C’est via Reddit qu'ArmoredCavalry explique avoir découvert le pot aux roses lorsqu’il a installé une passerelle DNS afin de surveiller le trafic de son routeur Archer AX55 (WiFI 6 AX3000), comme le rapporte Neowin.
« J’ai été surpris de trouver plus de 80 000 requêtes (en 24 heures) vers un sous-domaine Avira "Safe Things" *.safethings.avira.com », explique-t-il. « En creusant, j’ai constaté que c’était lié à la fonctionnalité “Home Shield” qui est livrée avec les nouveaux routeurs TP-Link ». Problème : « j'ai complètement désactivé les services Avira/Home Shield (je n'étais même pas abonné à leur service payant). Le routeur s'en moque et envoie de toute façon TOUT votre trafic pour être "analysé" ».
Un problème similaire avait été pointé du doigt par XDA Developers lors de leur test du Deco X68. TP-Link avait alors annoncé qu’un firmware était en développement pour corriger le tir, sans précision sur le calendrier.
Commentaires (24)
#1
Les TP-Link c’est une horreur, ça fait plusieurs requêtes par seconde sur des domaines à eux à tel point sur ça me pourri mes stats Pi-Hole. J’ai du bloquer les domaines et les mettre en ignorer.
Le bousin fait le boulot mais je n’achèterait plus d’AP chez eux.
En alternative moins merdique, Ubiquiti ?
#1.1
J’ai un RAX200 de chez Netgear, j’espère que rien n’est envoyé vers un service tiers sinon je vais péter les plombs.
Tu as aussi les WRT3200ACM où tu peux installer OpenWRT, le truc, c’est qu’ils sont assez “ancien” et que c’est du Wi-Fi 5.
#1.2
Ubiquiti c’est du “prosumer”, à priori excellent pour plusieurs années, mais je recommanderai plus la marque pour le filaire, le sans-fil évoluant à mon avis trop vite pour investir autant.
Pour le wifi, je sais pas si Netgear ou Asus ont un bon rapport qualité-prix (au delà des kikigamers)
#1.3
D-Link comme alternative est plutôt bien, j’ai 8 AP en POE. J’ai eu trop de avec TP-link et trendnet.
J’ai monté un portail captif opnsense et derrière il y a aussi une AD cela fonctionne très bien.
Tout cela pour un réseaux secondaire non lié avec le réseau filaire entreprise.
#2
En alternative, on peut souvent les flasher avec OpenWRT.
#2.1
Hello, je me demandais si on pouvait installer OpenWRT sur des CPL pour peu qu’elles soient compatibles (ou bien seuls les routeurs sont flashables ?), et si oui, par quel moyen flasher le firmware ?
J’ai des TP-Link qui dorment et je me disais que ce serait cool de les recycler. Merci !
#3
C’est pour ce genre de joyeusetés que jamais de la vie je n’acheterai un routeur que je ne puisse pas immédiatement flasher avec Tomato, DD-WRT ou OpenWRT (ou Asus-Merlin
)
#4
Je confirme que les TP-Link font ça aussi. J’ai des bornes Deco M3/M5 qui te balancent des requêtes à gogo sur tout un tas de domaines : linkedin, youtube, facebook, bing, reddit et a.root-servers.net.
Y compris quand on n’active aucune des options du bousin.
Pi-hole se charge de dézinguer toutes ces requêtes, mais c’est moche quand même.
#5
Envoyer ce genre de requêtes cela ne tombe pas dans le cadre du RGPD??
#6
Pareil, j’ai un TP-Link en routeur principal mais sous OpenWRT. Bon à la base c’était surtout pour en augmenter les fonctionnalités (il est notamment devenu dual-WAN IPv4&6, serveur pour l’onduleur général, serveur+client VPN, peut devenir simultanément point d’accès et client WiFi pour partager la connexion d’un téléphone au reste du réseau en cas de panne des WAN), mais c’est vrai que ça sert aussi à éviter les comportements indésirables.
#7
Plutôt qu’Ubiquiti, j’utilise Mikrotik qui offre un bon support dans le temps et un rapport/prix/perf intéressant (je trouve).
En cons je dirais que c’est pour des gens qui ont de bonnes connaissance réseau même s’il y a un mode facile.
#8
Y a un routeur qui tourne sous OpenWRT compatible Wifi 6 ?
#9
En release officiel, je ne pense pas. Mais y a des snapshot dispo pour les routeurs récents.
Par exemple: https://openwrt.org/toh/linksys/e8450
#9.1
merci je vais regarder ça.
#10
ils sont assez “ancien” et que c’est du Wi-Fi 5.
Crotte ! quelles bouses, ils ne font pas encore le WaFa 25 ni les hamburgers
#10.1
T’es drôle dis-moi, t’as mangé un clown?
PS : je l’ai le WRT3200ACM
#11
Non, car elles sont directement envoyées à Moscou, qui n’est pas soumis au RGPD
#12
Idem, passé au Mikrotik depuis environ un an. Pas évident à maîtriser, mais quand on commence à comprendre les tenants et aboutissants, c’est un vrai plaisir, et les MAJ sont régulières et assurées durablement. Au pire, la plupart de leurs matériels sont compatibles OpenWRT/DDWRT et autres alternatives.
J’ai arrêté TP-Link depuis longtemps : leur support technique est à la ramasse dès lors que ton modèle a un an ou deux. Quand je vois que ça leur a pris 8 mois pour sortir les patches à la faille krack en 2017 (sur archer C7 V2)…
Bon, et puis, ça me tranquillise un peu d’acheter à une marque européenne, même si tout cela reste très relatif…
#12.1
Quel modèle tu utilise chez Mikrotik ?
#12.2
J’aime bien RouterOS (c’est l’OS maison Mikrotik basé sur un noyaux Linux).
On peut faire pas mal de chose dessus. Par exemple, faire tourner un container Docker:
https://help.mikrotik.com/docs/display/ROS/Container
#13
Владимир спасибо тебе
#14
Le RB4011GS+RM https://mikrotik.com/product/rb4011igs_rm, j’ai pris le plus gros quand je suis passé à la fibre, avec des règles de filtrage au cordeau je reste à 1GBps de débit derrière, là où mes précédents routeurs/FW me faisaient salement descendre autour de 200 MBps.
Clairement, j’ai cassé ma tirelire, mais je suis tranquille pour très longtemps.
Je n’ai pas pris le modèle avec Wifi car j’ai voulu garder mon archer C7 customisé en DD-WRT mais franchement c’était une bêtise. Je me complique la vie en config (double routage notamment) et je fais tourner deux appareils au lieu d’un. Si je devais refaire les choses, je partirais directement sur la version avec wifi 5 : (RB4011iGS+5HacQ2HnD-IN)
#14.1
merci :)
#15
Hello ! à titre perso j’utilise la gamme “pro” de TP-link avec un pi-hole en dns aussi et je n’ai pas constaté ce genre de problème. (encore heureux me direz vous)
Je gère mon switch et mes bornes wifi avec leur console unifiée omada et j’avoue que c’est plutôt bien foutu, installée sur une vm ubuntu server en interne donc pas de gestion via un cloud chelou (mais la possibilité de linker avec un compte chez eux existe)
Pour les TPE/PME et les power users franchement ça fait le taff avec un tarif “correct”.