Le logiciel embarqué de la Neuf Box est majoritairement basé sur l’Open Source et sur Linux 2.6. Les sources concernées par la licence publique générale seront mises à la disposition de la communauté de développeurs via un site Internet dédié. Ce site communautaire permettra à ceux qui le souhaitent de proposer de nouveaux programmes. Depuis l’interface Web de la Neuf Box, les utilisateurs auront accès aux applications, logiciels ou programmes validés par Neuf Cegetel. Ils pourront ainsi les installer sans contrainte, un espace mémoire ayant été prévu à cet effet.
C'est bien sympathique, tout ça, à l'heure où les membres d'OpenFreebox se font menacer de poursuites au pénal s'ils mettent une Freebox modifiée sur le réseau. Ceci dit, je ne sais pas dans quelle mesure les programmes rajoutés par l'utilisateur sur une Neufbox auront le droit, eux aussi, d'aller sur le réseau. J'imagine que Neuf, comme tous les opérateurs, ne souhaiteraient pas que des applications sauvages ne fassent tout s'écrouler... Je pense que l'espace mémoire dont parle Neuf dans le communiqué est isolé du réseau WAN, mais pas LAN. À confirmer quand les boxes commenceront à arriver.
# c'est marqué dedans...
Posté par Calim' Héros (site web personnel) . Évalué à 4.
J'en conclus donc que sur les box connecté au réseau, pas le droit de mettre ce que tu veux, juste ce qui est validé
[^] # Re: c'est marqué dedans...
Posté par Hrundi V. Bakshi . Évalué à 2.
[^] # Re: c'est marqué dedans...
Posté par Anonyme . Évalué à 0.
Sympa leur définition de "communauté"...
[^] # Re: c'est marqué dedans...
Posté par Calim' Héros (site web personnel) . Évalué à 3.
[^] # Re: c'est marqué dedans...
Posté par Anonyme . Évalué à 3.
[^] # Re: c'est marqué dedans...
Posté par Stibb . Évalué à 5.
Ne trouve tu pas normal qu'ils tentent d'allier les deux ? sécurité de leur réseau (et je suis le premier à la réclamer) et respect de la licence (enfin).
Mais que les applications utilisateurs tournent qu'en espace protégé ne respecte peut etre pas ta définition de la communauté, mais pour moi le respet de leur réseau ET des centaines de milliers de personnes qui sont connecté chez eux est plus important.
[^] # Re: c'est marqué dedans...
Posté par Rémi Pannequin . Évalué à 3.
Je n'utilise pas de boiboite, donc j'ai peut être manqué quelque chose ; si c'est le cas, j'aimerai bien comprendre...
[^] # Re: c'est marqué dedans...
Posté par Nelis (site web personnel) . Évalué à 7.
- Tu fais un petit soft pour la box qui a un certain succès
- Beaucoup de monde installe ton petit soft sur sa box
- Paf, il y a une faille de sécurité dans ton soft qui permet de [propager un ver | prendre le controle de la machine | rendre ton box indisponible]
- Toutes les personnes ayant installé ton soft sont touchées. Les clients râlent, c'est un bordel pour réparer tout ça, il y a des tas de box à "réparer", ...
En limitant l'installation de soft à ce qu'ils ont choisi, ça leur permet de contrôler ce qui peut être installer;
[^] # Re: c'est marqué dedans...
Posté par Moogle . Évalué à 3.
Ca me fait penser à mon Archos, on te file un kit de dev libre avec émulateur, API et compagnie, mais pour pouvoir faire tourner les applis sur le hardware, il faut les renvoyer chez Archos pour qu'elles soient signées. Au final, c'est top galère, et les développeurs de homebrews préfèrent tenter d'exploiter des failles de sécu.
[^] # Re: c'est marqué dedans...
Posté par Zorro (site web personnel) . Évalué à 2.
[^] # Re: c'est marqué dedans...
Posté par Erwan . Évalué à 2.
C'est presque ca, si ton appli Windows n'est pas signee l'utilisateur aura un gros warning "attention, appli pas signee, danger!"
[^] # Re: c'est marqué dedans...
Posté par B16F4RV4RD1N . Évalué à 2.
c'est pareil si tu développes une "amélioration" pour un logiciel sous gpl (par exemple un patch pour xorg ou pour le noyau linux), si cela n'est pas au niveau ou fiable, cela sera refusé. Libre à toi d'améliorer ton travail ou de faire un fork...
Dans le cas de la neufbox, ils ne peuvent pas se permettre de risquer la sécurité de leur réseau et des autres usagers. Cela me semble sage.
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: c'est marqué dedans...
Posté par C. OB (site web personnel) . Évalué à 4.
C'est vrai que le scénario évoqué au-dessus (faille de sécurité) est possible, mais il me parait vraisemblable que 1) il y a déjà des failles existante non encore trouvées et/ou exploitées, 2) Le client qui choisi de modifier sa box est supposé s'y connaitre assez pour la remettre tout seul d'équerre en cas de problèmes (ou alors, il paye la prestation à 9), enfin, 3) il serais possible d'installer un mécanisme qui va télécharger & installer une version usine du firmware au boot lorsque l'on appuie sur le bouton reset au moment d'allumer la box.
Le client lambda ne *modifie pas* sa box, ou alors uniquement via les options "certifiées" par 9, et il ne perd pas sa garantie.
Par contre, personnellement je ne vois pas le réseau de 9 comme un grand LAN ou toute les autres box sont accessibles... J'imagine (j'espère !) que chaque box reliée au DSLAM est cantonée dans un "tunnel", et que pour passer d'une box à l'autre il faut remonter par les routeurs de chez 9. (comme via un VPN, en fait, et comme n'importe quel autre poste internet).
Donc, si un utilisateur inonde la bande passante ou envoie des paquets foireux, les autres utilisateurs ne devraient pas en etre affectés. Si c'est quand même le cas, mauvais blindage => changer de blindage et de QoS.
En tant que client, c'est *aussi* ce que j'attend de mon provider.
Pour la TV, la téléphonie, tout ca, pareil : La sécurité devrais être faite en amont, parceque rien n'empêche un abonné de brancher une box non 9tel, sur laquelle il a tripatouillé le firmware. Si l'abonné essaye via sa ligne d'accéder à des services auxquels il n'a pas droit, ca devrais se voir dès le DSLAM.
Ensuite, c'est à 9 de voir comment réagir: soit par blocage du service concerné, soit plus violemment (au pire, blocage ligne au niveau DSLAM)
Le controle des box des abonnés, je le vois surtout utile pour des raisons de maintenances : Les techniciens peuvent se logger sur la box, des stats sur la connection peuvent être remontées... Si tout ca n'est pas actif, le client en subit les conséquences, pas 9.
Quant à la télé, crypté ou pas le flux une fois qu'il arrive sur le PC et qu'il est décodé, c'est copiable & réencodable. Point. Un jour (que j'espère lointain) ca pourrais devenir problématique, avec les matériels certifiés et tout, mais aujourd'hui il n'y a aucun problème.
Et si le client arrive à recevoir une chaine pour laquelle il n'a pas payé, c'est de la faute à 9 qui a mal concu son système d'abonnement <-> ligne adsl.
PS: J'ai parlé ici que pour des clients dégroupés.
Pour les clients non dégroupés, 9 n'a pas la maitrise de bout en bout sur la liaison a l'abonné, et donc toute les mesures de sécurité ne sont pas garanties, évidamment.
[^] # Re: c'est marqué dedans...
Posté par Stibb . Évalué à 2.
Scénario 1:
V1 est une version du firmware, qui release ENTIEREMENT en opensource
V1B est une version modifiée du firmware
V1C est aussi une version modifié, mais différente
V1D encore une autre
...
jusqu'à disons, V1F, par exemple
V2 sort de chez neuf et corrige une important faille de sécurité (pour leur réseau, pour la sécurité de leur flux video,...) sur V1.
Toutes les machines utilisant V1B... F ont toujours cette faille et endomage le réseau Neuf. Ne pouvant faire de mise à jour de toute les neuf box modifiée, Neuf se retrouve dans une situation désagréable, où, parce qu'il a voulu jouer le jeu de la "communauté", il met en danger son propre réseau, et par la même, les clients qui eux ont concervé leur neuf box d'origine et donc, conserve la garanti. Clients qui peuvent se retourner contre neuf (justice) en cas de grave probleme de sécurité.
Neuf décide, pour respecter, par exemple, son engagement envers les détenteurs de droits, de couper l'acces à toutes les neuf box modifiée (par des procédés d'authentification du binaire, etc).
Scénario 2
Neuf sort une version du firmware autorisant les applications tierces mais en s'assurant que les applications opensource (non "homologuée") tourneront dans un espace protégée, ne mettant pas en danger son réseau/flux TV/...
Bon nombre de probleme sont résolu, non?
Ca ressemble beaucoup au Trusted Computing sur PC qu'il faut combattre, sauf qu'il ne s'agit pas de tes données ni de ton réseau local, mais du réseau que tu loues et qui a un cout très important.
Rien ne t'empêche de changer de provider d'acces si neuf te casse les c...
[^] # Re: c'est marqué dedans...
Posté par Zorro (site web personnel) . Évalué à 1.
Si, c'est possible, avec le logiciel MP9 Premium, que vend Neuf (15 ¤), et depuis mai 2006.
[^] # Re: c'est marqué dedans...
Posté par Stibb . Évalué à 0.
Mp9 Premium ne fonctionne aussi que sur Windows...
[^] # Re: c'est marqué dedans...
Posté par Rémi Pannequin . Évalué à 4.
Effectivement ça y ressemble... J'ai horreur des machines que je ne maîtrise pas, et qui m'imposent sournoisement des restrictions. La solution la plus simple est donc de se passer de la machinchose-box (dont la location n'est pas toujours gratuite d'ailleurs), et de préférer son propre modem adsl.
Ce que j'achète au FAI, c'est du réseau. Il y a des conditions d'utilisation de ce service (c'est bien normal), mais je reste libre de ce que je fais chez moi.
Au passage il est regrettable que les fonctions de téléphonie, télé, vidéo, etc ne soient pas accessible avec d'autres appareils que la boiboite du FAI. Enfin... parlez-moi d'interopérabilité et de vente liée...
[^] # Re: c'est marqué dedans...
Posté par M . Évalué à 3.
Ouai les FAI vende du service aujourd'hui. Il faut bien trouver des usages au Mbps dispos.
Vendre du reseau tout le monde sais le faire (quoique avec free non degroupé je me le demande...)
[^] # Re: c'est marqué dedans...
Posté par C. OB (site web personnel) . Évalué à 1.
Non je ne sais pas - je suis pas chez 9, je suis chez Club. mais j'ai pas pris la télé, ca ne m'interesse pas (en plus ils ont choisi un système microsoft-TV, avec la box-tv sous Windows mobile et des flux IP normaux il me semble - un autre défi :-) )
Mais ça devrais pouvoir se trouver, je vais me renseigner, tiens, ca m'a titillé.
>V2 sort de chez neuf et corrige une important faille de sécurité (pour leur réseau, pour la sécurité de leur flux vidéo,...)
Tu peux donner un exemple précis qui fait que le firmware peux provoquer cela ?
Si il existe une faille de sécurité dans le flux vidéo, effectivement: => firmwareV2 + maj de la crypto du flux. Certe les V1 trafiqué ne pourront plus les voir.
En fait, je ne vois toujours pas en quoi une box modifié peux mettre en danger la sécurité d'un réseau bien configuré, avec une bonne politique de sécurité.
> pas de tes données ni de ton réseau local, mais du réseau que tu loues et qui a un cout très important.
...et qu'on paye un prix très important aussi, il ne faudrais pas l'oublier. On est et on reste *clients*, pas locataires.
(Je dis ca car j'ai lu le log du chat IRC sur openFreeBox, avec le "père" de la FB et "son" réseau... :-) )
Ils nous *doivent* non seulement un tuyau, mais aussi le minimum de sécurité, conforme à l'état de l'art (on leur demande pas plus non plus, hein).
>Rien ne t'empêche de changer de provider d'acces si neuf te casse les c...
Mais c'est pareil pour tous les FAI...
Comme un commentaire le dis plus bas:
Les FAIs cherchent à vendre le service, non plus la connection.
Le coup de la "machine virtuelle", c'est pas mal, mais ca empeche pas mal de chose (netfilter/firewall, QoS, patchs noyau pour des périphériques ou des features genre politique TCP, ...)
[^] # Re: c'est marqué dedans...
Posté par briaeros007 . Évalué à 2.
Techniquement, club passe par 9.
/me dis ca mais dis rien.
[^] # Re: c'est marqué dedans...
Posté par C. OB (site web personnel) . Évalué à 2.
J'imagine que il y a du MPLS ou équivalent pour séparer logiquement les réseaux, non ?
Bref, pour la télé, on est bien au-dessus de toute facon.
Chez neuf, je suppose que c'est comme chez Free ou Orange, la TV est diffusée via un ou plusieurs VC ATM dédies, qui sont forwardé en hardware par la box sur le port ethernet (=> du point de vue du processeur de la box, elle ne vois *jamais* passer les trames sur ethN)
C'est là ou je dis que ClubInternet est peut-être différent:
Vu la techno employé (MS-TV) ils peuvent très bien diffuser en multicast IP normal sur le même canal ATM, et un ptit coup de netfilter+prerouting pour diriger les paquets dans le port ethernet de la box. Ca ne reste qu'une possibilité, ca peut très bien marcher autrement.
Sinon, pour répondre à ca:
>>Ils pourront ainsi les installer sans contrainte, un espace mémoire ayant été prévu à cet effet.
>Je pense que l'espace mémoire dont parle Neuf dans le communiqué est isolé du réseau WAN, mais pas LAN
Je pense plutot que le communiqué parle de l'espace *en flash* et non pas en RAM.Les processeurs utilisés (du genre MIPS, broadcom ou T.I.) sont pas des gros processeurs non plus... Une JRE ou même un linux-virtualserver serais tendu.
(mais par contre ils ont plein d'"unitées dédiés" autour, pour faire du TCP-offloading, gérer l'ADSL, la voix, la crypto...)
Ou alors, ils ont mis 2 processeurs, mais ca m'étonnerais ca couterais trop cher.
[^] # Re: c'est marqué dedans...
Posté par Stibb . Évalué à 1.
Gaetan
[^] # Re: c'est marqué dedans...
Posté par Stibb . Évalué à 1.
C'est peut être pour cette raison que je suis obliger d'utiliser un switch entre mon modem ADSL, ma neufTV et mon routeur Wifi (si je connecte tout sur le routeur Wifi (WRT56G) je ne peux pas regarder la télé... parce que les packets ATM ne sont pas routé, possible?
Gaetan
[^] # Re: c'est marqué dedans...
Posté par C. OB (site web personnel) . Évalué à 1.
Je vais essayer ce we, chez une amie qui l'a.
Pour les VC ATM, c'est pas tout a fait ca:
La liaison ADSL étant considéré comme une ATM, elle est divisée en plusieurs VC, numérotés par 2 chiffres: VCI et VPI. Ce sont les nombre 8/35,8/36 que l'on vois parfois dans les config de modems.
Chaque VC est *completement* indépandant, au niveau de la couche 2:
C'est comme si t'avais plusieurs cables ADSL qui arrivaient, d'ailleurs sous linux la couche ATM "standard" te crée une interface distincte par VC.
Dans ces VC, tu peux faire passer ce que tu veux, dont de l'IP, mais aussi un flux MPEG tel quel (comme si t'était sur une carte DVB).
Sur le VC 8/35 (je crois), le protocole est IP.
Sur la box, c'est un processeur a part (ou bien l'une des unité d'execution) qui décode l'ADSL *et* l'ATM, donc tu récupères un packet IP au niveau de l'interface réseau (souvent "atm0" ).
Sur le modem club-internet Hitachi (AH4021) c'est fait par un soft broadcom proprio: Tu lui file le n° de VCI/VPI que tu veux, il te rend les trame IP (je me souviens plus si un en-tete factice ARP est inséré ou pas).
*En plus* de ca, tu peux "mapper" un VCI/VPI vers un port ethernet directement:
Ce dernier deviens indisponible pour le système, mais toute les trames qui arrivent sur le VCI/VPI demandé sont envoyé tel quel sur le port ethernet, et donc "bypass" complètement le noyau linux, matériellement.
Je ne sais pas non plus si une en-tête éthernet factice est inséré au passage, si tu arrives a passer par un switch j'aurais tendance à dire que oui.
Voila, ensuite, dans ces trames-la, rien ne t'oblige à avoir de l'IP, ca peux donc être un flux MPEG tel quel, ou n'importe quoi d'autre. Je suppose que, chez Club, ce flux est encrypté. Et donc, si il n'y a pas de couche IP, effectivement ce n'est pas routable par le WRT56G (je suppose même qu'il dois dropper le paquet, pourvu qu'il doit fabriqué bizarrement)
[^] # Re: c'est marqué dedans...
Posté par C. OB (site web personnel) . Évalué à 1.
A ma connaissance, seuls 3 boites font des chipset ADSL:
Texas Instrument (AR7* pour les boitiers Dlink, Linksys, ...), Broadcom (box ADSL free, 9, alice) et Analog Digital, Inc (Livebox).
Sur les 3, pas un seul ne file les sources de l'outil de configuration du module ADSL, ni du module ADSL, ni du firmware de la puce ou unité qui gère l'ADSL.
Donc, pour arriver à faire des choses tordues comme écouter tous les VC en même temps et logger les trames, envoyer des données arbitraires, etc... c'est possible mais à mon avis il faut pas mal de boulot de reverse-engeeniering sur ces aspect-la des puces.
Mais bon, on peux imaginer que, avec n'importe quel modem adsl traffiqué (pas seulement une box), on peux envoyer ce que l'on veux sur tous les VC.
Ensuite, il faut voir si le DSLAM est bien protégé à ce niveau-là, et si des protections existent (genre, mise en connection restreinte et remonté d'alerte lors de la détection de trames louches, ex qui se balladent sur un VC non utilisé)
Notoirement, il y a quelques années les DSLAM étaient de vraie passoire (vxworks :-) ) mais maintenant j'imagine que ca à dû changer.
Il faut voir ensuite comment sont protégé les serveurs en amont, télé et téléphonie, en particulier face au fuzzing. C'est là ou, potentiellement, un DoS peux faire mal.
Mais c'est pas en mettant à jour les box qu'on pourra l'éviter...
Dans tous les cas, la QoS devrait faire que, à moins de tomber sur un bug d'un routeur ou du DSLAM qui le met en DoS, tripatouiller sa connection ne devrais léser que soit-même.
OB
[^] # Re: c'est marqué dedans...
Posté par BAud (site web personnel) . Évalué à 2.
Et je confirme, pas moyen d'avoir les sources des firmwares USB ou DSPcode, déjà c'est un peu la lutte (en délais) pour leur faire identifier une licence permettant la distribution sans le code source... http://atm.eagle-usb.org/wakka.php?wiki=NewsFr200611IkanosPr(...)
# interface télé...
Posté par Nicolas Boulay (site web personnel) . Évalué à 3.
L'interface de la freebox HD est vraiment toute pourris et contre intuitive. Les menus ne sont pas consistant et la réactivité est assez basse.
Bref, il y aurais du boulot pour un vrai projet libre.
"La première sécurité est la liberté"
[^] # Re: interface télé...
Posté par Nelis (site web personnel) . Évalué à 3.
[^] # Re: interface télé...
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
M'enfin de toute façon, cela n'est pas dans l'interet de free et de neuf de tout vérrouiller. Le seul truc problématique, c'est l'enregistrement de la télé des flux vod. C'est hyperprotégé les flux sont crypté. J'imagine que le moyen de décrypter doit être accéssible au soft free, c'est cet accés qui doit être protégé.
"La première sécurité est la liberté"
[^] # Re: interface télé...
Posté par ʭ ☯ . Évalué à 1.
- regarder la TV sur ton PC avec le système et les logiciels que tu veux
- personaliser ton interface TV de la box en utilisant l'univers Freeplayer.(Il y a des navigateurs WWW et même des copie d'écran).
- tripatouiller la TV reçue (filtres genre effectTV) et la renvoyer vers ta TV avec Freeplayer.
- envoyer n'importe quel flux MPEG2 généré sur ta machine vers ta TV.
Donc tu peux pas toucher à la boîte, mais tu fais ce que tu veux des médias, c'est quand même le plus important, non? La box c'est pour les non-hackers : un service simple à utiliser et FIABLE.
⚓ À g'Auch TOUTE! http://afdgauch.online.fr
[^] # Re: interface télé...
Posté par Stibb . Évalué à 1.
alors que tous les fournisseurs de contenus demandent que les flux ne puissent pas être copié (et donc, qu'ils soient encryptée)... c'est sans doute pour cela que la Neufbox ne le propose pas. Merde à moi.
[^] # Re: interface télé...
Posté par Laurent Saint-Michel . Évalué à 1.
[^] # Re: interface télé...
Posté par taratatatata . Évalué à 2.
[^] # Re: interface télé...
Posté par briaeros007 . Évalué à 2.
(c'est bizarre on l'oubli tout le temps ca)
[^] # Re: interface télé...
Posté par taiwan . Évalué à 1.
Personnellement je pense que c'est le seul problème a une ouverture totale de l'OS ,et je pense que dans un futur proche toute les freebosk détecte modifie part free ,auront juste la TV,VOD de bloque .
a pluche /.
[^] # Re: interface télé...
Posté par ola . Évalué à 2.
c'est pas trop ce que disait Rani Assaf, cite dans un journal/news ici meme (me rappelle que c'etait un entretien irc avec surement des mecs qui voulait monter un projet freebox libre, pas de lien et la flemme de chercher).
Bref en gros, c'etait : vous branchez ce que vous voulez au cul de votre ligne free, mais la premiere box non free qui tente d'acceder au contenu VOD, il va le sentir passer (et son abonnement aussi).
Adaptation libre et personnelle, mais assez proche du fond de l'idee du bonhomme je pense.
[^] # Re: interface télé...
Posté par ola . Évalué à 2.
http://linuxfr.org/comments/706384.html#706384
Le lien vers les logs de la conv irc est apparement mort.
[^] # Re: interface télé...
Posté par taratatatata . Évalué à 3.
http://www.f-x.fr/files/rani-chat.log
Apr 28 15:23:53 rani florian_: ce qui peut passer en opensource (tout ce qui touche pas à la TV car les mecs des medias c'est des paranos grave), j'ai aucun pb...
Apr 28 16:18:20 rani dachary: pas que les DRMs le pb avec eux... si tu savais toutes les conneries avec lesquelles ils nous prennent la tête...
Ce genre de petits commentaires ne devraient pas se balader aux yeux de tout le monde si le monsieur ne cherche pas la merde diplomatique avec les bonnes personnes.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.