Journal : Neuf confirme son ouverture vers le logiciel libre
Posté par Zorro () le 16 janvier 2007
Voici un extrait de communiqué de presse que Neuf a diffusé ce matin, à propos de sa nouvelle Neufbox :
C'est bien sympathique, tout ça, à l'heure où les membres d'OpenFreebox se font menacer de poursuites au pénal s'ils mettent une Freebox modifiée sur le réseau. Ceci dit, je ne sais pas dans quelle mesure les programmes rajoutés par l'utilisateur sur une Neufbox auront le droit, eux aussi, d'aller sur le réseau. J'imagine que Neuf, comme tous les opérateurs, ne souhaiteraient pas que des applications sauvages ne fassent tout s'écrouler... Je pense que l'espace mémoire dont parle Neuf dans le communiqué est isolé du réseau WAN, mais pas LAN. À confirmer quand les boxes commenceront à arriver.
Le logiciel embarqué de la Neuf Box est majoritairement basé sur l’Open Source et sur Linux 2.6. Les sources concernées par la licence publique générale seront mises à la disposition de la communauté de développeurs via un site Internet dédié. Ce site communautaire permettra à ceux qui le souhaitent de proposer de nouveaux programmes. Depuis l’interface Web de la Neuf Box, les utilisateurs auront accès aux applications, logiciels ou programmes validés par Neuf Cegetel. Ils pourront ainsi les installer sans contrainte, un espace mémoire ayant été prévu à cet effet.
C'est bien sympathique, tout ça, à l'heure où les membres d'OpenFreebox se font menacer de poursuites au pénal s'ils mettent une Freebox modifiée sur le réseau. Ceci dit, je ne sais pas dans quelle mesure les programmes rajoutés par l'utilisateur sur une Neufbox auront le droit, eux aussi, d'aller sur le réseau. J'imagine que Neuf, comme tous les opérateurs, ne souhaiteraient pas que des applications sauvages ne fassent tout s'écrouler... Je pense que l'espace mémoire dont parle Neuf dans le communiqué est isolé du réseau WAN, mais pas LAN. À confirmer quand les boxes commenceront à arriver.
> Lire le journal (38 commentaires, moyenne: 2,2).
Vous avez demandé le commentaire #794680.
Run by 
Cette page a été générée par Templeet en 0.09s (dont 0.0075 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
c'est marqué dedans...
Il est clairement dit
J'en conclus donc que sur les box connecté au réseau, pas le droit de mettre ce que tu veux, juste ce qui est validé
Ce commentaire est :
Génial, Nul, 42
[^]Re: c'est marqué dedans...
Moi, j'en conclue que si tu bricoles, tu dois aussi bricoler l'interface web, et que bizarrement l'interface par défaut n'est prévue que pour les programmes par défaut.
[^]Re: c'est marqué dedans...
En gros tu développe ton programme pour leur Neufbox mais une fois fini si ça leur plaît pas tu l'as dans l'os c'est ça ?
Sympa leur définition de "communauté"...
[^]Re: c'est marqué dedans...
C'est toujours mieux que la freeboxsititouchetesmort. C'est plus ouvert tout en respectant cette contrainte de c'est le terminal de mon réseau et pas du reseau du client.
Ce commentaire est :
Génial, Nul, 42
[^]Re: c'est marqué dedans...
Chez Free des gens sont payés pour implémenter de nouvelles fonctions, dans ce cas ça ne ressemble pas à une manoeuvre de la part de Neuf pour faire travailler leurs clients pour eux tout en gardant le contrôle sur leurs programmes ?
[^]Re: c'est marqué dedans...
C'est une question de stabilité. Si un petit malin trouve le moyen de plomber leur réseau à cause justement de ses informations, que ce passera-t-il?
Ne trouve tu pas normal qu'ils tentent d'allier les deux ? sécurité de leur réseau (et je suis le premier à la réclamer) et respect de la licence (enfin).
Mais que les applications utilisateurs tournent qu'en espace protégé ne respecte peut etre pas ta définition de la communauté, mais pour moi le respet de leur réseau ET des centaines de milliers de personnes qui sont connecté chez eux est plus important.
[^]Re: c'est marqué dedans...
À part limiter l'usage des flux multimédia (télévision, vidéo à la demande, etc), je ne voit vraiment pas en quoi une *box fermée protège (ou respecte, ou sécurise) le réseau...
Je n'utilise pas de boiboite, donc j'ai peut être manqué quelque chose ; si c'est le cas, j'aimerai bien comprendre...
Qui invente, qui réinvente, quelle importance ? (Yakari, tome 16)
[^]Re: c'est marqué dedans...
Je pense que voici le scénario qui les embêterait :
- Tu fais un petit soft pour la box qui a un certain succès
- Beaucoup de monde installe ton petit soft sur sa box
- Paf, il y a une faille de sécurité dans ton soft qui permet de [propager un ver | prendre le controle de la machine | rendre ton box indisponible]
- Toutes les personnes ayant installé ton soft sont touchées. Les clients râlent, c'est un bordel pour réparer tout ça, il y a des tas de box à "réparer", ...
En limitant l'installation de soft à ce qu'ils ont choisi, ça leur permet de contrôler ce qui peut être installer;
Vache qui rit, à moitié dans son lit
[^]Re: c'est marqué dedans...
C'est un peu comme si on demandait à Microsoft de valider toutes les applis que des gens développent pour Windows.
Ca me fait penser à mon Archos, on te file un kit de dev libre avec émulateur, API et compagnie, mais pour pouvoir faire tourner les applis sur le hardware, il faut les renvoyer chez Archos pour qu'elles soient signées. Au final, c'est top galère, et les développeurs de homebrews préfèrent tenter d'exploiter des failles de sécu.
[^]Re: c'est marqué dedans...
Maintenant que j'y pense, je me demande si un des tout premiers programmes tiers à rajouter sera pas celui de Fon. Ça fait longtemps que Neuf doit intégrer le firmware de Fon dans ses box, et qu'on ne voit rien venir.
[^]Re: c'est marqué dedans...
C'est un peu comme si on demandait à Microsoft de valider toutes les applis que des gens développent pour Windows.
C'est presque ca, si ton appli Windows n'est pas signee l'utilisateur aura un gros warning "attention, appli pas signee, danger!"
[^]Re: c'est marqué dedans...
c'est pareil si tu développes une "amélioration" pour un logiciel sous gpl (par exemple un patch pour xorg ou pour le noyau linux), si cela n'est pas au niveau ou fiable, cela sera refusé. Libre à toi d'améliorer ton travail ou de faire un fork...
Dans le cas de la neufbox, ils ne peuvent pas se permettre de risquer la sécurité de leur réseau et des autres usagers. Cela me semble sage.
Tous ensemble contre l'esclavitude des logiciels privateurs !
[^]Re: c'est marqué dedans...
J'ai du mal a comprendre en quoi une 9box modifiée serais plus dangeureuse qu'un autre modem ADSL (non 9).
C'est vrai que le scénario évoqué au-dessus (faille de sécurité) est possible, mais il me parait vraisemblable que 1) il y a déjà des failles existante non encore trouvées et/ou exploitées, 2) Le client qui choisi de modifier sa box est supposé s'y connaitre assez pour la remettre tout seul d'équerre en cas de problèmes (ou alors, il paye la prestation à 9), enfin, 3) il serais possible d'installer un mécanisme qui va télécharger & installer une version usine du firmware au boot lorsque l'on appuie sur le bouton reset au moment d'allumer la box.
Le client lambda ne *modifie pas* sa box, ou alors uniquement via les options "certifiées" par 9, et il ne perd pas sa garantie.
Par contre, personnellement je ne vois pas le réseau de 9 comme un grand LAN ou toute les autres box sont accessibles... J'imagine (j'espère !) que chaque box reliée au DSLAM est cantonée dans un "tunnel", et que pour passer d'une box à l'autre il faut remonter par les routeurs de chez 9. (comme via un VPN, en fait, et comme n'importe quel autre poste internet).
Donc, si un utilisateur inonde la bande passante ou envoie des paquets foireux, les autres utilisateurs ne devraient pas en etre affectés. Si c'est quand même le cas, mauvais blindage => changer de blindage et de QoS.
En tant que client, c'est *aussi* ce que j'attend de mon provider.
Pour la TV, la téléphonie, tout ca, pareil : La sécurité devrais être faite en amont, parceque rien n'empêche un abonné de brancher une box non 9tel, sur laquelle il a tripatouillé le firmware. Si l'abonné essaye via sa ligne d'accéder à des services auxquels il n'a pas droit, ca devrais se voir dès le DSLAM.
Ensuite, c'est à 9 de voir comment réagir: soit par blocage du service concerné, soit plus violemment (au pire, blocage ligne au niveau DSLAM)
Le controle des box des abonnés, je le vois surtout utile pour des raisons de maintenances : Les techniciens peuvent se logger sur la box, des stats sur la connection peuvent être remontées... Si tout ca n'est pas actif, le client en subit les conséquences, pas 9.
Quant à la télé, crypté ou pas le flux une fois qu'il arrive sur le PC et qu'il est décodé, c'est copiable & réencodable. Point. Un jour (que j'espère lointain) ca pourrais devenir problématique, avec les matériels certifiés et tout, mais aujourd'hui il n'y a aucun problème.
Et si le client arrive à recevoir une chaine pour laquelle il n'a pas payé, c'est de la faute à 9 qui a mal concu son système d'abonnement <-> ligne adsl.
PS: J'ai parlé ici que pour des clients dégroupés.
Pour les clients non dégroupés, 9 n'a pas la maitrise de bout en bout sur la liaison a l'abonné, et donc toute les mesures de sécurité ne sont pas garanties, évidamment.
[^]Re: c'est marqué dedans...
Il n'est pas possible actuellement chez neuf (et chez free je sais que c'est possible) de visionner sur PC des flux TV issue de la NeufBox, sauf en utilisant l'entrée TV (analogique). Si tu sais le faire, indique moi la marche à suivre ça m'intéresse.
Scénario 1:
V1 est une version du firmware, qui release ENTIEREMENT en opensource
V1B est une version modifiée du firmware
V1C est aussi une version modifié, mais différente
V1D encore une autre
...
jusqu'à disons, V1F, par exemple
V2 sort de chez neuf et corrige une important faille de sécurité (pour leur réseau, pour la sécurité de leur flux video,...) sur V1.
Toutes les machines utilisant V1B... F ont toujours cette faille et endomage le réseau Neuf. Ne pouvant faire de mise à jour de toute les neuf box modifiée, Neuf se retrouve dans une situation désagréable, où, parce qu'il a voulu jouer le jeu de la "communauté", il met en danger son propre réseau, et par la même, les clients qui eux ont concervé leur neuf box d'origine et donc, conserve la garanti. Clients qui peuvent se retourner contre neuf (justice) en cas de grave probleme de sécurité.
Neuf décide, pour respecter, par exemple, son engagement envers les détenteurs de droits, de couper l'acces à toutes les neuf box modifiée (par des procédés d'authentification du binaire, etc).
Scénario 2
Neuf sort une version du firmware autorisant les applications tierces mais en s'assurant que les applications opensource (non "homologuée") tourneront dans un espace protégée, ne mettant pas en danger son réseau/flux TV/...
Bon nombre de probleme sont résolu, non?
Ca ressemble beaucoup au Trusted Computing sur PC qu'il faut combattre, sauf qu'il ne s'agit pas de tes données ni de ton réseau local, mais du réseau que tu loues et qui a un cout très important.
Rien ne t'empêche de changer de provider d'acces si neuf te casse les c...
[^]Re: c'est marqué dedans...
Il n'est pas possible actuellement chez neuf (et chez free je sais que c'est possible) de visionner sur PC des flux TV issue de la NeufBox,
Si, c'est possible, avec le logiciel MP9 Premium, que vend Neuf (15 ¤), et depuis mai 2006.
[^]Re: c'est marqué dedans...
Mp9 Premium ne fonctionne pas avec la NeufBox HD, je crois...
Mp9 Premium ne fonctionne aussi que sur Windows...
[^]Re: c'est marqué dedans...
Ca ressemble beaucoup au Trusted Computing sur PC qu'il faut combattre, sauf qu'il ne s'agit pas de tes données ni de ton réseau local, mais du réseau que tu loues et qui a un cout très important.
Effectivement ça y ressemble... J'ai horreur des machines que je ne maîtrise pas, et qui m'imposent sournoisement des restrictions. La solution la plus simple est donc de se passer de la machinchose-box (dont la location n'est pas toujours gratuite d'ailleurs), et de préférer son propre modem adsl.
Ce que j'achète au FAI, c'est du réseau. Il y a des conditions d'utilisation de ce service (c'est bien normal), mais je reste libre de ce que je fais chez moi.
Au passage il est regrettable que les fonctions de téléphonie, télé, vidéo, etc ne soient pas accessible avec d'autres appareils que la boiboite du FAI. Enfin... parlez-moi d'interopérabilité et de vente liée...
Qui invente, qui réinvente, quelle importance ? (Yakari, tome 16)
[^]Re: c'est marqué dedans...
Au passage il est regrettable que les fonctions de téléphonie, télé, vidéo, etc ne soient pas accessible avec d'autres appareils que la boiboite du FAI. Enfin... parlez-moi d'interopérabilité et de vente liée...
Ouai les FAI vende du service aujourd'hui. Il faut bien trouver des usages au Mbps dispos.
Vendre du reseau tout le monde sais le faire (quoique avec free non degroupé je me le demande...)
[^]Re: c'est marqué dedans...
> Il n'est pas possible actuellement chez neuf (et chez free je sais que c'est possible) de visionner sur PC des flux TV issue de la NeufBox, sauf en utilisant l'entrée TV (analogique). Si tu sais le faire, indique moi la marche à suivre ça m'intéresse.
Non je ne sais pas - je suis pas chez 9, je suis chez Club. mais j'ai pas pris la télé, ca ne m'interesse pas (en plus ils ont choisi un système microsoft-TV, avec la box-tv sous Windows mobile et des flux IP normaux il me semble - un autre défi :-) )
Mais ça devrais pouvoir se trouver, je vais me renseigner, tiens, ca m'a titillé.
>V2 sort de chez neuf et corrige une important faille de sécurité (pour leur réseau, pour la sécurité de leur flux vidéo,...)
Tu peux donner un exemple précis qui fait que le firmware peux provoquer cela ?
Si il existe une faille de sécurité dans le flux vidéo, effectivement: => firmwareV2 + maj de la crypto du flux. Certe les V1 trafiqué ne pourront plus les voir.
En fait, je ne vois toujours pas en quoi une box modifié peux mettre en danger la sécurité d'un réseau bien configuré, avec une bonne politique de sécurité.
> pas de tes données ni de ton réseau local, mais du réseau que tu loues et qui a un cout très important.
...et qu'on paye un prix très important aussi, il ne faudrais pas l'oublier. On est et on reste *clients*, pas locataires.
(Je dis ca car j'ai lu le log du chat IRC sur openFreeBox, avec le "père" de la FB et "son" réseau... :-) )
Ils nous *doivent* non seulement un tuyau, mais aussi le minimum de sécurité, conforme à l'état de l'art (on leur demande pas plus non plus, hein).
>Rien ne t'empêche de changer de provider d'acces si neuf te casse les c...
Mais c'est pareil pour tous les FAI...
Comme un commentaire le dis plus bas:
Les FAIs cherchent à vendre le service, non plus la connection.
Le coup de la "machine virtuelle", c'est pas mal, mais ca empeche pas mal de chose (netfilter/firewall, QoS, patchs noyau pour des périphériques ou des features genre politique TCP, ...)
[^]Re: c'est marqué dedans...
Non je ne sais pas - je suis pas chez 9, je suis chez Club.
Techniquement, club passe par 9.
/me dis ca mais dis rien.
Subete ga wakatta toki…watashi ga anta wo korosu.
[^]Re: c'est marqué dedans...
Au niveau des cables, peut-être.
J'imagine que il y a du MPLS ou équivalent pour séparer logiquement les réseaux, non ?
Bref, pour la télé, on est bien au-dessus de toute facon.
Chez neuf, je suppose que c'est comme chez Free ou Orange, la TV est diffusée via un ou plusieurs VC ATM dédies, qui sont forwardé en hardware par la box sur le port ethernet (=> du point de vue du processeur de la box, elle ne vois *jamais* passer les trames sur ethN)
C'est là ou je dis que ClubInternet est peut-être différent:
Vu la techno employé (MS-TV) ils peuvent très bien diffuser en multicast IP normal sur le même canal ATM, et un ptit coup de netfilter+prerouting pour diriger les paquets dans le port ethernet de la box. Ca ne reste qu'une possibilité, ca peut très bien marcher autrement.
Sinon, pour répondre à ca:
>>Ils pourront ainsi les installer sans contrainte, un espace mémoire ayant été prévu à cet effet.
>Je pense que l'espace mémoire dont parle Neuf dans le communiqué est isolé du réseau WAN, mais pas LAN
Je pense plutot que le communiqué parle de l'espace *en flash* et non pas en RAM.Les processeurs utilisés (du genre MIPS, broadcom ou T.I.) sont pas des gros processeurs non plus... Une JRE ou même un linux-virtualserver serais tendu.
(mais par contre ils ont plein d'"unitées dédiés" autour, pour faire du TCP-offloading, gérer l'ADSL, la voix, la crypto...)
Ou alors, ils ont mis 2 processeurs, mais ca m'étonnerais ca couterais trop cher.
[^]Re: c'est marqué dedans...
Club Internet utilise pour l'instant Microsoft TV Foundation Edition (MPEG2?) et non pas IPTV Edition qui utilise le multicast IP (pour la simple et bonne raison que ce service n'est toujours pas prêt).
Gaetan
[^]Re: c'est marqué dedans...
Oui je pense effectivement qu'il n'y a pas de packets IP (meme multicast), c'est bien ce que tu entend par VC ATM (dsl de mon incompétence dans le sujet).
C'est peut être pour cette raison que je suis obliger d'utiliser un switch entre mon modem ADSL, ma neufTV et mon routeur Wifi (si je connecte tout sur le routeur Wifi (WRT56G) je ne peux pas regarder la télé... parce que les packets ATM ne sont pas routé, possible?
Gaetan
[^]Re: c'est marqué dedans...
Ben je ne pourrais pas tester, vu que je n'ai pas le service TV.
Je vais essayer ce we, chez une amie qui l'a.
Pour les VC ATM, c'est pas tout a fait ca:
La liaison ADSL étant considéré comme une ATM, elle est divisée en plusieurs VC, numérotés par 2 chiffres: VCI et VPI. Ce sont les nombre 8/35,8/36 que l'on vois parfois dans les config de modems.
Chaque VC est *completement* indépandant, au niveau de la couche 2:
C'est comme si t'avais plusieurs cables ADSL qui arrivaient, d'ailleurs sous linux la couche ATM "standard" te crée une interface distincte par VC.
Dans ces VC, tu peux faire passer ce que tu veux, dont de l'IP, mais aussi un flux MPEG tel quel (comme si t'était sur une carte DVB).
Sur le VC 8/35 (je crois), le protocole est IP.
Sur la box, c'est un processeur a part (ou bien l'une des unité d'execution) qui décode l'ADSL *et* l'ATM, donc tu récupères un packet IP au niveau de l'interface réseau (souvent "atm0" ).
Sur le modem club-internet Hitachi (AH4021) c'est fait par un soft broadcom proprio: Tu lui file le n° de VCI/VPI que tu veux, il te rend les trame IP (je me souviens plus si un en-tete factice ARP est inséré ou pas).
*En plus* de ca, tu peux "mapper" un VCI/VPI vers un port ethernet directement:
Ce dernier deviens indisponible pour le système, mais toute les trames qui arrivent sur le VCI/VPI demandé sont envoyé tel quel sur le port ethernet, et donc "bypass" complètement le noyau linux, matériellement.
Je ne sais pas non plus si une en-tête éthernet factice est inséré au passage, si tu arrives a passer par un switch j'aurais tendance à dire que oui.
Voila, ensuite, dans ces trames-la, rien ne t'oblige à avoir de l'IP, ca peux donc être un flux MPEG tel quel, ou n'importe quoi d'autre. Je suppose que, chez Club, ce flux est encrypté. Et donc, si il n'y a pas de couche IP, effectivement ce n'est pas routable par le WRT56G (je suppose même qu'il dois dropper le paquet, pourvu qu'il doit fabriqué bizarrement)
[^]Re: c'est marqué dedans...
J'en rajoute :-)
A ma connaissance, seuls 3 boites font des chipset ADSL:
Texas Instrument (AR7* pour les boitiers Dlink, Linksys, ...), Broadcom (box ADSL free, 9, alice) et Analog Digital, Inc (Livebox).
Sur les 3, pas un seul ne file les sources de l'outil de configuration du module ADSL, ni du module ADSL, ni du firmware de la puce ou unité qui gère l'ADSL.
Donc, pour arriver à faire des choses tordues comme écouter tous les VC en même temps et logger les trames, envoyer des données arbitraires, etc... c'est possible mais à mon avis il faut pas mal de boulot de reverse-engeeniering sur ces aspect-la des puces.
Mais bon, on peux imaginer que, avec n'importe quel modem adsl traffiqué (pas seulement une box), on peux envoyer ce que l'on veux sur tous les VC.
Ensuite, il faut voir si le DSLAM est bien protégé à ce niveau-là, et si des protections existent (genre, mise en connection restreinte et remonté d'alerte lors de la détection de trames louches, ex qui se balladent sur un VC non utilisé)
Notoirement, il y a quelques années les DSLAM étaient de vraie passoire (vxworks :-) ) mais maintenant j'imagine que ca à dû changer.
Il faut voir ensuite comment sont protégé les serveurs en amont, télé et téléphonie, en particulier face au fuzzing. C'est là ou, potentiellement, un DoS peux faire mal.
Mais c'est pas en mettant à jour les box qu'on pourra l'éviter...
Dans tous les cas, la QoS devrait faire que, à moins de tomber sur un bug d'un routeur ou du DSLAM qui le met en DoS, tripatouiller sa connection ne devrais léser que soit-même.
OB
[^]Re: c'est marqué dedans...
L'activité ADSL de Analog Devices, Inc a été cédé à Ikanos courant 2006 (avec certaines équipes). Cela concerne notamment les chipsets eagle utilisés dans les Sagem Fast 800.
Et je confirme, pas moyen d'avoir les sources des firmwares USB ou DSPcode, déjà c'est un peu la lutte (en délais) pour leur faire identifier une licence permettant la distribution sans le code source... http://atm.eagle-usb.org/wakka.php?wiki=NewsFr200611IkanosPr(...)