D-Link DIR-655, le routeur déroutant

Posté par  (site web personnel) . Modéré par Nÿco.
Étiquettes : aucune
21
6
nov.
2008
Sécurité
La dernière version du « firmware » (microcode) pour le routeur D-link DIR-655 introduirait une nouvelle « fonctionnalité » : le détournement de trafic à des fins de sécurité (sic). Lorsqu'un internaute se promène sur le web, le routeur prendrait l'initiative de l'envoyer sur un site commercial pour lui vendre des produits commercialisés par D-Link (abonnement à une fonctionnalité de sécurité baptisée SecureSpot).

Cette fonctionnalité serait désactivable, mais activée par défaut. Cela semble douteux pour dire le moindre (les mots interception et détournement de communication privée viennent à mon esprit). Par ailleurs, d'un point de vue éducation et sécurité, prétendre améliorer la sécurité en faisant du détournement de trafic semble un peu antinomique.
Ce n'est pas une nouveauté sur le principe, la société Belkin l'avait appris à ses dépens en 2003.

Et la partie « amusante », D-Link publie son (ou une partie de son) code sous GPL... Source UberSource :

« What you experienced was not an Attempt to "Hijack" your connection. In fact what it is an added feature called "Secure Spot", It is software that is built into the router, which is used to replace or work along with your firewall/Antivirus/Antispam software. It also provides more parental controls.

This feature does require a subscription if you want to use it but it is entirely optional.

This feature replaces a hardware device that we had that did the same tasks. The DSD-150.

You can disable this feature by logging into the router and clicking the Advanced Tab and Secure Spot on the left side.

D-Link Customer Service
»

Source Wikipédia :

« In 2003 Belkin released a home use wireless router which would occasionally replace user's HTTP requests with an advertisement for Belkin's filtering software. Belkin received some intense criticism for this from technically literate customers and others who described it as a man-in-the-middle attack or a form of session hijacking. Belkin initially treated this as a public relations problem rather than a highly inappropiate action on their part, but later relented and removed this intentional malfunction from their products. »

Ce qui peut se traduire par :

« en 2003, Belkin a sorti un routeur Wi-Fi qui remplace de temps en temps les requêtes HTTP en renvoyant vers une publicité pour un logiciel de filtrage de Belkin. Belkin a alors reçu de vives critiques de la part de clients compétents techniquement et d'autres qui ont décrit cette pratique comme une attaque de l'homme du milieu ou comme un détournement de session. Belkin a initialement répondu en parlant de problème de relation publique plutôt qu'une action inconvenue de leur part, par la suite ils ont désactivé ce dysfonctionnement voulu de leurs produits. »

À voir si la même démarche va être suivie cette fois-ci.

Aller plus loin

  • # D-Link, Verisign, même combat ...

    Posté par  . Évalué à 7.

    Au fait, une info que je n'arrive pas à trouver de façon claire : la requête est-elle réellement renvoyée vers un site externe ou bien vers une page de pub stockée dans le routeur ? Ça changerait beaucoup de choses.

    Ça me rappelle beaucoup l'affaire Verisign, il y a 5 ans, qui renvoyait les erreurs 404 vers son propre site. C'était, bien sûr, beaucoup plus parlant pour les utilisateurs ... À l'époque, le tollé engendré leur avait fait marche arrière, après avoir engrangé une quantité significative de données, mais au moins, ils pouvaient le faire d'un coup. Les routeurs de D-Link dans la nature, ils ne seront jamais tous mis à jour ...
  • # Paranoïa

    Posté par  . Évalué à 6.

    On en vient à s'inquiéter un peu plus, lorsque l'on se demande si ce n'est finalement pas la partie visible de l'iceberg qui soudainement émerge ici...

    Peut-être avons nous une confiance largement exagérée envers notre matériel.
    En effet, qui vérifie ce qui sort du routeur, et qui est moins visible ?
    N'y a-t-il vraiment que les requêtes des utilisateurs et ce qu'il faut pour les gérer ?
    Ne se pourrait-il pas que certaines statistiques et informations pertinentes soient collectées, puis envoyées régulièrement vers un site douteux, tout comme le ferait un logger/trojan ?

    Un routeur est en effet un emplacement idéal pour l'espionnage "passif" d'utilisateurs, et il n'y a guère besoin d'utiliser des canaux cachés pour transmettre les données pertinentes recueillies...

    S'il faut donc installer un pare-feu supplémentaire et séparé pour traiter ce qui sort, justement, on n'est pas sorti de l'auberge !
    • [^] # Re: Paranoïa

      Posté par  . Évalué à 3.

      Les routeurs/firewall personnelles ont toujours été un très gros problème. Il n'y a qu'à voir la fréquence quasi nulle des mises à jour pour beaucoup d'entre eux alors qu'on sait pertinemment qu'ils tournent sur d'anciennes versions de logiciels non corrigés.
      • [^] # Re: Paranoïa

        Posté par  . Évalué à 2.

        C'est dû aux risques de la mise à jour, dans bien des cas, tu la foire et tu peux racheter un routeur. Ou alors la mise à jour est foireuse, j'ai fais une fois la mise à jour de mon routeur D-Link et je n'avais plus de connexion, j'ai dû revenir à l'ancienne version, c'est pas très encourrageant.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Paranoïa

          Posté par  . Évalué à 3.

          Mouai, je préfère détruire une petite box plutôt que de compromettre tout mon réseau et avoir des désagréments bien plus fâcheux. Et encore beaucoup en général peuvent booter en tftp (tout du moins les linksys que j'ai essayé après des essais foirés avec openwrt) donc il y a peu de risque de la rendre inutilisable.
          • [^] # Re: Paranoïa

            Posté par  . Évalué à 2.

            150€ (à l'époque) la mise à jour, ça fait quand même cher je trouve.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: Paranoïa

      Posté par  (site web personnel) . Évalué à 2.

      Peut-être avons nous une confiance largement exagérée envers notre matériel.

      Cela me rappelle une BD en ligne geek qui parlait d'une backdoor hardware dans une puce réseau.

      Si quelqu'un retrouve l'url,qu'il le donne, j'ai même oublié le titre de la BD.

      "La première sécurité est la liberté"

    • [^] # Re: Paranoïa

      Posté par  (site web personnel) . Évalué à 1.

      C'est vrai que c'est assez inquiétant...
      D'ici que les politiques imposent ce genre de "déroutage" au niveau du routeur lui-même...

      Pour moi, a moins que l'on ai mis un firmware libre sur le routeur en question, il faut le traiter comme un élément non sécuriser, et crypter au maximum ce qui en sort (ce qui n'est pas simple je l'admet).

      J'aimerais tellment que le mesh soit la solution.... :-)
      • [^] # Re: Paranoïa

        Posté par  (site web personnel) . Évalué à 1.

        Pour moi, a moins que l'on ai mis un firmware libre sur le routeur en question, il faut le traiter comme un élément non sécuriser, et crypter au maximum ce qui en sort

        Je passerai sur l'orthographe, faisant moi-même 10 fautes par ligne, mais l'idée me paraît erronée elle aussi. Tu ne peux pas être sûr de la sécurité de ton routeur/box si tu n'as accès qu'au logiciel, on peut aussi bien créer des fonctionnalités d'espionnage directement dans le matériel.
      • [^] # Re: Paranoïa

        Posté par  . Évalué à 1.

        Pourquoi le mesh ?
        Ce n'est pas méchant, mais je ne vois pas du tout le rapport.
    • [^] # Re: Paranoïa

      Posté par  . Évalué à 1.

      Et que penser des *box ? Les FAI, s'ils exploitent les données entre leurs mains connaissent une part significative de notre vie privée quand on ne met aucun moyen de l'empêcher en place :
      - quels sites je visite, quand, à quelle fréquence (et donc potentiellement : mes centres d'intérêts, convictions, partenaires commerciaux etc.)
      - avec qui j'échange des mails (voire le contenu des échanges)
      - avec qui j'entretiens des relations téléphoniques, quand, à quelle fréquence
      - qu'est-ce que je regarde comme programme TV
      - pour les box avec disque dur, quelles sont les données qui y sont stockées.

      Les *box, c'est merveilleux pour toutes les fonctionnalités que ça met à la portée de tout un chacun assez facilement. Mais c'est aussi un vrai danger sur le plan de la protection de la vie privée. Et dire que j'en utilise une...

      Ce n'est pas pour rien qu'un certain gouvernement veut mettre ce secteur sous coupe réglée.

      Pour ceux qui veulent éviter ça il y a FDN (http://www.fdn.fr/). Mais en ce qui me concerne, j'ai la faiblesse de ne pas parvenir à me séparer de toutes les fonctionnalités évoquées.
      • [^] # Re: Paranoïa

        Posté par  (site web personnel) . Évalué à 4.

        Même sans *box les Fai peuvent connaître tout ce que tu énumères (sauf le contenu du disque dur de la box bien entendu).
        • [^] # Re: Paranoïa

          Posté par  . Évalué à 1.

          En fait ça dépend...
          Si tu ne prends pas un "package" net + voip + tv, mais un accès dsl simple, ça limite un peu. Mais tu as raison, le FAI peut de toute façon de par son activité connaître beaucoup de choses.
        • [^] # Re: Paranoïa

          Posté par  . Évalué à 3.

          Les FAI sont même obligé de garder une grande partie de ces informations pendant un an.
    • [^] # Re: Paranoïa

      Posté par  (site web personnel) . Évalué à 2.

      N'y aurait-il pas des firmwares Libres de remplacement pour tous ces matériels, dans le style de http://www.rockbox.org/ pour les lecteurs mp3 ?
      • [^] # Re: Paranoïa

        Posté par  . Évalué à 1.

        Oui, openwrt par exemple qui marche sur une grande quantité de routeurs pour la maison.
    • [^] # Re: Paranoïa

      Posté par  . Évalué à 1.

      Devinais pourquoi la chine exige avoir accès au code source des firmwares mise en œuvre dans les routeurs sous peine de non commercialisation des produits sur leurs marchés.
      • [^] # Re: Paranoïa

        Posté par  . Évalué à 4.

        Pour pouvoir pomper allègrement le boulot des autres et favoriser ses constructeurs locaux genre Huawei ?
        • [^] # Re: Paranoïa

          Posté par  . Évalué à 4.

          "Pour pouvoir pomper allègrement le boulot des autres"

          Je pense qu'il y a assez de code de gestion de firewall (iptable, netfilter) sous licence libre pour que la chine n'est pas besoin d'aller voir chez les constructeurs pour leur piquer R&D.

          Il y a 10 ans où les piles réseau n'était pas complètement au point je veux bien mais maintenant il n'y a pas de grosse révolution sur les couches réseau.

          Je dirais même qu'en terme d'espionnage. Je pense que la chine est beaucoup plus à la pointe que les grossières indiscrétions de D-Link.
          • [^] # Re: Paranoïa

            Posté par  . Évalué à 1.

            Mouarf, la Chine ne fait sûrement pas ça pour D-Link, ça c'est certain.
            Ca vise surtout les Cisco, Juniper, Extreme et autres, qui eux font un vrai travail de R&D (et ça ne concerne pas que du code de gestion de firewall, qui est une vision particulièrement réductrice de la problématique).
            • [^] # Re: Paranoïa

              Posté par  . Évalué à 1.

              cisco vrai travail de r&d ? Tu veux dire vrai travail de rachat sans doute ?
              • [^] # Re: Paranoïa

                Posté par  . Évalué à 2.

                Cisco a fait effectivement pas mal de rachats, par ex le plus connu les switches Catalyst voir http://en.wikipedia.org/wiki/Catalyst_switch (ces produits ont ensuite évolué).

                Cela dit, sur des produits comme le CRS-1 ou l'ASR-1000, il y a un énorme boulot de R&D. Il faudrait peut-être arrêter le dénigrement non justifié: tout ce que Cisco vend ne provient effectivement pas forcément de dév interne à l'origine, mais c'est très très loin de n'être du qu'à des rachats.
                • [^] # Re: Paranoïa

                  Posté par  . Évalué à 2.

                  Il faudrait peut-être arrêter le dénigrement non justifié
                  Non justifié ? regarde le nombre de boites qu'ils rachètent, soit pour récup leurs technos, soient pour imposer leurs technos (on achète la boite concurrente et on la laisse mourrir tranquillement)
                  C'est pas un dénigrement, c'est un business model.

                  ET encensez cisco quand ils sont souvent 10-20% plus cher qu'une bonne partie de ces concurrents (pour souvent moins de fonctionnalités) mais que les gens achètent cisco parce que
                  1°) ils ont des bon commerciaux / un bon système d'enfermement de l'utilisateur (je ne compte plus les protocoles "cisco only") (par ex certains dsi sont FULL cisco, et c'est pas parce que cisco est le meilleur / a le meilleur rapport qualité/prix sur toute sa gamme de produit)
                  2°) ils aiment faire des packs "si vous nous acheter ça, alors on vous offre ce nouveau produit." (Tiens marrant que le concurrent à ce nouveau produit arrive pas à se développer)
                  3°) Personne n'a jamais été viré pour avoir pris du cisco (comme personne n'a jamais été viré pour avoir pris du windows).

                  Bref, cisco c'est un peu le "windows" au niveau équipements réseaux.

                  Cela étant dis, vu le poids de cisco et le segment évolutif et concurrentiel de ce secteur, encore heureux qu'il y a "un énorme boulot de R&D", mais le boulot de R&D il peut très bien être racheté.
                  D'ailleurs tu le note toi même "sur des produits [...]il y a un énorme boulot de R&D. [...]tout ce que Cisco vend ne provient effectivement pas forcément de dév interne à l'origine."

                  Quant au dénigrement "injustifié" je te renverrais le compliment sur le fait que tu n'a pas plus de fait/argument que moi sur le fait qu'ils sont développé en interne, et que le nombre de rachat de boites par cisco est tout simplement hallucinant.
                  allez exemple :
                  dans la page anglais de wikipedia
                  services under five brands, namely Cisco, Linksys, WebEx, IronPort, and Scientific Atlanta.
                  Cisco acquired a variety of companies to bring in talent and innovation into the company. Several acquisitions, e.g. Stratacom, were the biggest deals at the time when it happened
                  During the Internet boom in 1999, the company acquired Cerent Corp., a start-up company located in Petaluma, California, for about US$7 billion. It was the most expensive acquisition made by Cisco at that time.

                  On pourrais développer les exemples à l'infini avec cisco, c'est pas juste "deux trois entreprises" qu'ils rachètent.
                  Tiens en septembre 2008 ils ont racheté jabber (source pcinpact, après un rapide google)

                  Cisco achète et concentre. Après l’acquisition de Postpath et de sa plate-forme collaborative récemment, Cisco rachète maintenant la société Jabber. Si le nom vous dit quelque chose, c’est que cette société dispose de solutions de messagerie instantanée complètes en utilisant le protocole du même nom, de son vrai nom XMPP, un standard ouvert normalisé par l’IETF (Internet Engineering Task Force).


                  Mais j'avais oublié qu'ils avaient des tas d'équipes de R&D en interne ...
                  • [^] # Re: Paranoïa

                    Posté par  . Évalué à 1.

                    1) Cite des exemples de protocoles Cisco-only, qui font que l'utilisateur est obligé de les utiliser et se retrouve enfermé.
                    Je vais t'épargner les classiques: HSRP (tu peux remplacer par VRRP), EIGRP (tu peux utiliser autre chose, genre OSPF ou IS-IS). MPLS TDP: remplacé par LDP. ToIP: tu peux brancher des téléphones SIP.

                    Tu n'es absolument pas obligé d'utiliser des fonctionnalités proprio Cisco sur ton réseau.

                    2) Exemple ?

                    3) C'est aussi parce que c'est un des rares constructeurs à avoir une gamme qui couvre le SOHO jusqu'au gros routeur de coeur.


                    Quant au dénigrement "injustifié" je te renverrais le compliment sur le fait que tu n'a pas plus de fait/argument que moi sur le fait qu'ils sont développé en interne, et que le nombre de rachat de boites par cisco est tout simplement hallucinant


                    Ah mais moi je n'ai jamais prétendu que Cisco ne faisait pas de rachats. Alors que toi tu prétends qu'ils sont incapables de développer par eux-même et que tout provient des rachats, bref pour la mauvaise foi tu repasseras.


                    Mais j'avais oublié qu'ils avaient des tas d'équipes de R&D en interne ...


                    Oui ils ont plus de 10000 dév, une paille quoi.
  • # Code GPL

    Posté par  . Évalué à 3.

    Mmm sur leur ftp le fichier le plus récent date de février 2008 et il n'y a rien sur le 655…
  • # Y'a un truc....

    Posté par  . Évalué à 3.

    Y'a un truc que je ne comprends pas :

    Cette fonctionnalité serait désactivable, mais activée par défaut.

    puis ensuite :

    This feature does require a subscription if you want to use it but it is entirely optional.


    Qui dois-je croire ?
    • [^] # Re: Y'a un truc....

      Posté par  (site web personnel) . Évalué à 4.

      Les deux phrases ne parlent pas de la même "fonctionnalité" :
      - la 1ère, le renvoi vers de la pub non sollicitée voire intrusive
      - la 2ème, leur SecureSpot qui bien sûr n'est pas imposé (il ne manquerait plus que ça, bonjour la vente liée en plus)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.