Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

  • État Nouveau
  • Pourcentage achevé
    0%
  • Type Évolution
  • Catégorie LAN → Contrôle parental
  • Assignée à Personne
  • Système d'exploitation Tous
  • Sévérité Critique
  • Priorité Très Basse
  • Basée sur la version 4.2.7
  • Due pour la version Non décidée
  • Échéance Non décidée
  • Votes 4
  • Privée
Concerne le projet: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Ouverte par b3rtr6nd - 25/12/2020
Dernière modification par Thibaut Freebox - 28/12/2020

FS#33553 - contournement du contrôle parental

Bonjour,

Je vous signale qu’il est possible de contourner le contrôle parental en changeant l’adresse MAC d’un appareil.

Une solution consisterait à avoir une règle supplémentaire permettant d’interdire tout appareil (donc adresse MAC) ne faisant pas parti de matériel autorisé ?

Merci

Lat31320 a commenté le 29.12.2020 14:39

En filaire ou WiFi ? Dans le dernier cas, on peut jouer avec le filtrage mac en mode "liste blanche".

b3rtr6nd a commenté le 29.12.2020 16:22

Bonjour,

Problème constaté en filaire.

Il ne s'agit pas d'un bug, mais d'une limitation.
Donc il n'y a pas de problème, et par conséquent les développeurs ne feront rien.

En Wifi comme déjà indiqué par une autre personne, il y a un filtrage par adresse MAC en activant l'option "liste blanche" qui n'autorise que les connections des adresses MAC listées. C'est cette option là que vous devriez choisir.

En liste noir c'est l'inverse. Tout est autorisé sauf les adresses MAC listées.

En filaire le filtrage par adresse MAC est théoriquement possible, mais il faut faire usage de pare feux spéciaux, et l'implémentation est en réalité assez complexe.
Aucun pare feu Windows grand public n'implémente une telle fonction... dans les UNIX/LINUX/BSD ouais mais pas si simple

En fait, pour implémenter un filtrage par adresse MAC en filaire... il faudrait au préalable monter un serveur d'authentifcation radius tel qu'utilisé dans un environnement professionnel.

C'est simplement que par défaut en filaire il n'y a pas de procédures d'authentification, à l'inverse en Wifi la procédure d'authentification est obligatoire car inscrite dans la norme depuis ses origines.

Absolument aucun FAI grand public dans le monde n'implémente la fonction que vous demandez en filaire.
Sans doute certaines passerelles professionnelles très coûteuses....

Si on poursuit dans ce type de raisonnement, vous pouvez aussi poursuivre tous les FAI de France devant la justice car si votre gosse il veut vraiment se connecter sur des sites pédophilles, il le pourra via des VPN

Ca fait des années que les ayants droits se battent contre les sites de streaming qui sont fermés régulièrement mais qui réouvrent régulièrement... les FAI ne sont pas en cause, c'est le protocole Internet en l'état actuel de son implémentation qui le permet.

Avec le Minitel, France Telecom avait la mainmise presque totale, mais le minitel était un autre modèle, un modèle fermé, Internet est un modèle ouvert avec ses avantages... et ses inconvénients.

Donc... la solution : interdire l'accès au réseau câblé de la Box pour forcer le passage par le Wifi... et ça devrait suffire dans 80% des cas.
Je ne pense pas que vos gamins vont commencer à faire mumuse avec des VPNs... et puis il est connu que l'on se connecte aux sites pédophilles ou autre sites maffieux ou de terrorisme, directement par adresse IP, donc sans passer par un nom de domaine, ce qui court circuite les protections incluses dans certains serveurs DNS et votre contrôle parentale au passage, car le contrôle parentale est essentiellement basé sur une liste de banissement de noms de domaines.

Bannir des adresses IPs ça ne marche pas réellement car les sites ont pour la plupart des IPs variables...

Pour info le navigateur Opera implémente par défaut une fonctionnalité de connexion par serveur VPN gratuit. Si la fonction est activée dans ses paramétrages... à mon avis votre controle parental montrera encore une fois ses limites, et même avec un serveur radius ça ne changera absolument rien, car même pas la peine de bidouiller les adfresses MAC... on ne peut actuellement pas faire grand chose contre les serveurs VPN.

Comble de malheur... même si sous Windows vous avez pris soin de cantonner vos enfants sur un compte utilisateur strict pour leur interdire d'installer de nouvelles applications, Firefox, comme Opera et d'autres peuvent alors s'installer en mode "utlisateur" donc SANS DROITS administrateurs.

Et sous Linux.... même bordel. Avec l'apparition des Flatpak, Snap, AppImage les utilisateurs peuvent installer une ribambelle d'applis sans droit admin...

Avec un serveur VPN, le FAI perd la trace de la connexion. Tout ce qui se passe au-delà du VPN est invisible.

Si les équipes de Free ont l'idée d'implémenter un serveur radius dans la Freebox... pourquoi pas, ce ne serait pas totalement inutile, mais ça ne résoudrait pas tous les problèmes pour autant.

Il suffit juste d'utiliser Opera ou Tor

Lat31320 a commenté le 05.01.2021 17:49

Une solution "no radius" de contournement serait de prévoir un pool DHCP "stérile" (donnant pour bail une conf farfelue) où tomberait toute mac non déclarée en amont.
Il va de soit que ça ne pourrait pas être un comportement par défaut de la box tant les usagers domestiques attendent du "PnP".

Reste que quelqu'un capable de changer sa mac sera tout à fait capable de changer sa conf IP locale.

Cela rejoint dans un certain sens une demande que j'ai formulée où je demande de pouvoir verrouiller le fonctionnement DNS de la box :
https://dev.freebox.fr/bugs/task/30184

b3rtr6nd a commenté le 05.01.2021 18:57

@D.-C.M
Merci d'éviter de parler de chose que vous croyez connaître, mais que vous ne maîtrisez pas.
Laissons les dev faire leur travail : qualifier et traiter les demandes.

Cordialement

baudav a commenté le 07.01.2021 11:30

Il ne faut pas laisser les enfants avec un compte admin/root :D

bzm a commenté le 20.01.2021 12:23

L'ancien contrôle parental de la Freebox permettait bien de BLOQUER l'accès internet par défaut, et de ne l'ouvrir que pour certaines MACs, aux horaires choisis.
Cela fonctionnait en filaire ET en wifi.

Avec le changement en "Profils" qui ne permet plus cela, ce contrôle parental ne sert plus à rien :
tous les appareils récents fonctionnent de base avec des MACs virtuelles (android, win10… pas besoin d'être admin).
C'est une RÉGRESSION absurde de FreeboxOS.

@D.-C.M : Inutile de dire que quelque chose ne peut pas être fait, alors que ça existait sans souci jusqu'à encore récemment, merci…
Aucun gros développement à faire, juste à réactiver cette possibilité dans l'interface.

cf https://dev.freebox.fr/bugs/task/32898 cf https://dev.freebox.fr/bugs/task/31734 poke @aastier

Je confirme le problème avec le contrôle parental !

Avant, la logique était bonne, meilleure.

D1337 a commenté le 14.02.2021 18:14

La solution : le filtrage mac en mode liste blanche. Malheureusement, si tu possède un répéteur, même s'il fait partie de la liste blanche, il ne marchera pas. (voir https://dev.freebox.fr/bugs/task/34069 )

Freex a commenté le 05.08.2022 14:33

En effet, je rencontre aussi ce problème. Mes enfants ont vite compris en recherchant sur internet que changer l'adresse MAC de la carte réseau permettait d'être vu par la freebox comme un nouvel appareil. L'appareil étant sans profil, il n'y a aucun filtrage possible.

La solution idéale serait que la freebox puisse affecter automatiquement tout nouvel appareil réseau détecté à un profil par défaut. Libre à nous ensuite d'appliquer les règles sur ce profil par défaut: aucun filtrage, blocage complet, ou bien sur des plages horaires identiques à ce qui est prévu pour les enfants…

Pour palier à ce manque de fonctionnalité sur la freebox, j'ai du mettre en place un mécanisme externe fonctionnant sur linux. Un raspberry fait tout à fait l'affaire: 1) Utilisation de arpwatch qui envoie un mail en local sur détection d'une nouvelle adresse MAC sur le réseau local, 2) sendmail en local reçoit le mail à une adresse alias qui déclenche un script au lieu de forwarder le mail, et enfin 3) ce script se charge de récupérer la nouvelle adresse MAC détectée par arpwatch, puis en utilisant les API freebox, ajoute cette adresse dans un profil particulier. On va bien voir ce que cela donne à la rentrée. Fonctionne en wifi et en filaire.

I miss this update! I've seen this https://wordleonline.com/ announcement so late that I can't manage the time to witness the best practice of miso grill.

Auteur anonyme a commenté le 07.11.2022 04:20

És possible canviar l'adreça? https://spin-thewheel.com

Pieron a commenté le 10.11.2022 08:05

you can take a look at rolling ball 3d

Une fois cette modification effectuée, votre enfant pourra accéder à l'appareil io games sans aucun problème.

shara123 a commenté le 18.01.2023 08:00

Everything will be easier if you join https://subwaysurf.io/ subway surfers

Je suis très contrarié parce que mes contexto parents surveillent trop mes études. La solution que vous avez hearts online proposée m'a beaucoup aidé.

Auteur anonyme a commenté le 02.03.2023 16:46

Quelle est la situation de nos jours?

Auteur anonyme a commenté le 02.03.2023 16:48

És possible canviar l'adreça? https://coreball.co

Merci beaucoup pour votre aide! Je souhaite partager avec vous ma trouvaille dans le domaine de la promotion de votre site internet - https://seranking.com/fr/website-audit.html. Ce service en ligne est conçu pour un audit complet de votre ressource Web - il détermine comment le site (le vôtre, celui du concurrent ou du client) est optimisé pour les moteurs de recherche et s'il contient des problèmes qui empêchent son fonctionnement

Auteur anonyme a commenté le 06.04.2023 03:20

Il est effectivement possible de restreindre l'accès à votre réseau en autorisant uniquement les adresses MAC autorisées, et en refusant l'accès aux adresses non autorisées. Cela peut être une mesure de sécurité supplémentaire pour empêcher les utilisateurs non autorisés d'accéder à votre réseau. https://pizzatower.io/ Pizza Tower

Auteur anonyme a commenté le 16.04.2023 21:00

Il est en effet important de souligner que les contrôles parentaux ne sont pas infaillibles, et que certaines personnes mal intentionnées pourraient contourner ces mesures en modifiant l'adresse MAC de leur appareil. Il est donc important de rester vigilant et de continuer à surveiller l'utilisation de l'appareil pour assurer la sécurité des enfants. https://snaptik.pro/fr

Auteur anonyme a commenté le 11.05.2023 01:03

Il est vrai qu'il est possible de changer l'adresse MAC d'un appareil pour contourner les restrictions basées sur cette adresse. L'adresse MAC est une identité unique attribuée à l'interface réseau d'un appareil, et il est techniquement https://incrediboxgame.co/ possible de la modifier. Cependant, il convient de noter que cette méthode peut être considérée comme une tentative de contourner les mesures de contrôle parental, et son utilisation peut être contraire aux conditions d'utilisation des services ou des réseaux.

Core ball is a science fiction mini-board game for 2-4 players created by Burning Games and Big Kid Creative, where players grab, push, hack, and swipe their way to victory on an ever-changing floating board. https://core-ball.org

Auteur anonyme a commenté le 02.07.2023 10:39

Ready to enjoy your favorite YouTube music offline? Our free YouTube Downloader allows you to search for videos, download music in MP3 or MP4 formats, and listen to your preferred tracks whenever you want. No more interruptions or buffering – just pure music bliss. [url=https://ytmusichub.com/en2]Youtube Converter[/url]

Auteur anonyme a commenté le 02.07.2023 10:39

Ready to enjoy your favorite YouTube music offline? Our free YouTube Downloader allows you to search for videos, download music in MP3 or MP4 formats, and listen to your preferred tracks whenever you want. No more interruptions or buffering – just pure music bliss. Youtube Converter https://ytmusichub.com/en2

Auteur anonyme a commenté le 13.07.2023 02:03

this is an informative post and it is very beneficial and knowledgeable. https://mariogames.io mario games

Auteur anonyme a commenté le 13.07.2023 02:03
Auteur anonyme a commenté le 13.07.2023 02:04

[URL=https://google.com]google[/URL]

[url=https://google.com]google[/url]

— RARE — [link=https://google.com]google[/link]

[link name=google]https://google.com[/link]

1)

2)

[https://google.com google]

https://google.com google

[L=google]https://google.com[/L]

"google":https://google.com

[google](https://google.com)

Auteur anonyme a commenté le 13.07.2023 02:05

<a href="https://google.com">google</a>

Auteur anonyme a commenté le 18.07.2023 06:45

Dans le contexte du contrôle parental, https://geometrydashfree.org une solution supplémentaire pourrait être d'ajouter une règle pour interdire tous les appareils (adresses MAC) qui ne font pas partie du matériel autorisé.

Auteur anonyme a commenté le 15.08.2023 03:11

L'ajout d'une règle https://melonplayground.co supplémentaire pour interdire tout appareil non autorisé en se basant sur l'adresse MAC pourrait être une approche à envisager pour renforcer le contrôle parental.

Chargement...

Activer les raccourcis clavier

Liste des tâches

Détails de la tâche

Édition de la tâche