractéristiques techniques
-
Modèle NB5-SER-r1 fabriqué par SERCOMM.
-
4 ports LAN offrant un débit de 1 Gbit/s.
-
2 ports WAN (1 SPF, 1 Ethernet supportant le PoE 802.3AF).
-
Wi-Fi N permettant un débit jusqu’à 300 Mbit.
-
2 ports USB 2.0.
-
128 Mo de RAM (Samsung K4T51163QG) cadencée à 333 MHz.
-
16 Mo de flash (Samsung K8Q2815UQP).
-
Processeur dual core Cavium Network CN5000F cadencé à 400 MHz.
-
Contrôleur Ethernet BCM5395SKFBG (LAN).
Recherche du port série
La recherche du port série, communément appelé UART, est nécessaire pour accéder au bootlog ainsi qu’à l’éventuelle invite de commandes du bootloader. Cela peut permettre de modifier la configuration de celui-ci, démarrer via le réseau, voire flasher un autre firmware. Il est composé de quatre pins : GND, RX, TX, VCC. Avec un adaptateur récent, seules les trois premières sont nécessaires.
La recherche peut s’effectuer juste avec un multimètre en position voltmètre DC.
Il est tout d’abord nécessaire de regarder l’aspect du PCB de la box afin d’identifier les éventuels connecteurs/points de contact pouvant correspondre au port série.
PCB Neufbox 5
En inspectant le PCB, nous constatons l’existence...