Skip to main content
Salut :)



Bon, j'ai remarqué que le port mapping se remplissait tout seul sur la BBOX3.

Certains programmes font du port mapping à leur aise, sans prévenir. ça remplit très vite la liste si on a pas défini d'ip fix en local car à chaque fois que l'ip change, le service demande de réouvrir le port.



La question n'est pas de configurer tel ou tel appli... mais d'abuser de cette connerie !

Je viens de lire un post ici d'il y a 4 jours avec une imprimante EPSON au port 9100 ouvert probablement par UPNP... à son aise l'imprimante elle configure le port mapping 😑



Donc j'ai fais des tests, beaucoup de tests.



Finalement en conclusion, sachez qu'il vous est possible :

1) Ejecter un client du réseau

2) Prendre son ip local

3) **** je donne pas de mauvaises idées

4) **** Soyez créatif! 😑 ... well done!





J'ai donc contacté le 080033800, qui bien entendu ne parle pas chinois et n'a donc absolument rien compris (20 min de conversation quand même...)

Finalement, la réponse était toute trouvée :

1) Monsieur, il est impossible de configurer le port mapping sans le mot de passe admin, c'est sécurisé croyez moi!

2) Il est normal que si vous donniez votre mot de passe wifi à un collègue ou un client, il puisse configurer le réseau...



Pourquoi 'sécuriser' le port mapping avec une interface admin, si au final un paquet upnp est tout aussi efficace?

Pareil, en UPNP je peux lister toute la config du port mapping; Port d'entrée, port de sortie, ip cible.



Combien d'entreprises (resto par ex) proposent un accès wifi libre à leurs clients?

Vous imaginez le bordel à grande échelle?



Puis il y a aussi ce DoS qui est assez sympa... Une requête SSDP avec une longue chaine de charactère fait grésiller la box.

Résultat, plus de panel admin sur l'ip local jusqu'au redémarrage de la box...

Sympa :/



Donc question extrêmement simple, comment protéger le port mapping d'une configuration via UPNP ? 🙂 Pourquoi le port mapping est-il hors de la protection par mot de passe?

je me doute que c'est pour 'faciliter' l'objectif même du protocol upnp "plug n play"... Pourtant, la méthode n'est pas réalisable 'aussi simplement' chez les autres FAI, avec d'autres modems/routeurs... Bref, sur la BBOX3 on est vraiment vulnérable à ce niveau...
Bonjour,



Je crains que la seule solution soit d'utiliser un "vrai" routeur derrière la bbox3 (connecté en PPPoE) qui, lui, donne le contrôle total sur la configuration.
Bonjour,

Je crains que la seule solution soit d'utiliser un "vrai" routeur derrière la bbox3 (connecté en PPPoE) qui, lui, donne le contrôle total sur la configuration.




Salut, et tu as surement raison ;)

Mais ça reste trop simpliste comme solution. Que doivent faire les 99% de la population qui ont aucune idée de quoi on parle? Acheter un routeur et payer quelqu'un pour venir le mettre en place?
Bonjour,

Je crains que la seule solution soit d'utiliser un "vrai" routeur derrière la bbox3 (connecté en PPPoE) qui, lui, donne le contrôle total sur la configuration.




Salut, et tu as surement raison ;)

Mais ça reste trop simpliste comme solution. Que doivent faire les 99% de la population qui ont aucune idée de quoi on parle? Acheter un routeur et payer quelqu'un pour venir le mettre en place?




S'ils ne savent pas de quoi on parle, alors ils ne vont pas se soucier que UPNP ne puisse pas être désactivé, ni des risques encourus 😛
@why not, pour les appli ,tel que les p2p, il est tout a fait possible de demander la fermeture des port en fin ce cession.



LEs imprimantes wifi quand a elle, ne change pas de port aléatoirement, certains service dans l'imprimante peuvent être désactivé si elle ne sont pas nécessaire.ce qui évitera l'ouverture de port supplémentaire.
@why not, pour les appli ,tel que les p2p, il est tout a fait possible de demander la fermeture des port en fin ce cession.



LEs imprimantes wifi quand a elle, ne change pas de port aléatoirement, certains service dans l'imprimante peuvent être désactivé si elle ne sont pas nécessaire.ce qui évitera l'ouverture de port supplémentaire.




Comme je dis, le sujet n'est pas la configuration des applis, mais la sécurité fournie de base par un FAI ou celle possible à mettre en place pour l'utilisateur lambda, seul vraie victime en l'occurrence.



Je crois que tu as mal compris ce que j'expliquais sur la config réseau demandée par une app via UPNP.

Si mon adresse local (192.168.1.5) devient *.*.*.6, alors l'appli redemande d'ouvrir le port. Si par la suite elle redevient



Je me doutais bien aller au devant d'un sujet sensible... Pourtant d'actualité...
Bonsoir why not,



Merci pour vos tests. J'ai remonté votre message vers le service compétent, afin qu'ils vérifient, et nous aide à vous répondre correctement.



Il me semble qu'auparavant, la fonction UPnP pouvait être désactivée, mais cela n'a plus l'air d'être le cas.



Je reviens vers vous dès que j'ai une réponse de leur part.



Cordialement,



Antoine
Bonsoir Antoine,



Il me semble qu'auparavant, la fonction UPnP pouvait être désactivée, mais cela n'a plus l'air d'être le cas.

Ne serait-ce pas au travers de l'option DLNA ? (sur le Technicolor : Mon Modem => Partage )
Bonsoir why not,



Merci pour vos tests. J'ai remonté votre message vers le service compétent, afin qu'ils vérifient, et nous aide à vous répondre correctement.



Il me semble qu'auparavant, la fonction UPnP pouvait être désactivée, mais cela n'a plus l'air d'être le cas.



Je reviens vers vous dès que j'ai une réponse de leur part.



Cordialement,



Antoine




Bonjour Antoine, merci pour ta réponse et pour le support ;)

Ma réponse sera surement classique dans le coin.. On voudrais un acces SSH :D:D:D:D siouplai!





Ne serait-ce pas au travers de l'option DLNA ? (sur le Technicolor : Mon Modem => Partage )

Casiment certain d'avoir désactivé tout sur cette page.
Bonjour à tous,



J'ai reçu une réponse du service sollicité, qui confirme les analyses de why not.



Voici quelques explications à ce sujet :



- L'UPnP présent dans le modem est l'UPnP IGD 1.0 qui n'est pas le plus sécurisé, et qui n'est pas la dernière version disponible.



- Cette version est présente, car nos décodeurs TV, utilisent ce service depuis 2013 et en ont encore besoin. Nos ingénieurs/développeurs, espèrent cependant pouvoir s'en débarraser, et introduire l'UPnP IGD 2.0, qui est bien plus sécurisé, et compatible avec les adresses IPv6.



Si les décodeurs TV n'utilisaient pas ce protocole, la version 2.0 serait déjà introduite, et la possibilité de désactiver ce service, aurait été possible dans l'interface du modem.



Tout cela étant dit, la situation n'est pas si grave, car le service UPnP est uniquement utilisé dans le réseau local, et pas sur le Hotspot FON par exemple. Les risques sont donc très limités.



Si un réseau wifi n'est par contre pas sécurisé (ce qui est à présent presque la base de tous nos modems), les risquessont bien plus grands, car n'importe quelle personne peut alors "hacké" la connexion.



Il faut donc déjà avoir une très bonne connaissance du réseau généralement pour arriver à effectuer cela.



Pour résumer, les développeurs espèrent pouvoir intégrer une nouvelle version de l'UPnP, dans un futur proche ou à moyen terme, mais il est encore trop tôt pour vous dire quand cela pourrait arriver.



Merci à tous pour vos remarques pertinentes.



Cordialement,



Antoine
Salut AntoineF,

un grand merci pour les 3 clics que ça t'aura couté t'aura fait ce que tu peux et c'est parfait! Le reste ne tient qu'au suivant ;)



Pourrais tu le refaire avec ces questions s'il te plait?



Qu'en est-il pour ceux qui n'ont QUE internet? L'évolution du panel admin permettra-t-il ENFIN une réel configuration des différents services inutiles afin d'économiser la consommation d'énergie du modem ET permettre à qui le veut de désactiver un service vulnérable, le remplacer, en ajouter, les modifier... bref, contrôler réellement sa box en profondeur et permettre à la communauté d'étendre les fonctionnalités? (ce qui est devenu un argument marketing compris par d'autres compagnies)





Sur le soucis en question, pourquoi le port mapping est-il le seul à ne pas nécessiter d'authentification ?



Cet argument tout fait du "les réseaux sont sécurisés par un mot de passe". Comme je le dis, ce n'est pas la question quand bien même ce puisse réellement être le cas. Une fois SUR le réseau, la possibilité de configuration sans mot de passe, car sous entendu il faut être connecté au réseau.



pourquoi avoir sortit le port mapping des services protégés ?



bon l'histoire du fon...

Juste pour nous détourner du vrai problème en réaffirmant un fait... C'est comme s'il avait dit "le petit nain reste moins grand que notre géant" ;)





Ils ne répondent pas à la problématique abordée en soit : Que fait l'utilisateur lambda ? Le propriétaire de restaurant qui (faites l'enquête partout où vous irez par vous même en tant que consommateur) dans la majorité mettent à disposition le 2.4ghz au client, sans mot de passe ou dont le mot de passe est affiché publiquement, et se réservent le 5.0ghz avec un mot de pass différent.



Puis l'idée de se défendre par la faiblesse du protocole en place, sous prétexte que ce qui est encore plus vieux l'utilise encore.

Le truc c'est qu'on paye assez cher notre abonnement (surtout comparé au reste de l'europe), et que c'est un peu aussi "your call" pour modifier tout ça au plus vite, et au plus modulable niveau software... Va falloir arrêter de changer de box aussi que firefox sors des versions de web browser?





Sinon, sur la page d'accueil, Proximus arbore fièrement son partenariat cyber sécurité avec l'otan 🆒 🆒

Donc les mecs de la "cyber sécurité" de chez proximus (surtout si vous recrutez 😛 ) vous pourriez s'il vous plait faire les 3 clics pour remonter tout ça et mettre la pression pour faire avancer l'amélioration de nos technologies sérieusement ?



Enfin voilà, une pièce de plus à ajouter au puzzle du manque total de sécurité de notre génération =/



Merci quand même AntoineF

Commenter