Journal Dongle 4G sous environnement libre

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
28
20
sept.
2017

Cher Nal,

J'ai passé un peu de temps à tester une solution de connectivité 4G ; donc je partage avec toi un résultat obtenu.

Après quelques recherches aux réponses pas toujours très claires sur le net, je me suis orienté vers la clé 4G Huawei E3272, vendue ici : https://www.ldlc.com/fiche/PB00204764.html

Elle fonctionne « out of the box » sous Debian Jessie et Buster sur deux machines sur lesquelles j'ai pu tester. Les tests ont été faits avec une SIM Free 3G (abonnement tel de base) et une SIM Free 4G.

C'est un dongle en technologie « HiLink » : le dongle gère pour vous le réseau sans fil, et du point de vue du PC c'est une interface ethernet/USB avec un serveur dhcp+passerelle+http au bout de la clé. Ça a l'avantage d'épargner l'utilisateur de la conf 4G (ce qui est peut être une raison qui fait que ça marche tout seul) mais ça a l'inconvénient de d'écarter l'utilisateur de la conf 4G. Cette configuration de la connexion (notamment la saisie du PIN) se fait va le web à l'adresse de la passerelle.

Pas de blocage de port observé lors des (rapides) tests.

Dernière étape (simple et bien documentée celle-ci) : configurer Openwrt pour donner accès à la 4G via un access point wifi.

  • # Access point Wifi 4G

    Posté par  . Évalué à 1.

    Question bête, pourquoi ne pas avoir regardé du côté des access point Wifi 4G, comme le Huawei E5573B ? c'est un élément autonome, pas de problème de compatibilité puisque c'est directement une connexion wifi.

    • [^] # Re: Access point Wifi 4G

      Posté par  (Mastodon) . Évalué à 0. Dernière modification le 20 septembre 2017 à 22:29.

      Mon employeur nous fournit aussi un dongle 4G mais j'avoue qu'en 2017 je n'en vois pas vraiment l'intérêt. Maintenant tous les laptops pro ont un slot pour carte sim avec le modem 4g intégré et même ça on ne l'utilise pas car on peut toujours partager la connection de son smartphone.

      Du coup même un access point 4G je n'en vois pas vraiment l'utilité.

      Jami: beabb2b063da0a2f0a2acaddcd9cc1421245d5de

      • [^] # Re: Access point Wifi 4G

        Posté par  (site web personnel) . Évalué à 7.

        Du coup même un access point 4G je n'en vois pas vraiment l'utilité.

        Beh quand on n'a ni smarphone, ni laptop pro équipé d'un modem 4G, c'est utile. :)

        Par ailleurs mon but final est d'équiper en réseau (d'appoint) un local qu'il est difficile de connecter sans ça. La connectivité « individuelle » me m'intéresse pas spécialement dans ce cas précis.

        Adhérer à l'April, ça vous tente ?

        • [^] # Re: Access point Wifi 4G

          Posté par  (Mastodon) . Évalué à 2.

          Ah ouais je n'avais pas évoqué un usage domestique familial parce qu'en général les providers internet 4g te fournissent le matos quand tu prends l'abonnement.

          Jami: beabb2b063da0a2f0a2acaddcd9cc1421245d5de

    • [^] # Re: Access point Wifi 4G

      Posté par  (site web personnel) . Évalué à 2.

      Question bête

      Ou pas.

      pourquoi ne pas avoir regardé du côté des access point Wifi 4G, comme le Huawei E5573B ?

      Car je n'ai pas réussi à me convaincre que ce matériel fonctionnait sous openwrt.

      Adhérer à l'April, ça vous tente ?

  • # Free & les dongles

    Posté par  . Évalué à 4.

    Je ne sais pas ce qu'il en est à l'heure actuelle, mais je me souviens qu'à la sortie des abonnements Free mobile, les conditions d'utilisation du service interdisaient explicitement l'utilisation des cartes SIM Free dans au autre appareil qu'un téléphone, et particulièrement dans le cas d'un point d'accès internet mobile.

    • [^] # Re: Free & les dongles

      Posté par  . Évalué à 4.

      Toutafé. Je cite :

      4.3.
      Sont strictement interdites les utilisations du Service et/ou de la SIM notamment suivantes :
      - utilisation de la SIM dans un équipement non dédié aux communications interpersonnelles, ou
      - utilisation à des fins ou de manière frauduleuse ou illicite ; notamment, l’abonné reconnaît que la violation des droits de propriété intellectuelle constitue un acte de contrefaçon, sanctionné pénalement et civilement, ou
      - utilisation à d’autres fins que personnelles, notamment aux fins d’en faire commerce (cession ou revente totale ou partielle du Service), ou
      - utilisation par le biais notamment d’une composition automatique ou en continu de numéros, ou
      - utilisation à titre gratuit ou onéreux en tant que passerelle de réacheminement de communications ou de mise en relation, ou
      - utilisation dans le cadre de boitier radio ou de clé ou carte 3G, ou
      - tentatives d’établissement de plus de 200 sessions TCP (protocole de contrôle de transmissions) simultanées, ou
      - envoi de messages électroniques non sollicités (spamming).

      source : CGA

      Concernant les concurrents, c'est pareil. En théorie, il faudrait utiliser un abonnement spécifique.

      Est-ce qu'une SIM pour clé 4G dispose d'un numéro de téléphone ? Le but de cette segmentation pourrait être de minimiser le gaspillage de numéro de téléphone ?

      • [^] # Re: Free & les dongles

        Posté par  . Évalué à 4.

        Est-ce qu'une SIM pour clé 4G dispose d'un numéro de téléphone ?

        En suisse, oui, et on peut recevoir des sms dessus.
        J'ai pas testé les appels par contre.

        • [^] # Re: Free & les dongles

          Posté par  . Évalué à 1. Dernière modification le 21 septembre 2017 à 17:50.

          j'ai déplacé le commentaire à un endroit plus pertinent
          à effacer

      • [^] # Re: Free & les dongles

        Posté par  . Évalué à 4.

        Oui. S'il n'y a pas de numéro de téléphone, c'est impossible de mettre à jour la carte sim par OTA et il n'y a pas encore à ma connaissance de mode OTA autre que par SMS (même si j'avoue que j'ai pas ingurgité les dernières briques de la 3GPP). En plus c'est hyper facile de désactiver les usages voix et/ou envoi de sms au niveau de la sim ou au niveau du cœur de réseau.

    • [^] # Re: Free & les dongles

      Posté par  . Évalué à 6. Dernière modification le 21 septembre 2017 à 15:18.

      Ça ne fera pas avancer le schmilblick, mais ce genre d'interdiction, je trouve ça plus que limite.

      1. Je peux utiliser le téléphone comme point d'accès mobile de toute façon
      2. Qu'est-ce que ça peut bien leur faire? Ils ont peur qu'on utilise les quotas pour de vrai??

      Je me souviens avoir déjà trouvé particulièrement abject une clause d'un opérateur mobile (à l'étranger) qui disait que ton smartphone peut servir de point d'accès pour un ordinateur! Yeah! Si tu veux en connecter un deuxième, faut payer xxx en plus!
      Et effectivement, les téléphones de l'opérateur (sous Android) avaient une limitation logicielle supplémentaire.

      À un moment, faudrait que les opérateurs proposent les services, ou pas! Pas "tu peux t'en servir, à condition que ce soit dans le cadre d'une utilisation bridée qui ne te permettra pas de vraiment t'en servir!"

      • [^] # Re: Free & les dongles

        Posté par  (Mastodon) . Évalué à 3.

        Je me rappelle quand mon opérateur faisait ça sur les iphones mais pas sur mon nokia navigator. Il était bien ce ni dumb ni smartphone finalement.

        Jami: beabb2b063da0a2f0a2acaddcd9cc1421245d5de

      • [^] # Re: Free & les dongles

        Posté par  . Évalué à 4. Dernière modification le 21 septembre 2017 à 18:10.

        On appelle ça de la segmentation de marché. Le but est de transformer ce service offert par défaut en service facturé avec un tarif différencié, pour mieux cibler les clients. Et puis on peut le vendre en bundle avec le déblocage des ports réseau à usage professionnel, style exchange, imap, pop, ssh, etc…
        La bonne nouvelle, c'est que depuis longtemps c'est contournable avec des proxies, des VPN, en falsifiant l'identité des navigateurs sur le système. J'me souviens avoir déjà contourné ces merdes en 2009 en étant chez SFR. Et quand on échouait, on tombait sur le service surfacturé.

        Mes deux premiers critères de choix d'opérateur sont désormais : pas de blocage de ports et pas de restriction des usages modem. Mine de rien, c'est loin d'être présent dans les offres de la majorité des MNO et MVNO.

        • [^] # Re: Free & les dongles

          Posté par  . Évalué à 5.

          La bonne nouvelle, c'est que depuis longtemps c'est contournable avec des proxies, des VPN, en falsifiant l'identité des navigateurs sur le système. J'me souviens avoir déjà contourné ces merdes en 2009 en étant chez SFR. Et quand on échouait, on tombait sur le service surfacturé.

          J'ai un souvenir moins funky. Il y a 5-6 ans, j'étais dans un bled sans ADSL du tout (et pourtant en Île-de-France), ni solution alternative. Je me débrouillais avec une clé 3G et un pseudo-routeur maison. Et j'ai du changer trois fois d'opérateur (après l'ADSL est arrivé) : un coup Laposte, un coup Sosh, un coup SFR, pour réussir à conserver un service fonctionnel. L'un laissait passer les VPNs, puis finalement non. L'autre te bloquait les versions non-mobiles des pages sur une base aléatoire. Le troisième, je crois, avait bien marché. Et ça n'était jamais de la résiliation de contrat pure et simple, non : à chaque fois, c'est juste ton service qui devient de moins en moins fiable, jusqu'à ne plus savoir se connecter du tout.

          • [^] # Re: Free & les dongles

            Posté par  . Évalué à 2. Dernière modification le 22 septembre 2017 à 09:24.

            Quand je dis en utilisant un VPN ou un proxy, c'est en passant par le port 443, beaucoup plus difficile à différencier du HTTPS. Le VPN ou proxy moyen risque effectivement de se faire repérer immédiatement. Golden frog est le premier qui me vienne à l'esprit, dans ceux payants, mais sinon le proxy socks fourni d'office par une connexion ssh sur le port 443 fait l'affaire.

  • # Computer in computer

    Posté par  . Évalué à 9. Dernière modification le 21 septembre 2017 à 13:15.

    Si je comprends bien, le dongle est en réalité un adaptateur ethernet USB relié à un routeur 4G.
    vu que le routeur a la capacité d'embarquer d'un petit serveur web, on a donc un périphérique qui contient un ordinateur.
    On vit dans une drôle d'époque quand même, si il devient plus simple que les périphériques soient des éléments indépendants, pour des trucs aussi "simple" qu'une interface réseau.

    Du coup certes, pour l'utilisateur final c'est assez convivial, mais quand on soulève la question de la sécurité des objets IOT, ça me semble quand même être un bon exemple.

    Il se passera quoi quand l'OS embarqué dans le dongle sera troué? Quelles sont les garanties de mises à jour proposées par le fabriquant? Je ne connais pas les réponses mais bizarrement j'ai un gros doute.
    Pouvoir y mettre openwrt c'est bien, mais ce n'est quand même pas à la portée de la majorité des utilisateurs.
    D'autre part, ce n'est pas une possibilité offerte par tous les périphériques de ce genre.

    • [^] # Re: Computer in computer

      Posté par  (site web personnel, Mastodon) . Évalué à 4.

      C'est peut-être pas plus mal que ça soit du logiciel.

      Quand on fait des choses complexes, il y a forcément des problèmes de sécurité. Et il est beaucoup plus facile de mettre à jour le logiciel, que de corriger le matériel.

      De plus, cela permet de segmenter les choses. Le router dans ce cas est quand même bien isolé de ta machine principale. Même si son OS est troué, si tu utilises des protocoles chiffrés, et sécurisés, et bien il ne pourra pas faire grand chose pour accéder à tes données. Il pourra par contre miner des bitcoins où toute autre activité plus ou moins légale confiée à un botnet.

      En fait, je pense que je préfère ça, plutôt qu'un driver (venant du même fabriquant) à installer directement dans le noyau de mon système d'exploitation, et qui aurait du coup accès à toute les ressources de la machine (mémoire, CPU, …).

      Cela n'empêche pas, dans les deux cas, que ce logiciel devrait être libre. Mais c'est un problème indépendant.

      • [^] # Re: Computer in computer

        Posté par  . Évalué à 8.

        tu as raison. Concernant la confidentialité, dans la mesure où la 4G est un réseau non maitrisé dans tous les cas les précautions sont à prendre en amont.
        Par contre je pense que tu sous-estimes le problème de l'exploitation de cette machine à ton insu. certes à ton niveau ça n'a pas de grand impact, si ce n'est un peu de ralentissement dans ta connexion.
        Mais à un niveau plus global, c'est potentiellement des botnets gigantesques qui sont constitués par ce type d'appareils, botnets qui sont exploités dans des buts bien plus graves que du minage de bitcoin, puisque ça peut couvrir des périmètres tels que l'espionnage d'état ou le terrorisme. Donc accepter la multiplication de ce type d'appareils sans visibilité de leur maintenance à long terme, ça participe à un problème bien plus grave qui peut déclencher des guerres (oui c'est pessimiste, mais on en est là.)

        Mais ma remarque porte plutôt sur le fait que pour un truc qui pourrait marcher avec un contrôleur USB, une puce 4G, une antenne et un petit driver, finalement on se retrouve, "pour faire plus simple", avec en plus un microprocesseur, de la ram, du stockage, un OS, un logiciel de routage, un serveur web, et une application web de gestion de la config.

        J'en viens à me demander comment on en est arrivé là, et je n'aime pas trop la direction que ça donne à l'informatique en général, tout comme je déplore que pour copier une photo entre 2 appareils sur le même wifi ça reste toujours plus simple aujourd'hui de le faire en passant par un datacenter irlandais.
        Le marché a une sacré tendance à complexifier les choses..

        • [^] # Re: Computer in computer

          Posté par  (site web personnel, Mastodon) . Évalué à 2.

          J'ai fait une comparaison entre deux choses:
          - Un périphérique "intelligent" comme celui-ci, mais avec peu ou pas de driver sur la machine, et d'autre part,
          - Un périphérique "bête" pour lequel une grosse partie du travail va être faite par le driver

          Dans les deux cas, tu as à peu près les mêmes risques d'une prise de contrôle par un botnet: soit juste le périphérique, soit si la faille est dans un driver, toute ta machine (surtout qu'on a toujours pas d'OS avec un micronoyau qui permettrait d'avoir au moins une protection logicielle entre les drivers).

          Dans les deux cas, la solution est la même: du code libre (celui embarqué sur le périphérique ou celui du driver) qui permettra d'auditer la sécurité et de corriger les problèmes.

          Le fait d'avoir cette intelligence dans le périphérique protège au moins un peu plus les données qui sont sur ta machine. Et de ce point de vue de la sécurité, je ne pense pas que ça aie d'inconvénients. Après, il y a d'autres problèmes (de gaspillage de ressources pour construire un matériel plus compliqué, par exemple).

          Les choses "simples" techniquement ne sont pas toujours les plus simples à utiliser ou même à comprendre. Quelle solution on aurait pour copier une photo entre deux appareils en local? DLNA? Bonjour/Avahi? Pas forcément des trucs simples car un appareil peut rejoindre ou quitter le réseau à tout moment. Et on ne veut pas d'un serveur central. ça devient vite plutôt compliqué de faire le truc qui "juste marche".

      • [^] # Re: Computer in computer

        Posté par  . Évalué à 1.

        Sauf qu'en pratique avec une connexion USB la clé routeur à un accès très privilégié à la machine principale.

        Un autre problème c'est quand la qualité du réseau est médiocre, même avec un câble pour déporter et caler la clé cela est très chiant. Un boîtier externe en point d'accès wifi change la vie. Pour moi un téléphone + 3G /4G, en cas de mauvaise réception le téléphone dans une boite étanche et hop sur la drisse de spi en haut du mat.

        • [^] # Re: Computer in computer

          Posté par  (site web personnel, Mastodon) . Évalué à 2.

          Là si j'ai bien compris on a une configuration de ce genre:

          USB <-> Contrôleur ethernet <-> Routeur 3G

          Du coup, il y a quand même un contrôleur ethernet au milieu ce qui fait que le routeur 3G, lui, ne devrait pas trop avoir accès à grand chose. Après il faudrait étudier le matériel pour voir comment c'est réalisé et à quel points ces trucs sont intégrés.

    • [^] # Re: Computer in computer

      Posté par  . Évalué à 4.

      vu que le routeur a la capacité d'embarquer d'un petit serveur web, on a donc un périphérique qui contient un ordinateur.

      En fait ça fait pas mal de temps que nos périphériques informatiques sont des ordinateurs. Il y a des microcontroleurs, des ASICS et des DSP un peu partout et les simples composants logiques tendent à disparaitre dans les appareils électroniques.
      N'importe qu'elle carte-fille qui contient une puce ayant sa propre mémoire ROM et RAM est un ordinateur asservi à un autre.

      • [^] # Re: Computer in computer

        Posté par  (site web personnel, Mastodon) . Évalué à 5.

        Un ASIC ne fait pas d'un périphérique un ordinateur. Rappel: Application-Specific Integrated Circuit, qui veut juste dire "circuit intégré spécifique à l'application". Ne contient pas forcément un processeur ou quoi que ce soit d'"intelligent" ou de capable d'exécuter du code. C'est juste un moyen de mettre plein de logique simple dans une seule puce.

        En général quand on fait un ASIC, c'est plutôt pour des trucs qui ont besoin de haute performance et qu'on peut pas facilement faire avec du code. Donc c'est rare de trouver un processeur dedans. Sauf si y'en a aussi besoin pour d'autres raisons et qu'il restait de la place pour le mettre là?

        • [^] # Re: Computer in computer

          Posté par  . Évalué à 1.

          En effet, j'aurai pas dû inclure les ASIC tout comme je n'ai pas inclus les FPGA. Merci de la rectification.

      • [^] # Re: Computer in computer

        Posté par  . Évalué à 1.

        il me semble quand même que la surface d'attaque n'est pas la même entre les 2 types de périphériques.

        • [^] # Re: Computer in computer

          Posté par  . Évalué à 2.

          Bien entendu mais ça n'en reste pas moins des ordinateurs à part entière et bien souvent reprogrammables.

          Même à distance, un périphérique d'impression en réseau est potentiellement vulnérable. Et comme l'internet des objets ce sont rarement des appareils ayant droit à des mises à jour.

          Avec un accès physique, là c'est la fête. Il est possible par exemple de flasher un keylogger dans un clavier même sans lui ajouter de composants et cela en moins de trois minutes même si l'attaquant ne se contente pas de remplacer le périphérique par une copie préalablement piégée.
          Le fait que les microcontroleurs et DSP utilisent l'architecture Harvard est une sécurité mais qui reste faillible, surtout depuis que l'industrie est passé à l'architecture Harvard modifiée qui permet la rétention de données non volatiles dans l'espace d'adressage réservé au programme (c'est le cas entre autres des PIC et AVR).

    • [^] # Re: Computer in computer

      Posté par  . Évalué à 7.

      Si je comprends bien, le dongle est en réalité un adaptateur ethernet USB relié à un routeur 4G.
      vu que le routeur a la capacité d'embarquer d'un petit serveur web, on a donc un périphérique qui contient un ordinateur.

      Pour être plus précis (bon, je parle d'un E3372, mais ça doit être proche), la clé a un CPU ARM chinois avec RAM et Flash et tourne sous Android. C'est un Linux avec plein de logiciels à priori libres dessus, mais dont on ne sait pas où sont les sources. Il y a des russes sur un forum qui ont reverse-engineeré le bousin (pas de lien maintenant, boulot, toussa) et qui ont reprogrammé entièrement la clé, si ça vous intéresse de bidouiller.

      Le dongle faisant routeur + NAT avec la 4G, ça veut bien sûr dire zéro contrôle réellement sur le medium, ça interdit l'IPv6, ou tout autre truc qui sort un peu de l'ordinaire (IPsec, etc). Il existe plusieurs modes de fonctionnement, dont un pour revenir en PPP « simple », très peu documentés, variant avec les versions du firmware et les version du hard, qui ne sont bien sûr pas identifiés, ni trop documentés. Il plante régulièrement (enfin, ça dépend des versions), et pompe souvent plus d'1A sur le port USB (il chauffe bien, touchez-le !), donc par exemple ça ne marche pas avec des ports trop faibles en puissance (RasPi).

      Ce qui est drôle c'est de parler « d'environnement libre » avec ce genre de cochonnerie.

      Il se passera quoi quand l'OS embarqué dans le dongle sera troué? Quelles sont les garanties de mises à jour proposées par le fabriquant? Je ne connais pas les réponses mais bizarrement j'ai un gros doute.

      Effectivement, ta clé sera utilisée comme zombie, ou aura un ransomware pour retrouver ta connexion, ou plein d'autres trucs drôles. Les MàJ bien sûr c'est zéro. Et ce sont des clés officiellement poussées par Orange pour la 4G, pour info.

      Pouvoir y mettre openwrt

      Je crois qu'il parlait de brancher cette clé sur un routeur avec OpenWrt, pas de mettre OpenWrt dessus, ce qui est pour l'instant impossible à ma connaissance.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.