FS#34770 : Répéteur Wifi Pop piraté

État Fermée
Pourcentage achevé
100%
Type Anomalie
Catégorie Répéteur Wifi 5
Assignée à Personne
Système d'exploitation Tous
Sévérité Critique
Priorité Très Basse
Basée sur la version 1.5.13
Due pour la version Non décidée
Échéance Non décidée
Votes
Privée

Concerne le projet: Répéteur Wifi
Ouverte par jsd93 - 05/05/2021
Dernière modification par oliv-r - 06/05/2021

FS#34770 - Répéteur Wifi Pop piraté

Bonjour à tous,
Voici ma configuration :
Deux serveurs Delta, un à Noisy-le-Grand et l’autre en Vendée, sous réseau câblé et wifi.
Depuis 2 mois et demi j'ai constaté des intrusions sur mes 2 réseaux wifi.
Le 16 décembre dernier je suis descendu en Vendée accompagné de 3 répéteurs wifi Pop, je les ai installés pour améliorer le wifi local ceci afin de piloter mes caméras IP.
Le 15 janvier 2021 j'ai constaté sur le réseau la présence d'environ une douzaine d'ordinateurs intrus et actifs, en résumé :
- J'ai essayé le filtrage Mac, ok sachant qu'il n'est pas compatible avec les répéteurs Pop de Free (problème connu chez Free) et pour cause le hacker passe au-dessus via des adresse Mac génériques, en IPV4 et/ou IPV6,
- j'ai limité au maximum le serveur DHCP sans succès, les IP interdites sont tout de même utilisées.
- J'ai changé le mot de passe du wifi du 2.4 Mhz, mon mot de passe wifi était trop simple, mais ça a tout de même continué.
- Après recherche sur le Web J'ai activé le filtrage IPV6 sur mon routeur, et imposé un Next Hop (fe80::0:0:0:1)ce qui a eu pour effet de limiter les intrusions IPV6.
- Ensuite j'ai bloqué le DHCP, sans effet et c'est là que je me suis rendu compte qu'une de mes caméras situées dans mon bureau distant en Vendée, que cette dernière était prise en main par le hackers (mot de pass et utilisateur changés) et qu'il s'en servait comme routeur et donc serveur DHCP, ce qui explique en partie le maintien des intrusions.
- Alors le 20 janvier 2021 le seul moyen radical que j'ai trouvé avant mon départ lundi prochain pour la Vendée, c'est de couper le wifi.
Maintenant on va parler des répéteurs wifi Pop de Free, qui en Vendée ne sont peut-être pas neutres non plus dans les problèmes rencontrés là-bas.
Voici maintenant les ennuis causés par les intrusions que j’ai eu aussi à Noisy-le-Grand, J’ai eu exactement les mêmes symptômes qu’en Vendée, mais moindre depuis que j’ai changé les mots de pass du serveur delta et du wifi local, toutefois un problème persiste et il est semble-t-il provoqué par le répéteur Pop, je m'explique :
Tous les matériels Ethernet ou wifi sont identifiés par leurs adresse mac, donc par définition le surplus circulant sur le réseau est considéré comme intru.
J'éteins tant que possible les matériels un à un, reste mon PC et le répéteur wifi Pop, je "reset" le répéteur avant de l'éteindre
Pas d'intrus sur le réseau, je rallume le répéteur et alors apparaissent sur le réseau le répéteur et 2 PCs avec un adresse Mac et un nom constructeur générique exemple :
-Répéteur Free Constructeur FREBOX SAS et adresse Mac 8C-97-EA-xx-xx-xx
Le 1er PC constructeur * FREBOX SAS et Mac 8E:97:EA:9A:72:18
Le 2ème PC constructeur * FREBOX SAS et Mac 8E:97:EA:9A:72:1C * petit triangle jaune signalant "le constructeur est peut-être mal identifié, l'adresse Mac est dite LLA (souvent aléatoire)".
Remarque concernant mon répéteur Pop, au niveau de l'onglet connectivité j'ai 2 adresse IP, une IPV4 192.168.0.16, mon répéteur identifié et la seconde IPV6 fe80:8297:eaff:fe56:177a cette dernière IPV6 est générée sur les 2 PC intrus, avec la même racine que le répéteur Pop.
Ce qui signifie sans doute que le répéteur Pop a été piraté et sert de routeur serveur DHCP au hacker car sur le 1er PC intru une adresse IPV4 192.168.0.63 est créée dans la plage autorisée (DHCP 192.168.0.160 à 192.168.0.65 de mon routeur Delta) et aussi une adresse IPV6 est créée.
Heureusement que le filtrage IPV6 est activé sur mon routeur, car au bout de quelques minutes les 2 PC passent de l'état actifs à inactifs et l’IPV6 du répéteur est elle aussi inactivée).
En conclusion :
Ce qu'il faut savoir pour les nouveaux voire anciens clients Delta, c'est que le serveur Delta est fourni est fourni par défaut sans que ce que le filtrage IPV6 soit activé, problème que j'ai signalé à Free le 20 mars dernier.
Je pense que les répéteurs wifi Pop de free ont une faille de sécurité importante sachant que l'on ne peut pas l’administrer et que le reset ne résout rien.
Combien d'utilisateurs sont concernés ? et surtout combien s'en rendent compte ? et quel est l’impact de ses intrusions ?
En ce qui me concerne pour l’instant ma solution temporaire c'est de couper ce répéteur, chose que je vais faire sur les 3 répéteurs installés en Vendée en décembre 2020.
J'aimerai savoir si l'un ou plusieurs d'entre vous, avez rencontrés ce type de problème et quelle a été la solution ou le remède employée.
D'avance merci.
Très cordialement
Jsd93

Fermée par oliv-r
06.05.2021 15:21
Raison de la fermeture : Résolu

Commentaires (2)
Tâches liées (0/0)

oliv-r a commenté le 06.05.2021 08:37

Bonjour,

Tout d'abord, laissez moi vous rassurer, vos répéteurs WiFi n'ont pas été piraté. Je ne peux me prononcer sur vos caméras dont le mot de passe aurait été changé (êtes vous sûr ?).

Les adresses MAC pourtant taggué "FREEBOX SAS" que vous voyez: 8E:97:EA:9A:72:18 et 8E:97:EA:9A:72:1C sont les adresses MAC que votre répéteur utilise lorsqu'il se connecte à votre réseau. En effet, les répéteurs se connectent d'abord sur votre réseau avec une interface wifi différente de l'interface utilisés ensuite pour le backhaul wifi (8C-97-EA-xx-xx-xx). Une telle interface est créé par bande (2.4Ghz et 5Ghz), d'où les 2 MAC que voyez apparaitre dans Freebox OS pour chaque répéteur.

Désolé pour la frayeur, on doit pouvoir améliorer l'interface utilisateur de Freebox OS pour que les choses soient plus claires.

jsd93 a commenté le 06.05.2021 11:59

Bonjour Olivier,
Merci pour le retour d'information rapide qui effectivement me rassure énormément pour le faux problème lié à mes 4 répéteur wifi Pop.
Je vais pourvoir enregistrer les adresses mac de mes 4 répéteurs en IP fixes pour en assurer le contrôle et ensuite élargir en conséquence la plage des adresses IP autorisées.
Je vais pouvoir me concentrer sur le problème rencontré en Vendée car je serai sur place dès la semaine prochaine.
Là le Hacker a vraiment piraté une de mes caméra IP motorisée (Caméra Sacam modèle f128 pour ne pas la nommer gérer par appli MIPC ), le mot de pass était trop simple, toutefois je pouvais y accéder car j'avais créé un utilisateur invité, mais malheureusement aucune administration n'est possible).
Je pense aussi que le fait que les 3 répéteurs Pop ajouté au réseau en décembre ont ajouté une couche de confusion à mon problème de caméra piratée transformé en routeur - DHCP avec dns inconnu et utilisation de la bande passante.
La première chose à faire en premier c'est de rétablir cette caméra en mode usine, de changer le nom de l'administrateur et de blinder le mot de pass.
encore merci
Cordialement
Jacques

	Tâches associées à cette tâche (0)

Chargement...

Raccourcis clavier

Activer les raccourcis clavier

Alt + ⇧ Shift + l Se connecter/Se déconnecter
Alt + ⇧ Shift + a Ouvrir une tâche
Alt + ⇧ Shift + m Mes recherches
Alt + ⇧ Shift + t Rechercher par ID de tâche

Liste des tâches

o Ouvrir la tâche sélectionnée
j Déplacer le curseur vers le bas
k Déplacer le curseur vers le haut

Détails de la tâche

n Tâche suivante
p Tâche précédente
Alt + ⇧ Shift + e ↵ Enter Modifier cette tâche
Alt + ⇧ Shift + w Surveiller
Alt + ⇧ Shift + y Fermer cette tâche

Édition de la tâche

Alt + ⇧ Shift + s Enregistrer la tâche