Next - Orange répond sur le détournement de l’adresse 1.1.1.1 par la Livebox 4

Les clients d'Orange disposant d'une Livebox 4 sont privés du nouveau résolveur DNS 1.1.1.1, monté par Cloudflare. L'explication ? Le routeur utilise cette adresse IP en interne, comme nous le confirme l'opérateur.

Les résolveurs DNS poussent comme des champignons. En 2009, Google lançait son 8.8.8.8, devenu un standard pour la vérification de problèmes liés au DNS, soit le lien entre un nom de domaine et le serveur d'un site. Sa référence est même devenue un symbole dans certains mouvements anti-censure, notamment lors du Printemps arabe.

En novembre 2017, Quad9 se lançait avec 9.9.9.9, promettant une meilleure vie privée. La semaine dernière, Cloudflare a suivi cette voie avec 1.1.1.1, qui mise également sur la sécurité et la vie privée.

En principe, utiliser un tel résolveur DNS est simple : il suffit de l'entrer dans les paramètres de son système d'exploitation, pour outrepasser celui fourni par son fournisseur d'accès. Pourtant, avec 1.1.1.1, des clients d'Orange ont eu une surprise. La consultation du site mène vers une erreur sur les Livebox 4.

« Une erreur involontaire d’attribution d’adresse »

Le 3 avril sur la liste de discussion NANOG, un responsable de Cloudflare confirme le problème, sans pour autant avoir d'explication précise. Aux abonnés gênés, l'opérateur historique recommande d'utiliser l'adresse 1.0.0.1, qui fait office d'IP de secours du résolveur DNS.

Pourquoi donc ce problème ? Contacté, l'opérateur plaide d'abord la bévue. « Suite à une erreur involontaire d’attribution d’adresse au détriment de Cloudflare, Orange est en contact et travaille en bonne entente avec cette dernière pour régler la situation dans les plus brefs délais » nous écrit-il.

La résolution du problème n'entrainera pas d'autre changement pour les clients selon la société, pour qui l'incident est bien isolé. Pourquoi donc cette adresse est-elle indisponible au départ ? « En fait, trois adresses publiques dont 1.1.1.1 sont utilisées par la Livebox 4 pour son fonctionnement interne, ce qui les rend injoignables » justifie l'entreprise.

D'autres fournisseurs d'accès seraient concernés

Elle nous assure que la question est limitée aux Livebox 4, sans lien avec le cœur de réseau ni d'épisode précédent. Selon un membre du forum LaFibre.info, le problème n'affecte effectivement pas la Livebox 3.

Pour l'ingénieur télécom Yan Grunenberger, sur Twitter, le problème viendrait du chipset Wi-Fi Quantenna. « Le bridge interne utilise 1.1.1.1 et 1.1.1.2 pour l’API entre les deux SoC. Tous les [fournisseurs d'accès Internet espagnols] ont le même souci » détaille le spécialiste.

Autrement dit, ces adresses IP sont préemptées par la Livebox pour les communications entre différents composants, alors qu'une telle adresse publique (destinée à être utilisée sur Internet) n'est en principe pas utilisable sur un réseau local, et encore moins par un appareil pour sa mécanique interne.

Selon l'un de nos lecteurs, le problème affecterait aussi des clients de SFR, que nous avons contacté pour en avoir confirmation.

Commentaires (122)

Etre_Libre Abonné

Il y a 6 ans

Depuis quelques jours, sur SFR THD (câble), le 1.1.1.1 remarche enfin.

Samsara

Pour moi ça fonctionne depuis 6 jours avec SFR coaxial.

Commentaire_supprime

Autrement dit, ces adresses IP sont préemptées par la Livebox pour les communications entre différents composants, alors qu’une adresse publique (destinée à être utilisée sur Internet) n’est en principe pas utilisable sur un réseau local, et encore moins par un appareil pour sa mécanique interne.

C’était pas possible d’éviter ce genre de gag ? Peut-on faire communiquer les composants en interne d’une box, ou d’un appareil correspondant, sans prendre des adresses IP externe, voire des adresses IP tout court ?

C’est une question, le problème m’intéresse d’un point de vue technique. En plus, j’ai une LB 4…

KBO Zoreil

Quelqu’un pourrait m’expliquer le système économique des fournisseurs DNS de ce genre ? S’il n’y a aucune monétisation d’une partie des données, je ne vois pas comment le système peut vivre.
Merci " />

tanguy_k Abonné

Déjà si on pouvait changer le resolveur DNS de la livebox ça serait bien.
Là on est obligé de faire la manip sur chaque appareil.

Jim PROFIT

Je ne connais pas par cœur les différents normes ISO ou IEE, mais elles ne doivent pas être respectées avec ce mode de fonctionnement 

alegui Abonné

Je n’ai pas de solution toute faite, mais une raison importante pour Google et CloudFlare  est le coût très faible quand on a déjà un réseau mondial, et l’intérêt très fort pour que le DNS fonctionne bien (en Afrique ou en Asie tous les opérateurs n’ont pas un résolveur DNS qui fonctionne bien ; et même en France, des installateurs de hotspots wifi utilisent le DNS Google par facilité)

Zone démilitarisée Abonné

Heureusement que le fabricant n’a pas utilisé 8.8.8.8 !

Le fournisseur gagne en visibilité par le simple fait qu’on en parle, et cela apporte de la clientèle pour les services existants.

Ou alors ils revendent toutes les données de connexion.

TNZfr

C’est la bonne question !
Pourquoi utiliser des mécanismes de haut niveau (par rapport à du hardware / firmware) comme l’IP / ICMP / … ?

Pour moi, c’est un signe de « paresse intellectuelle » dans la conception des produits. Dans le monde logiciel, on parle de dévs avec les pieds.

FlamingFlowair

J’ai lu quelque part que ça faisait toujours une sonde de plus pour connaitre le trafic au niveau mondial.
Pas sur le contenu bien sur mais sur les noms les plus résolus, à quelle heure etc.
Pour un gestionnaire de réseau ou un CDN comme Cloudflare c’est plutôt sympa comme info.

MisterDams Abonné

Ben j’imagine qu’il doit y avoir des plages réservées pour ce genre de choses ou au moins des conventions/normes pour empêcher ce genre de conflit, au même titre que sur internet un serveur n’aura jamais pour IP 192.168.0.1
 
Mais 1.1.1.1 ça sent le truc du développeur qui voulait pouvoir le taper rapidement. " />

patos Abonné

KBO Zoreil a écrit :

Quelqu’un pourrait m’expliquer le système économique des fournisseurs DNS de ce genre ? S’il n’y a aucune monétisation d’une partie des données, je ne vois pas comment le système peut vivre.
Merci " />

Dans le cas de Cloudflare, qui est un énorme CDN, le gros avantage est qu’ils peuvent gérer la répartition géographique des clients de leurs clients tout en “rendant le service” pour les autres (ce qui ne coute pas bien cher par rapport au bénéfice du premier cas)

 

Commentaire_supprime a écrit :

C’était pas possible d’éviter ce genre de gag ? Peut-on faire communiquer les composants en interne d’une box, ou d’un appareil correspondant, sans prendre des adresses IP externe, voire des adresses IP tout court ?

C’est une question, le problème m’intéresse d’un point de vue technique. En plus, j’ai une LB 4…

Non, c’est pour ça qu’on a inventé les adresses IP privées des classes A B et C (10.0.0.0/8, etc…)
Mais pour cela, il faut que les gens les respectent. Et là c’était pas le cas.

TheGuit Abonné

C’est d’autant plus gag/grave que personne ne me fera croire que c’était TELLEMENT plus simple d’écrire 1.1.1.1 que d’écrire 10.0.0.0 qui lui est disponible en utilisation privée. 

Minikea

en fait si: sur un système unix on peut utiliser des socket, du moment que les services sont sur le même système.
après, ça enlève peut-être un peu d’homogénéité dans le fonctionnement de l’appli si on utilise de l’IP partout ailleurs, mais ça reste plus propre que d’utiliser des adresses publiques!

source:https://en.wikipedia.org/wiki/Unix_domain_socket

anonyme_7c080d0b57a30a99451672cfc228f71f

Pourquoi 1.1.1.1 ? parce que 1.3.3.7 était déjà utilisée ? par qui ? Tout ça n’est pas clair. " />

levhieu

Utiliser IP pour faire communiquer des processus sur un même système, ça marche.

(Si nécessaire, ce cher 127.0.0.1 doit pouvoir expliquer comment faire :))

psikobare

N’en demandons pas trop à Orange

MoonRa

C’est ironique que Google lutte contre la censure, alors qu’ils sont eux mêmes les plus grands censeurs.

Hugues1337

Le 1.1.1.1 utilisé en interne c’est sale mais pas à 100% de leur faute, pendant très longtemps cette plage était expérimentale…

DownThemAll

Comme souvent, ça ignore les bonnes pratiques et après ça s’étonne que ça ne marche pas correctement.
Utiliser une IP publique pour faire communiquer 2 SOC, c’est fort!

fred42 Abonné

De ce que j’ai pu comprendre en cherchant et en m’aidant de google traduction puis directement sur le site du fabricant, le chipset wi-fi est en fait un ensemble intégré avec son processeur et son système d’exploitation (Linux). Il est connecté au routeur de la box par Ethernet. Voici un exemple de descriptif d’un de leur chipset, les interfaces RGMMI sont les interfaces Ethernet. Vu que les débits atteints sont en Gb/s cela n’est pas idiot. On voit même qu’ils ont prévu 2 liens Ethernet pour cela.

À partir de là, il est assez intuitif d’utiliser ce lien Ethernet pour communiquer et configurer le Wi-Fi.

Par contre, il devrait être proscrit d’utiliser des adresses IP routables comme 1.1.1.1 et 1.1.1.2.
Il faut utiliser des adresse IP privées, mais dans un routeur où l’on ne sait pas dans quel contexte il va être utilisé et quelle plage d’adresse privée va être utilisée avec lui. Il faut donc un système qui s’adapte pour ne pas utiliser celle choisie par l’utilisateur du router (ici, la livebox) et ça commence à être une usine à gaz…
Personnellement, j’aurais tapé dans la plage d’adresse IP auto-assignée en 169.254., cela a l’avantage que les appareils savent réagir s’ils se sont assignés la même adresse que celle du chipset Wi-Fi en s’en assignant une autre. Mais ce n’est pas génial non plus.

La faute initiale est celle du fabricant du chipset, le problème peut peut-être être résolu uniquement en travaillant sur les tables de routages interne de la box, mais j’ai un peu la flemme d’y réfléchir.

Minikea a écrit :

en fait si: sur un système unix on peut utiliser des socket, du moment que les services sont sur le même système.
après, ça enlève peut-être un peu d’homogénéité dans le fonctionnement de l’appli si on utilise de l’IP partout ailleurs, mais ça reste plus propre que d’utiliser des adresses publiques!

source:https://en.wikipedia.org/wiki/Unix_domain_socket

Oui mais quand j’ai lu interne, j’ai lu “interne au réseau Orange” avec mon petit cerveau fatigué.
127.0.0.1 est pas fait pour les chiens quand c’est sur le même périphérique, et c’est tellement plus rapide !

MilouseBW

J’ai une Livebox 4 et le DNS 1.1.1.1 marche très bien, je ne comprends pas …

Et tu interdis donc d’utiliser cette adresse sur le réseau privé derrière la Livebox : tu n’as fait que reporter le problème. Comme je le dis dans mon message précédent, il faut taper dans une plage d’adresses privées mais être capable d’en changer si celle-ci est utilisée, ce n’est pas si simple à mettre en place.

Ce n’est justement pas des communications sur un même host, mais entre la Livebox (sa partie routeur) et le point d’accès Wi-Fi de cette même Livebox.

Bourrique

patos a écrit :

127.0.0.1 est pas fait pour les chiens quand c’est sur le même périphérique, et c’est tellement plus rapide !

C’est simple, ca marche de partout et le risque de mettre le souk en dehors de sa gamelle est extrèmement restreint.

Bref pourquoi faire simple quand on peut faire compliqué " /> " />

fred42 a écrit :

Ce n’est justement pas des communications sur un même host, mais entre la Livebox (sa partie routeur) et le point d’accès Wi-Fi de cette même Livebox.

Oué j’ai rerererelu et ai enfin compris que ces cons là n’ont pas découvert l’IPv6 quand ils ont fait leur chipset wifi.

Le problème aurait été le même en IP V6, même s’il y a plus d’adresses disponibles et en particulier plus d’adresse privées mais honnêtement, le réflexe IP V4 est assez naturel dans ce genre de cas : il y a quelques dizaines d’années d’habitudes.

Les traiter de cons, est un peu rapide, j’allais dire idiot. " />

Nozalys Abonné

Je comprends pas, chez moi ça fonctionne " />
Le tracert me renvoie 10 sauts jusqu’à 1dot1dot1dot1.cloudflare-dns.com [1.1.1.1]

patos a écrit :

Oui mais quand j’ai lu interne, j’ai lu “interne au réseau Orange” avec mon petit cerveau fatigué.
127.0.0.1 est pas fait pour les chiens quand c’est sur le même périphérique, et c’est tellement plus rapide !

+1 si faut vraiment de l’IP et si ça doit être deux IP différentes (logiciel codé avec les pieds) on utilise des IP locales. " />

levhieu a écrit :

Utiliser IP pour faire communiquer des processus sur un même système, ça marche.

(Si nécessaire, ce cher 127.0.0.1 doit pouvoir expliquer comment faire :))

ha mais je dis pas le contraire. juste que, du coup, c’est pas la seul technique possible sur un même système Unix. (après la livebox n’est peut-être pas basée sur du Unix mais ça serait un peu étrange de réinventer la roue)

tazvld Abonné

J’ai l’impression que les adresses sont hardcodé dans le firmeware (en soit, ça évite des indirections à tout va). J’ai aussi l’impression que ces composants doivent être accessible de l’extérieur de ce réseau de composant (sinon, il n’aurait jamais eu d’accès à partir du réseau local et donc pas d’interférence).
Je voyais donc la possibilité que ces composant soient plutôt isolé dans un sous réseau local (avec leur propre baille d’IP) qui possède une IP dans le réseau local. Mais du coup, il faut un routeur pour géré le routeur… " /> mouai, on est pas sortie

Le problème est peut-être déjà corrigé. Tu es le deuxième à dire que ça marche ou tu n’utilises peut-être pas le Wi-Fi.

Jarodd Abonné

J’ai une Livebox mais je ne sais pas si c’est la “4”… Est-ce la blanche qui est fournie pour les offres fibre (Orange/Sosh) ?

La 4, c’est celle là :https://assistance.orange.fr/medias/woopic/images/var/orange/storage/images/fron…

Leum Abonné

Minikea a écrit :

ha mais je dis pas le contraire. juste que, du coup, c’est pas la seul technique possible sur un même système Unix. (après la livebox n’est peut-être pas basée sur du Unix mais ça serait un peu étrange de réinventer la roue)

Il y a des équipements réseaux qui utilisent des OS temps réel, du classique pour l’embarqué.

VxWorks me semble être le plus populaire.

Par contre ce qui me surprends c’est que Wikipedia liste OS X et iOS comme OS temps réel sur la page en français. Un plaisantin?

Daweb Abonné

tanguy_k a écrit :

Déjà si on pouvait changer le resolveur DNS de la livebox ça serait bien.
Là on est obligé de faire la manip sur chaque appareil.

Carrément, c’est chiant ce truc…
Ou alors faut se faire un serveur DHCP sur un synopsis par exemple. Mais ca complique le truc

C’est pourtant une base de pouvoir régler cela..’

AltreX

hum pourquoi de pas mettre un genre de proxy devant comme ça il y a un réseau dédié pour les coms Wi-Fi et derrière tu rends l’interface Proxy réseau local configurable par l’utilisateur au besoin.
Après je n’ai pas étudié le problèmes réellement je me base simplement sur les commentaire, du coup il y a peu-être d’autres points bloquants.

Ok merci, il va falloir que je vérifie, je ne suis pas sûr d’avoir ce modèle…

Je ne comprends pas ta notion de proxy dans ce contexte. Lire mon premier commentaire sous cet article, j’explique un peu plus le contexte et les difficultés à résoudre.

tazvld a écrit :

J’ai l’impression que les adresses sont hardcodé dans le firmeware (en soit, ça évite des indirections à tout va). J’ai aussi l’impression que ces composants doivent être accessible de l’extérieur de ce réseau de composant (sinon, il n’aurait jamais eu d’accès à partir du réseau local et donc pas d’interférence).
Je voyais donc la possibilité que ces composant soient plutôt isolé dans un sous réseau local (avec leur propre baille d’IP) qui possède une IP dans le réseau local. Mais du coup, il faut un routeur pour géré le routeur… " /> mouai, on est pas sortie

ou alors utiliser une ou des IP publique mais qu’il possède. Orange est un FAI, il n’a qu’à se réserver deux IP publiques qu’il réutilisent dans ses box. là il est sûr que personne ira les piquer. ça reste crade mais il n’aurait pas le problème qu’il rencontre aujourd’hui.

Plastivore Abonné

Daweb a écrit :

Carrément, c’est chiant ce truc…
Ou alors faut se faire un serveur DHCP sur un synopsis par exemple. Mais ca complique le truc

C’est pourtant une base de pouvoir régler cela..’

Au risque de la jouer Captain Obvious, je pense que c’est tout simplement pour nous “inciter” à utiliser les DNS de l’opérateur. J’ai vu ça chez Sky et Virgin au Ryaume-Uni, aussi. Pas cool. Depuis le temps que je veux metter dnsmasq sur une de mes pi…

Ce n’est pas Orange qui a choisi ces 2 adresse IP mais leur fournisseur de chipset Wi-Fi : Quantenna.
Ils auraient pu faire comme cela avec des adresses IP à eux, j’y ai aussi pensé, mais rien n’empêche une ré-attribution d’adresses IP à quelqu’un d’autre a priori, donc cela aurait pu être problématique, même si moins probable.

grunge666 Abonné

Plastivore a écrit :

Au risque de la jouer Captain Obvious, je pense que c’est tout simplement pour nous “inciter” à utiliser les DNS de l’opérateur. 

Pas uniquement. C’est aussi pour des raisons de sécurité et qu’un “virus/trojan” modifie le DNS de la gateway par un fake DNS qui renverrait vers des faux site par exemple.

jdloic Abonné

Ils auraient du prendre des adresses IP 127.0.0.0/8 ou au moins non-routable " />

fred42 a écrit :

Et tu interdis donc d’utiliser cette adresse sur le réseau privé derrière la Livebox : tu n’as fait que reporter le problème. Comme je le dis dans mon message précédent, il faut taper dans une plage d’adresses privées mais être capable d’en changer si celle-ci est utilisée, ce n’est pas si simple à mettre en place.

C’est quand même beaucoup moins grave de bloquer 1 ip dans une plage privé qu’une ip dans une plage publique. Avec 16 millions d’IP dans la place 10.x.x.x je suis pas sur et certains que le problèmes soit insurmontable. Surtout que bon le pékin moyen ne joue jamais dans la place 10. Et l’entreprise qui utilise une Livebox sur son réseau tant pis pour elle " />.

Tu aurais pu lire les commentaires précédents.

Jarodd a écrit :

J’ai une Livebox mais je ne sais pas si c’est la “4”… Est-ce la blanche qui est fournie pour les offres fibre (Orange/Sosh) ?

Ah, bah en fait c’est parce que c’est pas la 4 dont je dispose. Moi c’est la boîte noire avec un écran LCD orange en face avant et qui tombe en panne comme une horloge tous les 365 jours d’activité. " />

Oh, wait….. En fait c’est exactement la même description entre la 3 et la 4 " />

ce n’est pas Orange qui a choisi ces adresses mais le fournisseur de chipset Wi-Fi qui doit être aussi utilisé sur du matériel pro.
1. quand tu as conscience d’un problème (ne pas utiliser une adresse IP qui peut être utilisée par d’autres, tu le traites complètement (y compris pour les plages d’adresses privées), et ce n’est pas si simple comme je l’ai indiqué. En fait, je parle d’expérience, j’ai déjà été confronté à ce genre de problématique sur des produits très différents et on y avait réfléchit en détail pour finir par choisir la plage 169.254 sans être très fiers de ce choix, mais il nous avait semblé le moins mauvais.

" /> C’est la 3 que tu as, la Play, comme chez moi. Elle ne tombe pas en panne ici.

Mihashi Abonné

fred42 a écrit :

ce n’est pas Orange qui a choisi ces adresses mais le fournisseur de chipset Wi-Fi qui doit être aussi utilisé sur du matériel pro.

quand tu as conscience d’un problème (ne pas utiliser une adresse IP qui peut être utilisée par d’autres, tu le traites complètement (y compris pour les plages d’adresses privées), et ce n’est pas si simple comme je l’ai indiqué. En fait, je parle d’expérience, j’ai déjà été confronté à ce genre de problématique sur des produits très différents et on y avait réfléchit en détail pour finir par choisir la plage 169.254 sans être très fiers de ce choix, mais il nous avait semblé le moins mauvais.

Et le chipset wifi peut pas avoir une IP privée affectée par DHCP ? (question de béotien, ne pas taper si elle est stupide " />)

Je parlais de proxy dans le sens ou la config box -> Wi-fi ne peut pas être dynamique, la composante proxy permettrais de cloisonner ce réseaux fixe, et de rendre dynamique son accession grâce à la configuration de ce dit proxy.
C’était juste une réflexion sur les problématiques précédemment énoncées, et une potentielle résolution en fonction de ce que j’avais compris.
Mais c’est peu-être hors propos.

Si elle pourrait éventuellement, mais il faudrait quand même que la partie routeur de la livebox la récupère pour la connaître et ça ferait une adresse de moins de disponible dans la plage. Il vaut donc mieux une plage d’adresse différente de la plage d’adresse réseau privé géré par la box. (Dans le cas auquel j’avais été confronté, cela n’était pas possible, c’était une émulation d’internet sur un lien USB.)

Tu expliques “proxy” par “proxy”, je n’ai toujours rien compris. " />

C’est quoi un proxy pour toi dans ce contexte ?

Si le fabricant de chipset donne la même adresse IP à tous ses composants, c’est bien qu’il s’attend à ce que cette adresse ne soit pas visible de l’extérieur. Donc, sans dédouaner totalement le fournisseur, Orange s’est planté en laissant fuiter cette adresse.

Le coût de licence de VxWorks me parait incompatible avec la recherche d’économie dans tous les sens qui s’applique sur les box FAI

Ce n’est pas qu’une question de coût, sur de gros volumes, ça pourrait beaucoup baisser.
C’est aussi que Linux sur ce genre de produits est nettement supérieur à la fois sur la qualité de la pile réseau et des softs disponibles. Ce n’est pas pour rien que Wind River a aussi une offre Linux pour couvrir cette part de marché.
En plus, on n’a pas besoin d’un “temps réel dur” sur ces produits.

Seazor Abonné

Il me semble que dans certaines entreprises ou hôtels, le portail captif pour les clients se trouve sur cette IP.

seboquoi

Avec tout ça (et les autres lectures sur le sujet), je ne me suis toujours pas déterminé à utiliser ces DNS alternatifs..

Hum désolé effectivement c’était pas très clair, j’entends par proxy dans ce cas une système qui va recevoir un flux qu’il va rediriger vers une destination différente et potentiellement sur un réseau différent (dans notre cas c’est donc un reverse proxy), mais ce n’est pas le rôle à la base d’un proxy ou reverse proxy en soit, c’est juste quelque chose que je connais pouvant s’en rapprocher, en soit un NAT pourrais aussi correspondre au besoin.

En fait j’ai un boitier noir et un boitier blanc. J’ai un doute sur lequel est la Livebox 4 (vu la photo ça doit être le noir).

Pour connaître le modèle de box, aller dans le menu assistance du site WEB de la box et choisir informations systèmes.

Chez moi, je vois :
modèle Livebox 3

Comme tu as un mélange de box noire et blanche, j’aurais tendance à dire que tu as aussi une Livebox 3.

Apone Abonné

bah ?
et IPV6 ??

Merci, je testerai ce soir " />

WereWindle

Apone a écrit :

bah ?
et IPV6 ??

déjà répondu plus haut : ça aurait juste déplacé le problème, l’aurait un peu mitigé mais ne l’aurait pas empêché de se produire " />

Linuxation

Pour obtenir une liaison avec des résolveurs DNS libres, réactifs (proches de chez soi) et non mouchards :
https://www.opennic.org/

trexmaster

Commentaire_supprime a écrit :

C’était pas possible d’éviter ce genre de gag ? Peut-on faire communiquer les composants en interne d’une box, ou d’un appareil correspondant, sans prendre des adresses IP externe, voire des adresses IP tout court ?

C’est une question, le problème m’intéresse d’un point de vue technique. En plus, j’ai une LB 4…

Si tu savais le nombre de boites qui utilisent des ranges publics pour leurs LANs … Y compris des (très) grands groupes …

grdnico Abonné

Bonjour ,

Si le développement du système WiFi mis en cause est récent, ils auraient pu utiliser une plage en /30 dans 100.64.0.0/10 ( pour ceux qui ne connaissent pas du private network utilisé par les FAI).  

 cdlt,

Ha yes je vois l’idée, merci pour vos réponses !

jaguar_fr Abonné

ils utilisaient Linux + des logiciels libres, ça doit être toujours le cas et ils publient les sources ici:
https://opensource.orange.com/en/software/home-sofware/

Geronimo54 Abonné

Dans le même ordre d’idée orange reroute systématiquement le port 21 vers leur serveur mail. Difficile d’auto-héberger à la maison son serveur d’email du coup…

cognitys Abonné

Tous les [fournisseurs d’accès Internet espagnols] ont le même souci » détaille le spécialiste.  nop aucun soucis chez adamo.es

Remilitaire Abonné

Tu nous conseilles quel serveur pour la France ?

ErGo_404

Tu veux dire qu’on devrait utiliser un résolveur DNS contrôlé par des individus, qui n’y connaissent peut-être rien du tout à la sécurité ou pire qui sont malveillants et sur lesquels personne n’exerce le moindre contrôle ?

127.0.0.1

+1.

Au pire le block 240.0.0.0/4 aurait été mieux qu’une adresse publique.

XMalek

Tu veux dire qu’ils ont enfin fait l’interception correcte des requêtes ? Non parce que sfr intercepte les requêtes vers opendns/google pour les timeout et/ou utiliser ses résultats…

Jamais bon d’utiliser quelque chose de réservè pour usage futur.

À la limite 192.0.2.0/24 ou une des 2 autres plages réservées pour être utilisées en exemple dans les documentations.

Je viens de découvrir. Au moins, il y a peu de risque d’interférence.

Je n’ai cité que le coût parce que ça me semblait l’argument le plus rapide.
À ce sujet, je ne crois pas que la baisse à l’unité liée à la montée en quantité soit suffisante, parce que j’ai vu des fabricants d’imprimantes laser envisager de renoncer à VxWork pour cette raison de coût.

Mais sinon, je suis d’accord sur les 2 autres arguments: La logithèque Linux imbattable, et une box ne nécessite pas de temps réel dur en dehors des traitements réseau, qui sont délégués aux bloc HW dédiés.

Pour avoir vécu le passage d’un OS temps réel (autre que VxWorks) à Linux justement dans le domaine des imprimantes laser, je sais que le coût R&D de réécriture/portage est colossal et qu’il aurait permis de payer beaucoup de licences.

On l’avait fait pour les autres raisons.

ajangot Abonné

Pour bosser sur du VxWorks tous les jours (hélas), ce n’est pas le cout de la licence (15k€/an/poste) mais les royalties qui sont exorbitants !!! pour du projet militaire, on est sur du 2,5k€ par cible materiel, usage unique donc quand tu change de matos, tu repayes, tu veux changer par exemple le CPU, tu repayes, tu changes le code avec un nouvelle librairie, tu repayes, bref tu payes bcp.
Et autre chose, tu dois rendre des compte à Wind River tous les 3 mois sur les applications que tu développes même ceux que tu as livré chez ton client….bref si je pouvais tous passer par du linux…..

boogieplayer

Pour ma part j’utilise et utiliserai 9.9.9.9 parce que cloudflare a déjà trop d’importance et est devenu un point de vulnérabilité du web. C’est donc inutile, de mon point de vue, d’utiliser 1.1.1.1 surtout le souk que ça met sur les routeurs.

Donc bon courage à admin à qui on imposera le 1.1.1.1 comme résolveur " />

My bad, c’est bien aux «royautés» que je pensais

KP2

Hugues1337 a écrit :

Le 1.1.1.1 utilisé en interne c’est sale mais pas à 100% de leur faute, pendant très longtemps cette plage était expérimentale…

Ouais mais c’est pas une raison. C’est une plage qui est hors rfc1918 donc on l’utilise pas, point.
Franchement, je trouve qu’Orange et son constructeur sont vraiment des abrutis sur cette histoire.

boogieplayer a écrit :

Donc bon courage à admin à qui on imposera le 1.1.1.1 comme résolveur " />

Personne n’impose à personne d’utiliser un resolveur ou un autre. Et puis, il y a toujours la solution d’installer son propre resolveur. C’est pas excessivement compliqué (c’est même la conf par défaut de pratiquement tous les serveurs dns du marché)

fred42 a écrit :

La faute initiale est celle du fabricant du chipset, le problème peut peut-être être résolu uniquement en travaillant sur les tables de routages interne de la box, mais j’ai un peu la flemme d’y réfléchir.

Franchement, je comprends pas pourquoi il faudrait adresser les 2 morceaux dans ce cas. Ils pourraient très bien les laisser au niveau 2 et ça marcherait très bien. Pourquoi faire du routage ? ca me parait absurde…

bruce Abonné

Geronimo54 a écrit :

Dans le même ordre d’idée orange reroute systématiquement le port 21 vers leur serveur mail. Difficile d’auto-héberger à la maison son serveur d’email du coup…

C’est pas plutôt le port 25? 21 c’est FTP ;)
 
Le port 25 est souvent bloqué pr les opérateurs car utilisé par les spambots et autres malwares.
 
Pour l’hébergement maison, tout serveur de mail digne de ce nom propose un autre port, au moins le 587 ou le 465 (pour les connexions chiffrées), il ne devrait pas y avoir de problème.

KP2 a écrit :

Personne n’impose à personne d’utiliser un resolveur ou un autre. Et puis, il y a toujours la solution d’installer son propre resolveur. C’est pas excessivement compliqué (c’est même la conf par défaut de pratiquement tous les serveurs dns du marché)

On est bien d’accord chacun fait comme il veut. Mais dans les entreprises y’a des DSI un peu fous qui sautent sur la première news venue et qui impose sans procès au tech/dev/admin de faire avec la mode du moment. Je prends le pari qu’il a en ce moment des admin qui s’arrachent les cheveux parce qu’un N+1 /+2 /+3 qui vient de leur imposer le 1.1.1.1 parce que… “c’est comme ça” (exemple d’explication, non exhaustif )

boogieplayer a écrit :

Pour ma part j’utilise et utiliserai 9.9.9.9 parce que cloudflare a déjà trop d’importance et est devenu un point de vulnérabilité du web. C’est donc inutile, de mon point de vue, d’utiliser 1.1.1.1 surtout le souk que ça met sur les routeurs.

Donc bon courage à admin à qui on imposera le 1.1.1.1 comme résolveur " />

+1.

Installé 9.9.9.9 sur la partie logicielle de la connexion RJ45 de ma station de travail. Fonctionne bien.

Yep d’autant plus que 1.1.1.1 ne propose rien de plus que propose 9.9.9.9 Donc inutile de mettre trop d’œufs dans le panier de cloudflare. Soyons raisonnables et dispatchons, ça délayera le risque.

Poppu78

OK,
mais même en utilisant du lien Ethernet ils auraient pu utiliser autre chose que de l’IP quitte à mettre un protocole propriétaire puisque c’est de toute façon de la communication point à point en interne.

SebGF Abonné

Geronimo54 a écrit :

Dans le même ordre d’idée orange reroute systématiquement le port 21 vers leur serveur mail. Difficile d’auto-héberger à la maison son serveur d’email du coup…

Comme signalé par quelqu’un plus haut, tu dois vouloir dire port 25 pour le SMTP.

Un serveur de mail, c’est aussi celui qui héberge le courrier à proprement parler (imap, etc) et ça c’est pas restreint à ma connaissance.
Pour ma part, afin d’éviter les risques d’un SMTP qui parte en couille à cause d’un défaut de conf ou se fasse blacklister pour X raisons, j’ai choisi une autre option. Mon SMTP relaye à celui de Numericable.

Seul souci actuel, cc’est que mon SMTP n’accepte de relayer que ce qui vient d’IP précises (en gros j’ai autorisé que ma publique + le LAN). Donc je ne peux pas envoyer de mail via mon portable en 4G par exemple… Mais comme j’en ai besoin 2 fois dans l’année, j’ai le temps de trouver une autre solution. " />

athlon64

boogieplayer a écrit :

On est bien d’accord chacun fait comme il veut. Mais dans les entreprises y’a des DSI un peu fous qui sautent sur la première news venue et qui impose sans procès au tech/dev/admin de faire avec la mode du moment. Je prends le pari qu’il a en ce moment des admin qui s’arrachent les cheveux parce qu’un N+1 /+2 /+3 qui vient de leur imposer le 1.1.1.1 parce que… “c’est comme ça” (exemple d’explication, non exhaustif )

Expliquer qu’il y a des normes ça marche pas ?

Pour moi OpenNIC n’est pas assez fiable, au bout de quelques mois je devais souvent changer de DNS dans leur liste, pas très gérable.

Exagone313 Abonné

Les plages d’adresses IP réservées sont visibles sur cette page (en anglais).

Et toute la plage 127.0.0.0/8 est dispo, la plupart des gens ne connaissent que 127.0.0.1.
Si ça se trouve ils ont plusieurs machines dans une livebox, ou ils utilisent des machines virtuelles (oups, c’est de l’embarqué). " />

Faut bien augmenter son compteur de commentaire à un moment donné.

boogieplayer a écrit :

On est bien d’accord chacun fait comme il veut. Mais dans les entreprises y’a des DSI un peu fous qui sautent sur la première news venue et qui impose sans procès au tech/dev/admin de faire avec la mode du moment. Je prends le pari qu’il a en ce moment des admin qui s’arrachent les cheveux parce qu’un N+1 /+2 /+3 qui vient de leur imposer le 1.1.1.1 parce que… “c’est comme ça” (exemple d’explication, non exhaustif )

Bof, je pense pas… y’a des tarés chez les DSI (et plus haut) mais pas la dessus. Personne ne comprend rien à DNS et à son importance alors je doute que ce genre de situation survienne à grande échelle.
Après, je suis sur que dans le monde, on trouvera bien 2 ou 3 cas extrêmes de ce genre mais de là à s’en alarmer…

Par contre, y’a plus de risques d’avoir qq PME dont l’authentificaction AD deconnera sérieusement car le tech info (le fameux « responsable informatique ») aura pris l’initiactive de bricoler les resolveurs DNS de son réseau sans rien y comprendre aux conséquences… (déjà vu)

Zergy

J’ai une Livebox 4 mais vu que j’utilise un VPN FDN sur mon routeur perso (la LB4 ne sert que de modem) je n’ai pas de problème.
Sinon, faut dire à Orange que les IP privé de classe A, B et C ça existe.

lordofkill Abonné

Quand cloudflare parle de vie privé ou de liberté et que de l’autre coté on leur rapporte des site violant les loi de l’UE , du canada , des USA et j’en passe , 
Tel des site de vente de donnée personnel ou de faille de sécurité 
Ou encore leur fameux cookie obligatoire pour supposément sépsré les bonne mahcine des mauvaise 

J’ai un gros doute sur leur véritable but

J’ai du me battre pour faire retiré des donnée privé sur un siteweb et même ils disaient non responsable de ce que le site affichais même aprés trois plainte et le pire le site continu a opéré sur le service cloudflare 

Je douterais même pas que cloudflare organise eux même des attaque ddos

athlon64 a écrit :

Expliquer qu’il y a des normes ça marche pas ?

quel rapport avec ce que je viens d’écrire ?

Les dev/sysadmin etc. ne sont ils pas censés expliquer a leurs chefs les normes et pourquoi ils ne devraient pas le faire ?

SebGF a écrit :

Comme signalé par quelqu’un plus haut, tu dois vouloir dire port 25 pour le SMTP.

Un serveur de mail, c’est aussi celui qui héberge le courrier à proprement parler (imap, etc) et ça c’est pas restreint à ma connaissance.
Pour ma part, afin d’éviter les risques d’un SMTP qui parte en couille à cause d’un défaut de conf ou se fasse blacklister pour X raisons, j’ai choisi une autre option. Mon SMTP relaye à celui de Numericable.

Seul souci actuel, cc’est que mon SMTP n’accepte de relayer que ce qui vient d’IP précises (en gros j’ai autorisé que ma publique + le LAN). Donc je ne peux pas envoyer de mail via mon portable en 4G par exemple… Mais comme j’en ai besoin 2 fois dans l’année, j’ai le temps de trouver une autre solution. " />

Un SMTPS avec un port batard et une identification différente de ton mail mais rattachée à lui et roulez jeunesse (je faisais comme ça avant de me servir finalement d’outlook.com… )

madz06 Abonné

Ce genre de blague illustre parfaitement la légèreté avec laquelle nos FAIs considèrent leurs eyeballs clients, aucune box grand public ne tient la route.
Un SoC avec ce type de configuration scabreuse n’aurait jamais du être qualifié, et quand bien même ce serait le seul sur le marché, si des développeurs avec des connaissances réseau avaient réalisé le firmware de la box, ils auraient à minima isolé ça dans une table de routage séparée (VRF pour les intimes) pour ne pas mettre la pagaille du côté utilisateur.
À la place on a surement mis des stagiaires sur le coup et un marketeux chef de projet product owner qui a dit “c’est pas grave ce sera jamais utilisé ailleurs”.

anonyme_5e803125853bedc538ea8905114f61fa

Il reste la solution VPN… La majorité utilise leur propre serveur DNS.

athlon64 a écrit :

Les dev/sysadmin etc. ne sont ils pas censés expliquer a leurs chefs les normes et pourquoi ils ne devraient pas le faire ?

Oui c’est vrai. Mais dans les vrai vie… " />

madz06 a écrit :

si des développeurs avec des connaissances réseau avaient réalisé le firmware de la box

On peut rêver…

TheMyst Abonné

Perso, comme conseillé par différentes personnes dans la news précédente, j’ai mis en place un service unbound sur un raspberry-pi chez moi.
Je n’ai pas senti de différence particulière, et ça fonctionne bien.
(Mais faudrait que je valide que ça fonctionne réellement " />)

Les chefs sont incompétents ? " />

perso, j’ai utilisé dnsmasq mais c’est parce que j’ai d’autres besoins en plus du DNS. (PXE, adblock par DNS,…)

athlon64 a écrit :

Les chefs sont incompétents ? " />

Yep, c’est le fameux principe de Peter : « dans une hiérarchie, tout employé a tendance à s’élever à son niveau d’incompétence », avec pour corollaire que « avec le temps, tout poste sera occupé par un employé incapable d’en assumer la responsabilité »

" />

vermi

TheGuit a écrit :

C’est d’autant plus gag/grave que personne ne me fera croire que c’était TELLEMENT plus simple d’écrire 1.1.1.1 que d’écrire 10.0.0.0 qui lui est disponible en utilisation privée. 

C’est clair, ou même utiliser une IP “Link Local” :&nbsphttps://en.wikipedia.org/wiki/Link-local_address#IPv4

Je l’ai déjà proposé plus haut. " />

ForceRouge Abonné

Perso, j’ai deux serveurs DNS maison, dont un qui est le résolveur du synology.

Sinon, y a pas que google, quad-nine et cloud flare.

Level 3: 209.244.0.3 209.244.0.4
Verisign: 64.6.64.6 64.6.65.6

Pour VeriSign je les trouve pas mal, par contre Level 3 je l’ai déjà trouvé menteur, ça j’aime pas du tout.

Exemple :

> server 209.244.0.3
Serveur par défaut : resolver1.level3.net
Address: 209.244.0.3

> freeeeeeeeeeee31531255.fr
Serveur : resolver1.level3.net
Address: 209.244.0.3

Réponse ne faisant pas autorité :
Nom : freeeeeeeeeeee31531255.fr
Addresses: 198.105.254.11

       104.239.213.7

> server 9.9.9.9
Serveur par défaut : dns.quad9.net
Address: 9.9.9.9

> freeeeeeeeeeee31531255.fr
Serveur : dns.quad9.net
Address: 9.9.9.9

*** dns.quad9.net ne parvient pas à trouver freeeeeeeeeeee31531255.fr : Non-existent domain

Quiproquo Abonné

L’un n’empêche pas l’autre.

c’est vrai. " />
du coup mon dnsmasq pointe vers quad9 de base

Oups, bien vu.

Hop level 3 => rayé de ma liste.

Merci pour les conseils. Je parlais effectivement du port 25 au début.

aphyo

Oui c’est possible en IP sans créer de conflit, il suffit d’utiliser les IPs 127.0.0.0/8 qui sont réservés précisément à cet usage.

Cette plage ne concerne qu’un host local et pas 2 éléments de la box reliés par Ethernet comme ici.

127.0.0.0/8 - This block is assigned for use as the Internet host

loopback address.  A datagram sent by a higher level protocol to an   

address anywhere within this block should loop back inside the host.   

This is ordinarily implemented using only 127.0.0.1/32 for loopback,   

but no addresses within this block should ever appear on any network   

anywhere [RFC1700, page 5]. (RFC 3330)

Quand on répond 6 jours après, on lit les commentaires déjà faits pour éviter d’écrire une bêtise.

dylem29 Abonné

T’es méchant toi. " /> 

Non, j’ai été gentil, j’ai écrit bêtise alors que j’hésitais entre ânerie et connerie au début. " />

Orange répond sur le détournement de l’adresse 1.1.1.1 par la Livebox 4

We are number 1.1.1.1

« Une erreur involontaire d’attribution d’adresse »

D'autres fournisseurs d'accès seraient concernés

Tiens, en parlant de ça :

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Dire que je râlais après les opérateurs de téléphonie mobile…

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Petite révolution tranquille

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

Report minoritaire

Sommaire de l'article

Introduction

« Une erreur involontaire d’attribution d’adresse »

D'autres fournisseurs d'accès seraient concernés

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6 a sa première bêta, le tour des nouveautés

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Le poing Dev – Round 7

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

Trois consoles portables en quelques semaines

Cyberrésilience : les compromis (provisoires) du trilogue européen

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

#Flock a sa propre vision de l’inclusion

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Pourquoi le site du média StreetPress a été momentanément inaccessible

re:Invent 2023 : Amazon lance son assistant Q et plusieurs services IA, dont la génération d’images

Le Conseil de l’UE tire un bilan du RGPD, les États membres réclament des « outils pratiques »

19 associations européennes de consommateurs portent plainte contre Meta

#LeBrief : Ariane 6 l’été prochain, Nextcloud rachète Roundcube, désinformation via la pub

CVSS 4.0 : dur, dur, d’être un expert !

Starlink accessible à Gaza sous contrôle de l’administration israélienne

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

Règlement sur la cyber-résilience : les instances européennes en passe de conclure un accord

AGI, GPAI, modèles de fondation… de quoi on parle ?

#LeBrief : logiciels libres scientifiques, fermeture de compte Google, « fabriquer » des femmes pour l’inclusion

MIA : l’IA d’enseignement de Gabriel Attal pour faire oublier le classement PISA

AI Act : des inquiétudes de l’impact de la position française sur les droits humains

Une centaine d’ONG dénonce l’expansion du fichier paneuropéen biométrique EURODAC

Meta coupe le lien entre Instagram et Messenger

Cloud : Amazon rejoint Google dans l’enquête de la CMA sur les pratiques de Microsoft

Mistral AI s’apprête à lever 450 millions d’euros auprès de NVIDIA et a16z

Commentaires (122)