Freebox Server (Pop V8/ Delta V7 / Revolution V6 / Server Mini 4K)

  • État Nouveau
  • Type de tâche Évolution
  • Catégorie LAN → Contrôle parental
  • Assignée à Personne
  • Système d'exploitation Tous
  • Sévérité Critique
  • Priorité Normale
  • Basée sur la version 4.2.7
  • Due pour la version Non décidé
  • Date d'échéance Non décidé
Concerne le projet: Freebox Server (Pop V8/ Delta V7 / Revolution V6 / Server Mini 4K)
Ouverte par Bertrand Keller (b3rtr6nd) - 25/12/2020
Dernière édition par Thibaut Freebox (Thibaut Freebox) - 28/12/2020

FS#33553 - contournement du contrôle parental

Bonjour,

Je vous signale qu’il est possible de contourner le contrôle parental en changeant l’adresse MAC d’un appareil.

Une solution consisterait à avoir une règle supplémentaire permettant d’interdire tout appareil (donc adresse MAC) ne faisant pas parti de matériel autorisé ?

Merci

Cette tache ne dépend pas d'autre tache

Lat31320 (Lat31320)
mardi 29 décembre, 2020 14:39:37

En filaire ou WiFi ? Dans le dernier cas, on peut jouer avec le filtrage mac en mode "liste blanche".

Bertrand Keller (b3rtr6nd)
mardi 29 décembre, 2020 16:22:05

Bonjour,

Problème constaté en filaire.

D.-C.M. (Freemagician)
mardi 5 janvier, 2021 14:35:02

Il ne s'agit pas d'un bug, mais d'une limitation.
Donc il n'y a pas de problème, et par conséquent les développeurs ne feront rien.

En Wifi comme déjà indiqué par une autre personne, il y a un filtrage par adresse MAC en activant l'option "liste blanche" qui n'autorise que les connections des adresses MAC listées. C'est cette option là que vous devriez choisir.

En liste noir c'est l'inverse. Tout est autorisé sauf les adresses MAC listées.

En filaire le filtrage par adresse MAC est théoriquement possible, mais il faut faire usage de pare feux spéciaux, et l'implémentation est en réalité assez complexe.
Aucun pare feu Windows grand public n'implémente une telle fonction... dans les UNIX/LINUX/BSD ouais mais pas si simple

En fait, pour implémenter un filtrage par adresse MAC en filaire... il faudrait au préalable monter un serveur d'authentifcation radius tel qu'utilisé dans un environnement professionnel.

C'est simplement que par défaut en filaire il n'y a pas de procédures d'authentification, à l'inverse en Wifi la procédure d'authentification est obligatoire car inscrite dans la norme depuis ses origines.

Absolument aucun FAI grand public dans le monde n'implémente la fonction que vous demandez en filaire.
Sans doute certaines passerelles professionnelles très coûteuses....

Si on poursuit dans ce type de raisonnement, vous pouvez aussi poursuivre tous les FAI de France devant la justice car si votre gosse il veut vraiment se connecter sur des sites pédophilles, il le pourra via des VPN

Ca fait des années que les ayants droits se battent contre les sites de streaming qui sont fermés régulièrement mais qui réouvrent régulièrement... les FAI ne sont pas en cause, c'est le protocole Internet en l'état actuel de son implémentation qui le permet.

Avec le Minitel, France Telecom avait la mainmise presque totale, mais le minitel était un autre modèle, un modèle fermé, Internet est un modèle ouvert avec ses avantages... et ses inconvénients.

Donc... la solution : interdire l'accès au réseau câblé de la Box pour forcer le passage par le Wifi... et ça devrait suffire dans 80% des cas.
Je ne pense pas que vos gamins vont commencer à faire mumuse avec des VPNs... et puis il est connu que l'on se connecte aux sites pédophilles ou autre sites maffieux ou de terrorisme, directement par adresse IP, donc sans passer par un nom de domaine, ce qui court circuite les protections incluses dans certains serveurs DNS et votre contrôle parentale au passage, car le contrôle parentale est essentiellement basé sur une liste de banissement de noms de domaines.

Bannir des adresses IPs ça ne marche pas réellement car les sites ont pour la plupart des IPs variables...

Pour info le navigateur Opera implémente par défaut une fonctionnalité de connexion par serveur VPN gratuit. Si la fonction est activée dans ses paramétrages... à mon avis votre controle parental montrera encore une fois ses limites, et même avec un serveur radius ça ne changera absolument rien, car même pas la peine de bidouiller les adfresses MAC... on ne peut actuellement pas faire grand chose contre les serveurs VPN.

Comble de malheur... même si sous Windows vous avez pris soin de cantonner vos enfants sur un compte utilisateur strict pour leur interdire d'installer de nouvelles applications, Firefox, comme Opera et d'autres peuvent alors s'installer en mode "utlisateur" donc SANS DROITS administrateurs.

Et sous Linux.... même bordel. Avec l'apparition des Flatpak, Snap, AppImage les utilisateurs peuvent installer une ribambelle d'applis sans droit admin...

Avec un serveur VPN, le FAI perd la trace de la connexion. Tout ce qui se passe au-delà du VPN est invisible.

Si les équipes de Free ont l'idée d'implémenter un serveur radius dans la Freebox... pourquoi pas, ce ne serait pas totalement inutile, mais ça ne résoudrait pas tous les problèmes pour autant.

Il suffit juste d'utiliser Opera ou Tor

Lat31320 (Lat31320)
mardi 5 janvier, 2021 17:49:14

Une solution "no radius" de contournement serait de prévoir un pool DHCP "stérile" (donnant pour bail une conf farfelue) où tomberait toute mac non déclarée en amont.
Il va de soit que ça ne pourrait pas être un comportement par défaut de la box tant les usagers domestiques attendent du "PnP".

Reste que quelqu'un capable de changer sa mac sera tout à fait capable de changer sa conf IP locale.

Cela rejoint dans un certain sens une demande que j'ai formulée où je demande de pouvoir verrouiller le fonctionnement DNS de la box :
https://dev.freebox.fr/bugs/task/30184

Bertrand Keller (b3rtr6nd)
mardi 5 janvier, 2021 18:57:39

@D.-C.M
Merci d'éviter de parler de chose que vous croyez connaître, mais que vous ne maîtrisez pas.
Laissons les dev faire leur travail : qualifier et traiter les demandes.

Cordialement

David B. (baudav)
jeudi 7 janvier, 2021 11:30:36

Il ne faut pas laisser les enfants avec un compte admin/root :D

bzm (bzm)
mercredi 20 janvier, 2021 12:23:11

L'ancien contrôle parental de la Freebox permettait bien de BLOQUER l'accès internet par défaut, et de ne l'ouvrir que pour certaines MACs, aux horaires choisis.
Cela fonctionnait en filaire ET en wifi.

Avec le changement en "Profils" qui ne permet plus cela, ce contrôle parental ne sert plus à rien :
tous les appareils récents fonctionnent de base avec des MACs virtuelles (android, win10… pas besoin d'être admin).
C'est une RÉGRESSION absurde de FreeboxOS.

@D.-C.M : Inutile de dire que quelque chose ne peut pas être fait, alors que ça existait sans souci jusqu'à encore récemment, merci…
Aucun gros développement à faire, juste à réactiver cette possibilité dans l'interface.

cf https://dev.freebox.fr/bugs/task/32898 cf https://dev.freebox.fr/bugs/task/31734 poke @aastier

Neustradamus (Neustradamus_)
mercredi 20 janvier, 2021 12:26:06

Je confirme le problème avec le contrôle parental !

Avant, la logique était bonne, meilleure.

David (D1337)
dimanche 14 février, 2021 18:14:47

La solution : le filtrage mac en mode liste blanche. Malheureusement, si tu possède un répéteur, même s'il fait partie de la liste blanche, il ne marchera pas. (voir https://dev.freebox.fr/bugs/task/34069 )

Chargement...