Freebox Server (Pop V8/ Delta V7 / Revolution V6 / Server Mini 4K)

  • Status Nouveau
  • Percent Complete
    0%
  • Task Type Évolution
  • Category LAN → Contrôle parental
  • Assigned To No-one
  • Operating System Tous
  • Severity Critical
  • Priority Very Low
  • Reported Version 4.2.7
  • Due in Version Undecided
  • Due Date Undecided
  • Votes 4
  • Private
Attached to Project: Freebox Server (Pop V8/ Delta V7 / Revolution V6 / Server Mini 4K)
Opened by b3rtr6nd - 25/12/2020
Last edited by Thibaut Freebox - 28/12/2020

FS#33553 - contournement du contrôle parental

Bonjour,

Je vous signale qu’il est possible de contourner le contrôle parental en changeant l’adresse MAC d’un appareil.

Une solution consisterait à avoir une règle supplémentaire permettant d’interdire tout appareil (donc adresse MAC) ne faisant pas parti de matériel autorisé ?

Merci

En filaire ou WiFi ? Dans le dernier cas, on peut jouer avec le filtrage mac en mode "liste blanche".

Bonjour,

Problème constaté en filaire.

Il ne s'agit pas d'un bug, mais d'une limitation.
Donc il n'y a pas de problème, et par conséquent les développeurs ne feront rien.

En Wifi comme déjà indiqué par une autre personne, il y a un filtrage par adresse MAC en activant l'option "liste blanche" qui n'autorise que les connections des adresses MAC listées. C'est cette option là que vous devriez choisir.

En liste noir c'est l'inverse. Tout est autorisé sauf les adresses MAC listées.

En filaire le filtrage par adresse MAC est théoriquement possible, mais il faut faire usage de pare feux spéciaux, et l'implémentation est en réalité assez complexe.
Aucun pare feu Windows grand public n'implémente une telle fonction... dans les UNIX/LINUX/BSD ouais mais pas si simple

En fait, pour implémenter un filtrage par adresse MAC en filaire... il faudrait au préalable monter un serveur d'authentifcation radius tel qu'utilisé dans un environnement professionnel.

C'est simplement que par défaut en filaire il n'y a pas de procédures d'authentification, à l'inverse en Wifi la procédure d'authentification est obligatoire car inscrite dans la norme depuis ses origines.

Absolument aucun FAI grand public dans le monde n'implémente la fonction que vous demandez en filaire.
Sans doute certaines passerelles professionnelles très coûteuses....

Si on poursuit dans ce type de raisonnement, vous pouvez aussi poursuivre tous les FAI de France devant la justice car si votre gosse il veut vraiment se connecter sur des sites pédophilles, il le pourra via des VPN

Ca fait des années que les ayants droits se battent contre les sites de streaming qui sont fermés régulièrement mais qui réouvrent régulièrement... les FAI ne sont pas en cause, c'est le protocole Internet en l'état actuel de son implémentation qui le permet.

Avec le Minitel, France Telecom avait la mainmise presque totale, mais le minitel était un autre modèle, un modèle fermé, Internet est un modèle ouvert avec ses avantages... et ses inconvénients.

Donc... la solution : interdire l'accès au réseau câblé de la Box pour forcer le passage par le Wifi... et ça devrait suffire dans 80% des cas.
Je ne pense pas que vos gamins vont commencer à faire mumuse avec des VPNs... et puis il est connu que l'on se connecte aux sites pédophilles ou autre sites maffieux ou de terrorisme, directement par adresse IP, donc sans passer par un nom de domaine, ce qui court circuite les protections incluses dans certains serveurs DNS et votre contrôle parentale au passage, car le contrôle parentale est essentiellement basé sur une liste de banissement de noms de domaines.

Bannir des adresses IPs ça ne marche pas réellement car les sites ont pour la plupart des IPs variables...

Pour info le navigateur Opera implémente par défaut une fonctionnalité de connexion par serveur VPN gratuit. Si la fonction est activée dans ses paramétrages... à mon avis votre controle parental montrera encore une fois ses limites, et même avec un serveur radius ça ne changera absolument rien, car même pas la peine de bidouiller les adfresses MAC... on ne peut actuellement pas faire grand chose contre les serveurs VPN.

Comble de malheur... même si sous Windows vous avez pris soin de cantonner vos enfants sur un compte utilisateur strict pour leur interdire d'installer de nouvelles applications, Firefox, comme Opera et d'autres peuvent alors s'installer en mode "utlisateur" donc SANS DROITS administrateurs.

Et sous Linux.... même bordel. Avec l'apparition des Flatpak, Snap, AppImage les utilisateurs peuvent installer une ribambelle d'applis sans droit admin...

Avec un serveur VPN, le FAI perd la trace de la connexion. Tout ce qui se passe au-delà du VPN est invisible.

Si les équipes de Free ont l'idée d'implémenter un serveur radius dans la Freebox... pourquoi pas, ce ne serait pas totalement inutile, mais ça ne résoudrait pas tous les problèmes pour autant.

Il suffit juste d'utiliser Opera ou Tor

Une solution "no radius" de contournement serait de prévoir un pool DHCP "stérile" (donnant pour bail une conf farfelue) où tomberait toute mac non déclarée en amont.
Il va de soit que ça ne pourrait pas être un comportement par défaut de la box tant les usagers domestiques attendent du "PnP".

Reste que quelqu'un capable de changer sa mac sera tout à fait capable de changer sa conf IP locale.

Cela rejoint dans un certain sens une demande que j'ai formulée où je demande de pouvoir verrouiller le fonctionnement DNS de la box :
https://dev.freebox.fr/bugs/task/30184

@D.-C.M
Merci d'éviter de parler de chose que vous croyez connaître, mais que vous ne maîtrisez pas.
Laissons les dev faire leur travail : qualifier et traiter les demandes.

Cordialement

Il ne faut pas laisser les enfants avec un compte admin/root :D

bzm commented on 20.01.2021 12:23

L'ancien contrôle parental de la Freebox permettait bien de BLOQUER l'accès internet par défaut, et de ne l'ouvrir que pour certaines MACs, aux horaires choisis.
Cela fonctionnait en filaire ET en wifi.

Avec le changement en "Profils" qui ne permet plus cela, ce contrôle parental ne sert plus à rien :
tous les appareils récents fonctionnent de base avec des MACs virtuelles (android, win10… pas besoin d'être admin).
C'est une RÉGRESSION absurde de FreeboxOS.

@D.-C.M : Inutile de dire que quelque chose ne peut pas être fait, alors que ça existait sans souci jusqu'à encore récemment, merci…
Aucun gros développement à faire, juste à réactiver cette possibilité dans l'interface.

cf https://dev.freebox.fr/bugs/task/32898 cf https://dev.freebox.fr/bugs/task/31734 poke @aastier

Je confirme le problème avec le contrôle parental !

Avant, la logique était bonne, meilleure.

D1337 commented on 14.02.2021 18:14

La solution : le filtrage mac en mode liste blanche. Malheureusement, si tu possède un répéteur, même s'il fait partie de la liste blanche, il ne marchera pas. (voir https://dev.freebox.fr/bugs/task/34069 )

Freex commented on 05.08.2022 14:33

En effet, je rencontre aussi ce problème. Mes enfants ont vite compris en recherchant sur internet que changer l'adresse MAC de la carte réseau permettait d'être vu par la freebox comme un nouvel appareil. L'appareil étant sans profil, il n'y a aucun filtrage possible.

La solution idéale serait que la freebox puisse affecter automatiquement tout nouvel appareil réseau détecté à un profil par défaut. Libre à nous ensuite d'appliquer les règles sur ce profil par défaut: aucun filtrage, blocage complet, ou bien sur des plages horaires identiques à ce qui est prévu pour les enfants…

Pour palier à ce manque de fonctionnalité sur la freebox, j'ai du mettre en place un mécanisme externe fonctionnant sur linux. Un raspberry fait tout à fait l'affaire: 1) Utilisation de arpwatch qui envoie un mail en local sur détection d'une nouvelle adresse MAC sur le réseau local, 2) sendmail en local reçoit le mail à une adresse alias qui déclenche un script au lieu de forwarder le mail, et enfin 3) ce script se charge de récupérer la nouvelle adresse MAC détectée par arpwatch, puis en utilisant les API freebox, ajoute cette adresse dans un profil particulier. On va bien voir ce que cela donne à la rentrée. Fonctionne en wifi et en filaire.

I miss this update! I've seen this https://wordleonline.com/ announcement so late that I can't manage the time to witness the best practice of miso grill.

És possible canviar l'adreça? https://spin-thewheel.com

you can take a look at rolling ball 3d

Une fois cette modification effectuée, votre enfant pourra accéder à l'appareil io games sans aucun problème.

Everything will be easier if you join https://subwaysurf.io/ subway surfers

Loading...

Available keyboard shortcuts

Tasklist

Task Details

Task Editing