internet & fixe ma connexion

Voir tous les sujets internet & fixe

Bonjour @Charly1397,

 

En complément des réponses déjà apportées sur ce fil:
Pour un usage courant d'internet et en respectant quelques règles de bon sens (*), l'antivirus natif de windows est, à mon avis, suffisant.
Depuis W8, windows embarque un antivirus/antimalwares "Windows Defender" natif, qui est activé par défaut. Pour respecter les règles de la concurrence, la partie antivirus de Windows defender se désactive automatiquement quand l'utilisateur installe un autre antivirus (Avg, Avast, Kasperky...etc), pour éviter des conflits.
Pour W7 et "'avant", on peut (pouvait) télécharger l'antivirus de Microsoft MSSE (Microsoft Security Essentials), ou un autre concurrent.
NB1 : personnellement, je trouve Avast très "envahissant"...

Pour vérifier si protection OK, aller dans Paramètres de Windows (ou panneau de configuration) puis Sécurité et vérifier que tout est "au vert".

 

Pour ceinture et bretelles, on peut installer un antivirus payant. Est-ce bien utile?

 

On peut éventuellement installer un antimalwares supplémentaire. Il en existe un bon, gratuit: "Malwarebytes". Cet outil cohabite très bien avec l'antivirus sans conflit.

 

NB2 : Pour télécharger les divers antivirus et outils, bien s'assurer qu'on est sur le site de l'éditeur. Fuir les sites comme 01net, Clubic... qui proposent aussi de télécharger ces logiciels, mais souvent vous rajoutent quelques petits malveillants au passage.

 

(*) = ne pas cliquer sur n'importe quel lien, ne pas ouvrir n'importe quelle pièce jointe à un mail sans être sûr, ne pas fréquenter les sites douteux (sites de streaming ou téléchargement exotiques + ou - légaux... etc).

 

Cordialement
Daniel35

Bonjour,

 

Je suis désolé mais la livebox (Sagem) souffre réellement de cette faille.

 

Et pour info Avast est un bon antivirus et le moteur free ou payant est le même.....

 

Olivier

security IT manager

Bonjour  @Ozymondias ,

 

Tu as testé un Exploit intrusif pour affirmer ça ?

 

Des preuves d'exploit de cette faille sur des Livebox quelque part avec ses conséquences ?

 

 

Non, l'alerte Avast est parfaitement correcte, il y a bel et bien une vulnérabilité au niveau du serveur DNS intégré à la Livebox, qui permet d'attaquer son firmware interne et soit de la bloquer, soit d'y installer des composants espions.
C'est un bogue au niveau du firmware de la Livebox dans son service "dnsmasq", bogue connu sous Linux et déjà corrigé dans toutes les distributions sérieuses, dont RedHat) depuis fort longtemps, mais pas dans la version intégrée dans le firmware de la Livebox qui exécute une vielle version de Linux et de ses pilotes, mais surtout ici est affecté par un de ses services essentiels: son serveur DNS.

Solution: Ne PAS utilsier ce DNS intégré (qui plus c'est un serveur DNS proxy qui se connecte uniquement sur les DNS d'Orange qui sont pollués par la publicité et font aussi de l'espionnage et du profilage client, et des redirections vers une page Orange publicitaire à chaque fois qu'il y a un problème avec un site distant, cve qui au passage casse la sécurité DNSSEC et IPSEC, pollue les caches des navigateurs).
Orange est le seul opérateur qui impose ses DNS dans les paramètres DHCP pour le réseau local et n'autorise pas d'en utiliser d'autres, on doit alors configurer chaque poste pour utiliser un autre service plus sérieux.
Les DNS d'Orange sont des DNS menteurs !
Sériouesement changez votre config sur cahque poste du réseau local, et utilisez les DNS d'OpenDNS (en plus de ça ils sont bien plus rapides, et ne sont pas autant limités que ceux d'Orange en nombre de requête, Les DNS d'Orange bloquant les usages légaux du P2P si on fait plus d'une centaine de résolutions par seconde de noms de domaines ou de résolutions inverses d'IP, et la Livebox n'a pas assez de mémoire interne pour gérer assez de requêtes parallèles.
Ces DNS d'Orange sont bogués (et depuis longtemps, de même que le fait qu'ils font du filtrage indésirable et "mentent" en falsifiant les réponses, autrement dits ils ne sont pas sûrs du tout, contrairement à ce que veut faire croire Orange quand il redirige à sa guise des sites vers une page d'assistance client proposant d'autres sites web à la place de ceux demandés, ou quand il redirige un service HTTP, non HTML, de type "RestAPI" vers une page web HTML dont le contenu ne correspond pas du tout à ce qui est demandé).

Ne croyez pas Orange ! utilisez vos DNS, ne faites pas confiance aux DNS imposé par sa box.

Une bonne solution: connecter un autre routeur-parefeu à la Livebox, désactivez le Wifi de la Livebox et utilisez celui de votre routeur, et branchez votre réseau local à votre routeur. Configurez ce routeur pour ne PAS utiliser les DNS distribués en DHCP par la Livebox, mais configurez-le vers OpenDNS. Activez le DNS proxy de votre parefeu qui s'occupera de donner par DHCP sur votre réseau local les DNS que vous voulez.

Si vous n'avez pas de routeur externe (WAN Ethernet, vers LAN Ethernet et LAN Wifi), configurez les DNS manuellement dans les paramètres IP de chacun de vos postes clients. Malheureusement cette option n'est pas toujours disponible sur les smartphones connectés en Wifi (ou c'est compliqué à paramétrer). Personnellement je n'utilise pas le Wifi de la Livebox je me connecte à mon propre hub Wifi (qui a aussi une meillure portée, de meilleures antennes, plus de stabilité, et fonctionne nettement mieux avec un débit supérieur notamment sur la bande 5GHz, que le pauvre hub wifi de la Livebox qui a en plus une latence très élevée et n'offre qu'un débit très limité!)

Excellente réponse. Oui il y a un bogue non corrigé dans le serveur DNS intégré à la Livebox. Et "CVE" n'a pas l'habitude de faire des alertes publiques au hasard ou pour répondre à des objectifs comemricaux des antivirus, surtout quand ici la vulnérabiltié est marquée comme "HIGH" (élevée) et facilemetn exploitable pour attaquer le firmware de la box et y pouvoir installer des parasites qui iront espionner votre réseau local, ou pourrons aussi se servir de la box elle-même pour faire du "mining" de cryptomonnaies et la faire sérieusement ralentir ou surchauffer, ou la faire planter par manque de mémoire, ou encore se servir de ces paraisites pour installer un agent servant à relayer des attaques distribuées sur Internet ou échanger des contenus pirates ou illégaux, voire criminels sous couvert de votre propre connection Internet avec votre adresse IP !
Le jour où ça arrive, pas sur même que le "reset usine" de la Livebox fonctionne, et si les pirates le savent et arrivent à entrer en root sur la Livebox, ils désactiveront les services de mise à jour et réinitialisation à distance par Orange. Vous n'aurez plus qu'à demander l'échange de la box mais ce sera souvent à vos frais et Orange ne vous expliquera pas la raison de la panne et ne fera rien pour résoudre les problèmes que vous avez eu sur vos équipements privés (vos PC ou smartphones contaminés ou les données personnelles volées et vos comptes bancaires vidés).

 

Orange devrait prendre ce type d'alerte au sérieux et ne JAMAIS ignorer une alerte "CVE" et surtout pas avec un niveau aussi élevé, et pourtant simple à corriger: Orange doit mettre à jour son firmware et en compiler une nouvelle version corrigeant le service dnsmasq (et les services liés: DHCP, installation à distance, sans doute aussi SNMP, les journaux d'activités, le parefeu).

 

Et peut-être aussi installer les patchs pour les time-attacks exploitables (Spectre et Meltdown) qui peuvent exister aussi (installer les fix sur le générateur aléatoire du noyau, et l'horloge de précision haute performance qui permet de cadencer certaines réponses avec des délais garantis trop précis révélant des états internes normalement cachés: c'est d'autant plus facile sur la Livebox qui a peu de mémoire, les time-attacks sont plus faciles car les délais en cas de purge d'un cache trop petit permettent de connaitre ces états internes). Ces time-attacks concernent tous les processeurs (pas que Intel ou AMD), tous les systèmes, elles sont aujourd'hui possibles car des algos existent pour les utiliser et judqu'à peu on ne pensait pas que les variations de temps de réponse étaient mesurables et prédictibles (statistiquement significatifs) et permettaient de détecter des étants internes normalement protégés dans des espaces virtualisés.

 

Mais l'attaque CVE ci-dessus est bien plus facile encore puisque elle touche un accès direct à la mémoire à cause de classiques débordements de buffers ou d'écarasement de pile, ce qui permet l'injection directe de code. Il est facile de voir que la Livebox utilise un noyau Linux, on connait même ses versions, on sait comment ce code va se comporter si on injecte des donénes par débordement de pile ou dépassement de tampon et assez vite un pirate parvient à se frayer un chemin vers la fonction privilégiée qu'il veut atteindre, comme la désactivation des barrières de sécurité ou l'obtentions d'autorisations puis l'accès à un shell interne (la box dispose bien d'un shell interne, type busybox: si le pirate parvient à s'y connecter, il fera ensuite ce qu'il veut dessus).

 

La Livebox est distribuée à millions d'exemplaires en France, c'est une bonne cible qui intéresse les pirates: ils ont le temps de voir comment elle se comporte et peuvent aussi facilement s'en procurer une pour tester les attaques possibles avant d'aller attaquer les Livebox des millions de clients Orange en France (et aussi dans d'autres pays européens et africains). Et c'est même ssans doute plus facile à attaquer qu'un smartphone (il y en a trop de modèles), ou des PC sous Windows (à cause des normbreuses mises à jour et versions) car la Livebox a un firmware unifié et relativement stable avec peu de variantes (et la plupart des box reçoivent le même firmware avec les mêmes bogues exploitables par les mêmes moyens). Une alerte "CVE" ne doit donc pas être ignorée, et Orange est irresponsable s'il pense pouvoir le faire: ce firmware doit être corrigé et vite avant que les failles commencent à être exploitées (et si ça commence, les pirates iront vite et auront des millions de cibles intéressantes, ces attaques se propagent maintenant comme des trainées de poudre)

 

@verdyp

**************

 

************

 

Plus sérieusement, relis l'impact (limité) du CVE en question et admet que Orange fait son boulot pour protéger ses millions de clients.

 

 

 

[Edit : Merci de rester courtois. Equipe modération]

@xphome Ta réponse est juste inutilement insultante. Donc signalée.

Et contrairement à ton affirmation, l'impact n'est pas "limité" mais bien marqué comme sérieux ("HIGH") et pris en compte sérieusement dans toutes les distributions Linux ayant un support actif et des offres professionelles: RedHat, Debian, Oracle, Ubuntu et bien d'autres, y compris aussi Microsoft, IBM, Cisco et des hébergeurs dans différents pays; il s'agit bien de 5 bogues dans cette version ancienne de dnsmasq, et ils ont aussi des "exploits" publiés et démontrant bien l'exploit possible (un petit tour sur exploit-db fournit diverses exploitations possibles depuis mi-2017 et déjà des signalements d'attaques réalisées, notamment sur des appareils domotiques "IoT" et sur des smartphones et tablettes, et des routeurs d'entreprise et chez certains fournisseurs de VPN, ou des réseaux cablés aux USA qui ont depuis fait des mises à jour de leurs serveurs et firmwares)...

Certes c'est limité pour l'instant par le fait que l'attaque est possible via l'interface LAN, celle sur laquelle fonctionne le service DHCP de la Livebox, mais il y a bien des moyens de l'atteindre, et la Livebox est une cible plus intéressante à utilsier et exploiter que les miniappareils IoT qui seront utilisés juste comme passerelles faisant écho aux attaques par le LAN.

Bref je ne fais pas confiance aux seul firmware de la Livebox pour protéger mon LAN, c'est pour ça que j'ai installé mon propre routeur intermédiaire (avec son propre noyau) disposant, lui, de mises à jour et totalement en OpenSource (ce qui n'est pas le cas de la Livebox en dépit du fait qu'elle inclut des logiciels libres mais qu'on ne peut pas mettre à jour soi-même car Orange en est propriétaire et nous la loue... mais il la vend aussi et là c'est discutable de ne pas respecter les licences, même après la fin de garantie).

 

Bonjour à tous
Petite précision, j'avais écris ceci avant de découvrir le super Post de "Verdyp"
Ce qui confirme un peu ce que je pouvais en penser et ainsi faire réfléchir les détracteurs d'Avast

Cette alerte d'Avast ne serait'elle pas lié à la découverte
de la Faille majeur des Processeurs Intel
Elle est importante car tous les processeurs de la dernière décennie
sont potentiellement concernés

Voici le lien de l'article publié le 04 janvier
https://www.blogdumoderateur.com/faille-processeurs-intel/
Qui est concerné par la faille des processeurs Intel ?

La faille de sécurité concerne le hardware des puces Intel x86-64
et ne peut être corrigée via une simple mise à jour du microcode.
Ce sont les systèmes d’exploitation qui doivent déployer une mise à jour.
Les serveurs et les ordinateurs sous Windows et Linux sont concernés,
mais aussi macOS, puisque Apple utilise des CPU Intel depuis 2006.

Que faire pour protéger son ordinateur ou son serveur ?
Les machines sous Linux (Dont la LiveBox)peuvent être mise à jour grâce à l’update du kernel

Ce que n'a surement pas encore effectué Orange puisque le Firmware actuel date de
Es-ce la raison de l'alerte d'Avast

Pour ma part je n'ai pas d'actions chez Avast mais les dénigrer ainsi
sans réponses précises à ce probléme de la part des soit disant Pro
n'est vraiment pas sérieux et productif..

PS: Idem que Scred-H
Quand j'active mon VPN (Je précise, non Avast) le message d'erreur disparaît.

Je ne suis pas un pro...
Mais ne serait ce pas une piste à explorer
Merci d'avance pour vos réponses et vos solutions.
Salutations

Il n'y a pas que Intel, car AMD et ARM sont également concernés (la faille n'est pas la même mais la même méthode existe et est aussi exploitable; cela vient du fait qu'on a longtemps ignoré le fait que les variations de performance d'une machine à l'autre était suffisamment importantes pour qu'on croit que les différences de performance sur la même machine qui peuvent prevenir de nombreuses sources, ne peuvent pas être contrôlées de façon reproductible; on voit ici le problème: ns moachines d'aujourd'hui sont hyperformantes mais passent la majeure partie de leur temps à attendre, du coup elles réagissent très vite et de façon très indépendante des autres processus qui pourraient aussi tourner de temps en temps aussi dessus: et il y a des cas où il est facile de prédire que deux évènements appartenant à des processus différents théoriquement isolés l'un de l'autre, vont pourtant se déclencher quasi en même temps et sans être génés par les autres évènements potentiels, ou gênés de façon très peu probable. En corrélant un événement à un autre, et grace aux progrès de l'optimisation de code, la réduction des goulots d'étranglement, les nombreux bus indépendants, la mémoire cache, le stockage rapide, on peut maintenant parvenir à isoler deux codes indépendants et les faire entrer en collision de façon reproductible. Ajoutez à ça qu'on dispose de timers haute précision, on obtient des facilement des mesures assez précises de ces cas de collisions reproductibles. C'est une noouvelle classe d'attaque maintenant facilement utilisable, surtout sur des systèmes assez monolithiques et largement diffusés (Windows ou Linux), et utilisant des standards communs d'algorithmes de plus en plus précis (laissant peu de place à des timings et séquençages dévénements différents), qu'on peut désormais attaquer ces machines simplement du fait de ces normes: nos machines manquent de variété d'implémentations, elles sont très performantes (beaucoup plus que nécessaire) et ont des instruments de mesure très précis de leurs variabilité. Les timing-attacks (Meltre et Spectre en sont juste deux exemples) vont donc se multiplier d'autant plsu qu'on emploie maintenant massivement la virtualisation, le cloud computing, la centralisation des processus et des données.
Hors le principe même de la sécurité c'est d'abord de ne pas réunir tous les oeufs dans le même panier, supprimer tout ce qui est inutile, réduire les interfaces à leur minimum, faire des objets tournant en boite noire (objets "oracles") dont on ne peut pas prédire la réponse ou son état interne en fonction des seules entrées.
La sécurité imposera de mettre dans nos machines des générateurs aléatoires beaucoup plus puissants que les pseudo-RNG dont ils sont affublés et qui sont aujourd'hui totalement incapables de produire un débit binaire d'entropie à la mesure des performances et débits de communication d'aujourd'hui: prenez une machine Windwos ou Linux, elle ne produit au mieux que quelques centaines de bits d'entropie par seconde alors qu'elle gère des gigabits de données par seconde.
Mais si on veut sécuriser nos machines pleines de processus isolés et les clouds, il nous faudra inclure dans tous les OS, tous les processeurs des générateurs aléatoire performant pour limiter les time-attacks. On en est loin, et seuls les machines à usages militaires dispose de sources d'entropie capables de fournir des gigabits par seconde de données entropiques permettant d'avoir un réel comportement aléatoire dans les temps de réponse très rapides des systèmes de décision dont il est impossible de garantir qu'il n'auront jamais de collisions reproductibles de traitements parallèles (dont l'un affecte précisément les performances mesurables de l'autre).
On a des CPUs capables de générer des algorithmes de cryptographie très performants, mais sur des clés stables, ou de calculer des hashages résistants; mais le point faible est maintenant les générateurs aléatoires pour produire des aléas de temps de réponse permettant de rendre non mesurable les différences de performance permettant de détecter les collisions de processus normalement isolés.
On devrait donc équiper nos PC, nos smartphones, nos routeurs d'un périphérique dédié à la production de nombres aléatoires: les capteurs de température sont de très bons générateurs mais trop lents à produire de l'entropie. Il nous faudra plutot intégrer des instruments de mesure de processus physiques stochastiques: décharges de diodes, transitions de niveaux d'énergie dans un gaz, dispersion d'un laser sur un gaz ou un liquide, instabilité des interférences radio dans un liquide, instabilité d'oscillateurs haute fréquence, pourquoi pas des capteurs de désintégration d'un isotope faible radioactif (quelques microns d'uranium apauvri ou de radon naturel, mesure de l'oscillation instable d'une porte numérique lors d'un changement d'état, lampe à gaz d'électrons, mesure des réactions chimiques d'oxydoréduction dans une battterie, mesure fine de l'état physique des solutions d'un condensateur chimique, temps très variable de stabilité d'un état métastable suite à des impulsions très haute fréquence de faible puissance, oxydation ou salinisation des cathodes d'une batterie froide... des processus stochastiques mesurables on en trouve partout dans la nature mais pour les traitements nuémériques on cherchait à s'en affranchir en les considérant juste comme du "bruit" à éliminer alors que ce sont des sources de données aléatoires qu'on peut facilement intégrer dans des circuits très petits, et qui peuvent tenir facilement dans les puces intégrées d'aujourd'hui à très haute densité, notamment les processeurs et les barrettes mémoire): ce bruit généré en interne est captable et mesurable mais à très courte distance et il est impossible de l'écouter directement à distance, ce sont des sources d'aléas fiables dont on peut tirer profit ensuite dans les algos et les OS pour qu'ils aient des temps de réponse moins facilement reproductibles, et indépendant des réponses qu'il vont donner en valeur.