Free à la pointe - Freebox HD - Page 4

ExtendeD
:

Pollux
:

Flanker :
et ça ne risque pas de gêner un peu les gens de devoir partager leur bande passante avec des inconnus? et point de vue sécurité ?

Peut-être qu'il faut tout simplement taper le mot de passe wifi sur le téléphone ?

Donc je trouve le mot de passe d'un abonné Free, et j'ai le portable gratos (même s'ils autorisent qu'une seule connexion à la fois avec le même login, c'est pas une grosse contrainte).

Ben, oui, mais en quoi c'est plus choquant que d'avoir juste internet gratos ?

Je me demande comment Free (puis plus tard Neuf) vont se protéger des attaques au phising, comme évoqué dans ce topic du forum de FON (des points d'accès se faisant passer pour des Free/Neuf-Box et écoutant l'authentification).

Oui, s'il n'y avait pas de mot de passe ce serait un gros gros problème, donc ça confirme l'hypothèse selon laquelle il y aurait un mot de passe... (et je crois que WEP et WPA ne sont pas vulnérables à ce genre d'attaque, nan ? de toute façon c'est trivial à éviter, donc ça m'étonnerait qu'ils se soient gêné)

Moumou :
Ben il existe tout un tas de méthodes cryptographiques pour éviter une attaque de ce type.

Concrètement ?

Pollux
: Ben, oui, mais en quoi c'est plus choquant que d'avoir juste internet gratos ?

En étant pas abonné Free ! (je vol pas la connexion Internet de mon voisin là ) quoique je pourrais, il a l'air d'avoir son routeur Wifi un peu à l'air là.

Pollux
: Oui, s'il n'y avait pas de mot de passe ce serait un gros gros problème, donc ça confirme l'hypothèse selon laquelle il y aurait un mot de passe...

Ca n'empêche pas de mettre en place des points d'accès bidon qui se font passer pour des Box réelles.

Pollux
et je crois que WEP et WPA ne sont pas vulnérables à ce genre d'attaque, nan ?

Pas quand on a la main sur le point d'accès

Et rien n'empêche d'installer sur des Box des sniffers de traffic s'il n'est pas encrypté (je doute que les téléphones Wifi le fasse).

ExtendeD :
Ca n'empêche pas de mettre en place des points d'accès bidon qui se font passer pour des Box réelles.

Pas si le mot de passe ne dépend pas du portable, mais de la box, ce qui serait nettement plus logique. Contrairement à ton exemple où un login/pass marche partout.

Et puis de toute façon, free étant l'unique distributeur des freebox, il peut leur délivrer à chacune un certificat numérique. Ainsi il serait impossible de construire un faux point d'accès.

ExtendeD
:

Moumou :
Ben il existe tout un tas de méthodes cryptographiques pour éviter une attaque de ce type.

Concrètement ?

Avec un cryptage tout bête... (i.e. tu ne peux te faire comprendre que si tu chiffres avec la bonne clé) Comme le dit Moumou, étant donné que la box connaît elle aussi le mot de passe on n'a même pas besoin de truc style challenge/response

Pollux
: Ben, oui, mais en quoi c'est plus choquant que d'avoir juste internet gratos ?

En étant pas abonné Free ! (je vol pas la connexion Internet de mon voisin là ) quoique je pourrais, il a l'air d'avoir son routeur Wifi un peu à l'air là.

Ben oui, mais quelle est la différence entre la voip et internet de ce point de vue-là ?

Pollux
: Oui, s'il n'y avait pas de mot de passe ce serait un gros gros problème, donc ça confirme l'hypothèse selon laquelle il y aurait un mot de passe...

Ca n'empêche pas de mettre en place des points d'accès bidon qui se font passer pour des Box réelles.

Ben oui, mais si tu vas chez qqun et que tu connais son mdp, ça va pas marcher sur la box bidon à moins qu'elle ait le même mdp...

Et rien n'empêche d'installer sur des Box des sniffers de traffic s'il n'est pas encrypté (je doute que les téléphones Wifi le fasse).

Oui, mais encore une fois ça veut dire que celui qui te fournit le service est un gros méchant, mais qu'il t'a donné son mdp

Moumou :
Et puis de toute façon, free étant l'unique distributeur des freebox, il peut leur délivrer à chacune un certificat numérique. Ainsi il serait impossible de construire un faux point d'accès.

Qu'est-ce que tu veux dire par là ? Si je construit une PolluxBox qui accepte des connexions wifi de portables, et qu'elle émet vers une connexion Freebox amie, je peux tout écouter sans que le portable ou Free ne s'aperçoive de rien...

Oui, tu peux faire le man in the middle, voire faire du rejeu, mais tu ne peux pas inventer toi même des messages, vu que tu n'es pas certifié.

Ben déjà du bête eavesdropping c'est sérieux, si tu téléphones à ta banque par exemple...

Et ensuite pour ce qui est de la certification, c'est pas du tout sûr qu'elle puisse provenir du portable lui-même avec les normes actuelles... (mais évidemment c'est parfaitement possible en théorie, cf SSH ou VPN)

Pollux
: Ben déjà du bête eavesdropping c'est sérieux, si tu téléphones à ta banque par exemple...

Mais les conversations téléphoniques sont cryptées, non ? Sinon, on peut déjà faire du eavesdropping de toute façon, et si oui, ben je ne vois pas le problème.

Pollux :
Ben oui, mais quelle est la différence entre la voip et internet de ce point de vue-là ?

Oui, finalement aucun (et puis l'option de partage de bande passante est en opt-in de toute façon).

Moumou :
Pas si le mot de passe ne dépend pas du portable, mais de la box, ce qui serait nettement plus logique. Contrairement à ton exemple où un login/pass marche partout.

Pollux :
Comme le dit Moumou, étant donné que la box connaît elle aussi le mot de passe on n'a même pas besoin de truc style challenge/response

Je vois pas bien... Là on doit être capable de se connecter à n'importe quelle box. Dans le cas de FON, un serveur Radius est utilisé pour valider le compte.

Moumou :
Et puis de toute façon, free étant l'unique distributeur des freebox, il peut leur délivrer à chacune un certificat numérique. Ainsi il serait impossible de construire un faux point d'accès.

Je doute que les téléphones gèrent de l'authentification par certificat.

ExtendeD
:

Moumou :
Pas si le mot de passe ne dépend pas du portable, mais de la box, ce qui serait nettement plus logique. Contrairement à ton exemple où un login/pass marche partout.

Pollux :
Comme le dit Moumou, étant donné que la box connaît elle aussi le mot de passe on n'a même pas besoin de truc style challenge/response

Je vois pas bien... Là on doit être capable de se connecter à n'importe quelle box. Dans le cas de FON, un serveur Radius est utilisé pour valider le compte.

Ben non, on partait de l'hypothèse que le mot de passe dépend de l'endroit où tu connectes... Si effectivement tu voulais un mot de passe unique spécifique au portable, ça serait différent (et le même problème que pour FON) : il faut alors un challenge/response à partir d'un serveur central, plus du cryptage de toutes les communications pour éviter l'eavesdropping ^^

Peu importe, ça n'invalide pas l'objection de Flanker : on dispose d'une bande passante finie, donc si on laisse n'importe qui téléphoner chez nous (=> consommer une certaine quantité de bande passante), ça va *forcément* finir par poser des problèmes : par exemple parce que le nombre de coups de fils simultanés est limité, ou parce que ça bouffe de la bande passante internet...

Huuu ? Il y a *toujours* une limitation de coups de fil simultanés, quel que soit le médium, je vois pas le rapport avec la question ?
Quant à la bande passante internet, mon post que tu cites explique pourquoi c'est pas le cas.


ExtendeD est Pollux> et à votre avis ça marche comment avec les téléphones portables ? C'est la carte sim qui fait l'authentification, et c'est loin d'être trivial à falsifier. Ehoh, c'est pas la freebox qui gèrerait ce genre de choses. La freebox elle sert que de relai, tout serait traité chez Free.


Quand à l'écoute des téléphones...ben tu crois que ton téléphone portable crypte ses transmissions peut-être ?
[edit: en fait oui depuis 4/5 ans]

Je doute que les téléphones gèrent de l'authentification par certificat.

Ca fait quoi une carte SIM à ton avis ?
Authentification par clef privée, algorithme A3/A8, clef privée de 128 bits.

La carte SIM stocke l’identité de son utilisateur (IMSI) et implémente un algorithme d’authentification A3/A8 associé à une clé secrète Ki (128 bits). Cette procédure utilise un argument d’entrée RAND (16 octets) et produit deux valeurs, une signature SRES (32 bits) et une clé Kc (64 bits) utilisée pour le chiffrement de la communication entre la station de base (BTS) et le mobile (ME). Une base de donnée centrale (HLR, Host Location Register) stocke pour chaque utilisateur, identifié par son IMSI, ses droits (le type d’abonnement souscrit) et la clé Ki. HLR se comporte comme un serveur d’authentification produisant des triplets (RAND, SRES, Kc). Un abonné est authentifié par une entité du réseau visité (le MSC, Mobile Switching Center) qui stocke dans une base de donnée locale (le VLR, Visiting Location Register) des triplets délivrés à sa demande par le serveur HLR.

spectras :
ExtendeD est Pollux

Sally
:

spectras :
ExtendeD est Pollux

et oui, on t'en avait caché des choses

rhalala il en faut peu pour faire dévier une conversation. Une simple faute de frappe et....

spectras est flanker ?

chut

spectras
:

Peu importe, ça n'invalide pas l'objection de Flanker : on dispose d'une bande passante finie, donc si on laisse n'importe qui téléphoner chez nous (=> consommer une certaine quantité de bande passante), ça va *forcément* finir par poser des problèmes : par exemple parce que le nombre de coups de fils simultanés est limité, ou parce que ça bouffe de la bande passante internet...

Huuu ? Il y a *toujours* une limitation de coups de fil simultanés, quel que soit le médium, je vois pas le rapport avec la question ?

Je re-cite le contexte qui avait amené ma réponse :

spectras
:

ExtendeD :
Mais je me demande quand on commencera à entendre parler du firmware mis à jour dus à des hacking depuis la rue (ou qui proposera un firmware virant l'allocation de la bande passante aux autres abonnés ).

Rien ne dit que le système partage la bande passante avec les autres services. Ils travaillent peut-être pas sur la même plage de fréquences... Ils peuvent même ne pas partager le moindre circuit, en fait ^^

-> il faut bien pouvoir, comme ExtendeD le dit, éviter que qqun dans la rue puisse téléphoner, même si le système ne partage pas la bande passante ou fait de la magie vaudou, parce que les ressources (nb de coups de fils simultanés, bande passante, etc...) sont finies ^^

spectras
:

Je doute que les téléphones gèrent de l'authentification par certificat.

Ca fait quoi une carte SIM à ton avis ?
Authentification par clef privée, algorithme A3/A8, clef privée de 128 bits.

Ok
Mais apparemment les portables Wifi font soit de l'authentification WPA, soit supportent plus rarement l'authentification Web (comme avec le captive portal de ChilliSpot, utilisé dans les firmwares des Linksys modifiés par FON), donc dans tous les cas ça se fait entre client et le point d'accès.

chillispot marche sur OpenWRT et sur n'importe quel PC linux

auth web rare? > je suis pas sûr

squalyl^2 :
auth web rare? > je suis pas sûr

Je tape [google]"web authentication" wifi voip[/google], et dans les premiers résultats :

> Third, many hotspots have a Web authentication page in order to obtain access to the hotspot's Internet connectivity. Since WiFi phones don't have a Web browser, often times they cannot get a connection.

> The biggest drawback of the WirelessIP5000 (WIP-5000) and similar wi-fi phones is that it is not currently possible to make wireless VoIP calls from many WiFi hotspots, which tend to use web authentication.

> The phone can use WEP authentication but can't yet connect to hotspots that require Web authentication.

Etc.

ExtendeD :
many hotspots have a Web authentication

ExtendeD :
from many WiFi hotspots, which tend to use web authentication.

c'est les tels qui supportent pas. moi je te parlais de chillispot, donc des AP

(oui ok je vois ce que tu veux dire)

Ah, ok

http://www.presence-pc.com/tests/freebox-HD-451/4/

ExtendeD
:

Pollux :
Ben oui, mais quelle est la différence entre la voip et internet de ce point de vue-là ?

Oui, finalement aucun (et puis l'option de partage de bande passante est en opt-in de toute façon).

Euh en réfléchissant : vu que ça permet simplement de téléphoner aux conditions tarifaires de sa ligne fixe, ça veut dire que les appels vers les mobiles et vers les fixes loin loin seront refacturés (donc là c'est moins marrant de pouvoir se faire voler son mdp).

Sinon à propos de Box et de portable le principe de la Mob-Box est marrant aussi.

ExtendeD :
et puis l'option de partage de bande passante est en opt-in de toute façon).

>

Il dissipe la quasi-totalité des doutes en ajoutant que pour le moment le refus d’accès à ce service à d’éventuels Freenautes étrangers n’est pas possible

Ah oui, donc quand tu demandes l'activation du service, tu demandes seulement de pouvoir en profiter (dans tous les cas la Freebox partage...), super.

T'es pas obligé de passer à la freebox HD non plus .

Enfin de toute façon je vois pas le problème, Free et ses abonnés en sortent gagnants tous les deux... Mais il y a tjs le pb du cryptage, et le fait que tu dois probablement pas pouvoir passer de façon transparente d'une Freebox à l'autre