Le blog de Genma
Vous êtes ici : Accueil » Informatique & Internet » Freebox et Free le F.A.I. » Ma confiance dans la Freebox

Ma confiance dans la Freebox

D 29 mars 2016     H 09:00     A Genma     C 5 messages   Logo Tipee

TAGS : Free, Freebox, Freemobile

Au détour d’un commentaire, on m’a posé la question suivante : quelle est la confiance que je peux avoir dans la Freebox vu que je n’ai pas accès au code source et que c’est donc une boîte fermée...

La Freebox repose sur du logiciel libre (GNU/Linux). Le matériel est et reste la propriété de Free, une partie des codes sources des patchs appliqués est disponible en ligne ici Freebox Free/Libre and Open Source Software. De même que je n’ai pas été analysé ligne à ligne le code source de tous les logiciels que j’utilise sur ma distribution Ubuntu, de même que je n’ai pas vérifié mes différents PC puce par puce, j’ai une confiance relative dans Free. J’y suis bien obligé, d’une certaine façon.

Je pourrais utiliser un fournisseur d’accès associatif, membre de la Fédération FDN, mais j’utilise BEAUCOUP de fonctionnalités fournies avec ma Freebox V6. J’utilise la fonction NAS pour y mettre des données/documents perosnnels mais non confidentielles que je veux partager sur mon réseau privé... Et tout un tas d’autres fonctionnalités que j’ai pu évoqué à travers différents billets sur ce blog.

Bref, j’ai fait mon choix, j’ai confiance en Free (qui connait, entre autre, certains des sites vers lesquels je surfe, vu qu’il m’arrive de surfer sans passer par Tor, en utilisant les DNS de Free fournit par défaut par exemple).

Mais cette question de confiance me titillait depuis un moment et je me suis demandé Comment aller un peu plus loin dans la validation de cette confiance relative ?

Pour ce faire, j’ai donc lancé le logiciel Zenmap (une couche graphique à Nmap) sur un PC connecté à Internet via la connexion 4G du réseau Freemobile. J’ai fait un scan complet de tous les ports de l’adresse IP publique de la Freebox. Et j’ai ensuite comparé le résultat à ceux que me fournit l’interface d’administration de la Freebox, appelée Freebox OS.

Bilan : aucune mauvaise surprise. Seuls les ports que j’ai choisi d’ouvrir et de rediriger dans l’interface d’administration de la Freebox sont ouverts. Aucun port d’ouvert dont je n’aurais connaissance. Ce test depuis l’extérieur m’a permis de valider ce qui était exposé à Internet sur mon adresse IP publique, me permettant de réfléchir à des moyens de sécurisation (rappel j’autohéberge certains services pour un usage personnel).

Ceci ne m’étonne guère car je ne suis certainement pas le premier geek à faire ce type de test et manipulation (FreeBox 6... et la sécurité ? pour ne citer que ce billet) je voulais avant tout tester un scan Nmap complet sur une adresse sur laquelle j’ai une relative maitrise. Je l’ai fait pour être sûr que je n’ai pas fait d’erreur dans les ports ouverts et la configuration da ma Freebox. Ainsi que voir la version de l’OS supposée Nmap, les différents routeurs par lesquels je suis passé et autres informations intéressantes du même type.

Les plus paranoïaques me feront une remarque sur le fait que j’ai fait le test depuis le réseau Freemobile, qu’il ne faut pas avoir confiance dans une boîte fermée basée du sur logiciel et matériel fermé etc. ou autre argument. Comme dit plus haut, une Freebox, c’est tout aussi fermé que l’est le PC sur lequel je rédige ce billet. Personnellement, j’ai pour principe de chiffrer ce que je souhaite garder confidentiel un certain temps (car si on le veut vraiment, on finira par décrypter, ce n’est qu’une question de temps). Ce que je ne souhaite pas voir dévoiler de façon publique un jour, je le garde pour moi et n’en mets aucune trace en version informatisée.

5 Messages

  • Vérifier les ports ouverts n’est en rien un gage de sécurité ou de confidentialité, d’autant plus qu’il est facile de pister votre navigation via les requêtes DNS. Nos chers F.A.I. ayant l’obligation légale de conserver nos données de connexion pendant 3 ans théoriques (et sûrement plus dans la réalité - qui ira vérifier ?), il est clair qu’il n’y a aucune confidentialité réelle possible aujourd’hui, ni en France, ni en Chine...
    De mon côté, j’ai mis un firewall sous GNU/Linux derrière la box, avec DNS et DHCP en prime. La box ne fait donc office que de modem simple, et même là, la sécurité et la confidentialité restent relatives. Un simple tcpdump leur permettrait sans problème de scruter mon trafic, mais ça leur demande plus de moyens techniques, donc ça leur casse les pieds ! En outre, je ne vois pas de quel droit ces enfoirés se permettent de scruter la structure interne de mon réseau, comme on l’observe de plus en plus dans les interfaces graphiques de nos box internet. Cela ne les regarde pas. Ils n’ont pas à savoir ce qui se trouve derrière la box. Point barre.
    On peut ensuite utiliser une machine passerelle à l’étranger, et faire un VPN entre vous et elle. Mais là encore, transférer vos clés VPN via SSH n’est pas un gage de sécurité absolue non plus (attaques MIM possibles).
    Vous l’aurez compris : il n’y aucune confiance à avoir avec un prestataire français ou étranger. Et le fait d’avoir un code source partiel de la box ne signifie en rien que le contenu réel de cette dernière respecte ce même code source. Notre grand ami google a bien vérolé le noyau Linux pour faire son android. Tant que vous n’avez l’accès root, et le droit légitime de foutre en l’air votre terminal à coup de mauvaises manipulations, vous n’êtes pas maître de votre matériel, juste un esclave de plus à qui des dealers louent leur boîte noire respective.
    Et ça vaut pour les box comme pour les OS privateurs de liberté : il est temps de cesser la niaiserie, et il n’y a rien de paranoïaque ou d’extrémistes à dénoncer clairement ces procédés de voyous qui consistent à contrôler nos appareils à coup de "fait moi confiance"... Snowden n’a fait que prouver ce que tout le monde sait depuis longtemps !


  • Récemment (27/03/2016), j’ai eu a faire une analyse avec wireshark de ce qui se "trame" sur mon réseau pendant une phase de connexion sur ma freebox (v6). Et j’ai été assez surpris de voir qu’en se connectant sur http://mafreebox.free.fr on a des contacts avec un outils du nom de piwik donc on peut déduire que free fait des stats sur l’utilisation de l’interface embarquée. Tous ce que je raconte ici est de mémoire mais faites le test...


  • J’ai trouvé !!! à la connexion sur l’interface nous avons une connexion vers : https://statsweb.proxad.net/piwik.js qui peut être bloqué avec un simple ublock origin. Mais bon ça veut dire que ça blablate à l’exterieur...

    Après on ne trouve rien concernant piwik dans les mentions légal, mais bon il n’est pas installé sur la box, il renvoi des informations a son propriétaire.

    C’est l’avantage de louer un truc dont on est pas admin, on subit les desiderata du propriétaire. Du coup, je me demande ce quel peut bien raconter d’autre...


  • "J’ai fait un scan complet de tous les ports de l’adresse IP publique de la Freebox. Et j’ai ensuite comparé le résultat à ceux que me fournit l’interface d’administration de la Freebox, appelée Freebox OS.

    Bilan : aucune mauvaise surprise. Seuls les ports que j’ai choisi d’ouvrir et de rediriger dans l’interface d’administration de la Freebox sont ouverts."

    Euh, il est facile de n’ouvrir des ports qu’à certaines adresses IP.

    Donc que Free ne laisse ouvert aux adresses IP quelconques que celles que l’on a décidé d’ouvrir, c’est la base car sinon leur firewall et son paramétrage ne serait qu’une farce.

    Ensuite, rien ne leur empêche d’ouvrir tout pleins de ports pour les adresses de leurs serveurs...

    Je dis ça, je dis rien.


  • Peut-on configurer PureVPN sur feebox ?