Freebox Server (Delta V7 / Revolution V6 / Server Mini 4K)

  • État Nouveau
  • Type de tâche Évolution
  • Catégorie Non trié
  • Assignée à Personne
  • Système d'exploitation Tous
  • Sévérité Critique
  • Priorité Normale
  • Basée sur la version 4.0.5
  • Due pour la version Non décidé
  • Date d'échéance Non décidé

FS#28734 - Accès distant à la Freebox - Second facteur d'authentification (TOTP)

Je n’ai jamais à ce jour activé le contrôle distant de la Freebox via HTTPS.... hormis sur le réseau local bien entendu.

Oui... on peut cacher le port en choisissant un port non standard, mais il y a les scanners de port qui balaient en continue les ports, d’autant que l’IP est fixe chez Free, et ajoutons à cela qu’en IPv4, beaucoup d’utilisateurs sont désormais en ports partagés (dû à la raréfaction des adresses IPv4), ce qui donne moins de choix pour se dissimuler.

La raison est très simple.... j’ai toujours trouvé aberrant que l’interface de connexion ne propose qu’un seul champ de saisie, le mot de passe.

Usuellement dans un login il y a un couple nom d’utilisateurs / mot de passe.

Ce couple rend de ce fait les attaques bien plus complexes puisqu’il y a deux champs à deviner.

Là.... les pirates peuvent lancer des attaques très facilement.

Personnellement j’utilise un mot de passe complexe stocké dans une base Keepass, sur la longueur maximum constituée de caractères aléatoires, donc dans tous les cas c’est difficile car il faut passer en attaque en force brute avec un résultat très aléatoire si ce n’est impossible dans des délais raisonnables... mais n’empêche que le simple fait d’ajouter un “login” customisable (donc autre que freebox, admin...) complexifie énormément la tâche.... là l’interface rend les attaques très tentantes pour les hackers.

Mais vous savez tous que je suis une exception. Les utilisateurs définissent en générales des MDP intelligibles assez simples qui les exposent à des attaques par dictionnaire et si on ajoute en plus qu’il n’y a qu’un seul champ à deviner... là c’est le pom pom

Bref.... ça m’a toujours surpris

Ma demande serait très simple : ajouter un second facteur d’authentifcation, en utilisant le kit google_authenticator, opensource, disponible sur toutes les plateformes *nix gratuitement pour générer un sceau d’authentifcation jetable ou TOTP que l’utilisateur pourrait librement générer sur son smartphone via l’appli Google Authenticator disponible sur l’Apple Store et le Google Store pour Android (non dispo pour Windows, mais des applications équivalentes et compatibles Google existent dans le Windows Store.... bien qu’en fait cette solution est à proscrire car par définition le sceau d’authentification doit être généré par un appareil totalement différent de celui utilisé pour se connecter)

La possibilité d’activer cette option resterait optionnelle, s’adressant aux utilisateurs avancés et concernerait avant tout la connexion hors réseau local.

Je dépanne parfois des amis et aimerait pouvoir me connecter à leur box distance de façon “secure”, c’est à dire sans les mettre en danger. Il me suffirait de capturer la clé générée lors du paramatrage du TOTP, pour alimenter mon appli Google Authenticator.

Actuellement je conseille à ces amis de ne surtout pas activer la connexion distante, c’est bien pour cette raison que j’ai placé la sévérité à “critique”, car je trouve la situation actuelle aberrante.... il faudrait a minima un couple Login/MDP et idéalement un second facteur d’authentification... ce qui laisserait à l’utilisateur la possibilité de choisir un mot de passe pas trop complexe donc facile à retenir.

Cette tache ne dépend pas d'autre tache

nicolas nba (nbanba)
Friday 15 November, 2019 18:30:46

Bonjour,

Personnellement, je verrais un système ne nécessitant que pas de manipuler des applications tiers :

Free Mobile fournit une api SMS qui permet d'envoyer des sms vers sa ligne Free Mobile depuis un ordinateur.

Free Mobile pourrait ouvrir son api à la freebox en permettant de saisir un numéro de mobile dans le FreeboxOS. Si un numéro est renseigné, alors un code aléatoire d'authentification serait envoyé par sms sur ce numéro lorsque l'on essaye de se connecter a FreeboxOS avec le password du shadow user freebox.
Au même titre que lorsque l'on paye avec une CB et le système 3D Secure, il faudrait alors saisir ce code pour accéder à l'interface.

Ce système couplé à un fail2ban un peu serré (ex: 5 tentatives unsuccessfull = banissement de l'IP pendant 180 jours) permettrait de beaucoup mieux sécuriser l'accès distant à freeboxOS sans faire appel à des applications tiers.

Perso, je refuse de confier l'authentification de mes devices à des applications tiers souvent peu pratiques et dépendante/développées par des géant l'informatique comme google, facebook ... rentrer dans cette logique, ce serait comme leur donner la possibilité de me retirer les clés en bloquant leur système... ou en forçant à payer (ce qui arrivera un jour, plus prochainement qu'on peut le croire)

Cordialement,
nbanba

Guest (GuestIGuess)
Wednesday 20 November, 2019 15:45:52

Ça reste un bug tracker ici, si vous voulez discuter ou partager des tips, il existe un groupe Whatsapp (https://chat.whatsapp.com/FoCn2wU09glHZyi4mJsmOu)

Chargement...