Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

Bonjour

Cela serait surtout nécessaire si la box se fait hacker (elle est exposée au net et le client final n'a aucune maitrise de la sécurité de sa freebox).

Pour résoudre le problème, j'utilise des fichiers images disques de type LUKS (Linux Unified Key Setup) .
Vu de la freebox, ce sont des fichiers gros (entre 1T et 4T) et il y a juste quelques fichiers sur le disque, ces fameuses images LUKS

Ces images sont ensuite montées sur une machine depuis le partage samba de la box (activez l'option Direct-IO de losetup et mettez un blocksize à 4K pour avoir de bonnes performances), elles sont donc vues comme des disques durs pour la machine qui les monte. Puis je met les données dans ces images.

Si la box se fait hacker (ou volée), seul des fichiers cryptés de plusieurs tera (difficile, long et cher à manipuler) sont présent sur les disques, et avec une clé AES suffisamment grande et une passphrase de plus de 30 caractères, personne à part vous ne pourras jamais rien en faire.

Par contre avec cette méthode je n'ai pas réussi à utiliser Freebox-File pour synchro des données, même avec des rbind mounts depuis une VM tournant dans une Freebox.
J'ai résolu ce dernier souci avec l'utilisation du programme 'rsync' pour Android qui fait globalment la même chose au niveau synchro de données que Freebox-Files mais vers toute machine sur laquelle on peut se connecter en rsync ou en SSH.

PS: Avec les nombreuses régressions de l'ULTRA par rapport à la DELTA et notamment l'arrêt 'sec' de la domotique sans solution de remplacement permettant de réutiliser le matériel qu'on a déjà acheter chez Free (sale coup franchement !), j'évite aujourd'hui au maximum les solutions 'made in FREE'
Imaginez que Free nous sorte un cryptage 'maison' pour crypter les disques qui ne soit pas maintenu ni libre de droits ⇒ le disque ne serait plus lisible que sur une Freebox ! À y réfléchir ma solution est probablement meilleure

Cordialement
nbanba

Pour le coup j’aimerai beaucoup un fail2ban sur les Freebox !
Ça permettrai de voir le nombre de tentative d’intrusions et de créer des règles (localisation de l’iP, etc…)

Je me sers également d’images disque chiffrées (SparseBundle sur macOS) mais c’est évidemment beaucoup moins souple que de simplement transférer la photothèque automatiquement via un smartphone.

Pour les sauvegardes de mon ordi, pas de souci : elles se font en Wifi et sont également chiffrées par un mot de passe robuste (68 caractères dans mon cas, mieux vaut être sûr !)

Bonjour,

Je remonte juste ce ticket car cela fait aussi partie des fonctionnalités que j'aimerais voir mise en œuvre par free. Le chiffrement me semble essentiel en 2025, je ne me vois pas copier des données personnelles sur mon DAS connecté à la freebox en l'absence de chiffrement.

Dans l'idéal, il faudrait également un moyen d'accéder aux données avec Windows, par exemple en cas de panne de la freebox (un peu comme on le ferait avec Bitlocker). Peut-être avec un soft dédié.

Bien sûr je pourrais acheter un NAS et la question ne se poserait plus, mais ce n'est pas le même prix et pour free le but à la base est quand même de nous faire utiliser ses solutions.

Bonjour

@Donkusei
Pas sûre que Free vous réponde et explique les tenants et aboutissants sur ce point (notamment le faible intérêt de la demande), je vais donc essayer de le faire

Déjà 1 point à noter:
Si le disque est crypté mais monté sur le système (lire: on peut écrire dessus depuis FreeboxOS ou y accéder en partage réseau), le système (ici la freebox) doit avoir les clés de cryptages du disque en mémoire et la freebox accède donc à son contenu.

Donc si la freebox se fait hacker ⇒ l'attaquant récupérant les droits root ou les droits de l'utilisateur qui accède / partage le disque aura accès aux données.

Un cryptage des disques de / depuis la Freebox n'apporterait de sécurité pour les données qu'en cas de vol des disques (une fois le(s) disque(s) offline il ne sont plus décryptable sans la clé), mais tant que ce stockage est branché et monté sur la freebox notamment pour pouvoir y écrire des fichiers avec "Freebox Files" ou depuis le réseau, et bien ce cryptage n'apporte aucune protection.

À ce stade, l'intérêt de fournir du cryptage sur les périphériques de stockage depuis la freebox devient faible (car efficace uniquement en cas de vol des disques après les avoir débrancher de la freebox)

Je vous recommande donc la méthode des "crypted sparses files" que je décris ici https://dev.freebox.fr/bugs/task/39692#comment184656

Cette méthode protège les données en cas de hacking de la box car les images disques ne sont pas montés par la freebox (donc les clés ne sont pas présentes dans la mémoire de la freebox), mais par une autre machine du réseau sécurisée pour l'occasion et qui n'est pas exposée à internet (contrairement à la Freebox). Avec cette méthode, si la freebox se fait hacker, au mieux l'attaquant peut récupérer des fichiers cryptés (dans mon cas) de 4T qu'il ne pourra pas décrypter et il ne pourra pas non plus accéder à leur contenu (sans hacker en plus de la Freebox la/les machine(s) du réseau sur lesquelles ces images sont montées). Aussi, j'écris au quotidien dans ces images de plusieurs terras, leur contenu change donc chaque heure et il faudrait aujourd'hui plus de 10h pour récupérer une de ces images par internet sur la freebox donc un attaquant même s'il disposait de la clé de décryptage récupérerait un fichier incohérent de fait non exploitable.
ET quand l'image n'est pas montée, on a la même sécurité que si un disque est crypté et physiquement débranché (en cas de vol)

Pour accéder aux "crypted sparse files" depuis Windows, c'est devenu aujourd'hui plutôt facile d’exécuter un kernel sous windows donc c'est possible en déployant un système capable de lire les disques cryptés comme décrit dans ce gist: https://gist.github.com/dreamfarer/851e792c2f36de08ad8ff287e79c87ff

Et pour créer un "crypted sparse file" la doc est ici : https://dev.freebox.fr/bugs/task/37074#comment168993

Cordialement
nbanba