Paranormal connectivity

Voilà, ça y est, je suis enfin rentré dans les intertubes du futur, je dispose d’une connexion FTTH, d’un upload qui me permet enfin d’envisager de travailler confortablement, d’un download qui me permet de regarder 4 flux simultanés de p0rn en HD et de coucher ma GeForce 210 (on ne se moque pas je voulais une carte graphique sans ventilo), ainsi que d’un ping me permettant de fragger pas grand monde vu que je ne suis pas gamer. Tout irait pour le mieux dans le meilleur des mondes si je n’avais pas découvert avec un étonnement de circonstance des pratiques un peu paranormales sur l’offre dont je dispose.

Tout d’abord, il faut comprendre un peu le contexte. Si mon nouveau FAI est Alsatis, le réseau physique appartient à REG.I.E.S. L’opérateur donne donc accès à Alsatis et Kiwi, deux opérateurs qui eux gèrent les abonnés professionnels et particuliers. REG.I.E.S fournit un routeur optique Inteno… un vrai, avec une prise optique et tout… pas comme sur une BBox fibre sans port optique

Le réseau est configuré comme suit :

  • Gateway 92.245.140.1 (Alsatis)
  • DNS Primaire : 194.2.0.20 (Oleane)
  • Secondaire : 8.8.8.8 (Google)

REG.I.E.S dispose de l’accès Admin sur le routeur Inteno (non accessible depuis le Net).
Il vous est gracieusement laissé un accès user/user avec mot de passe non changeable. Cet accès vous permet de régler le NAT, le Wifi, de faire du filtrage d’url… et voilà. Il ne vous est par exemple pas possible de configurer sur ce routeur les DNS de votre choix. Si vous laissez quelqu’un se connecter en wifi sur votre réseau, ce dernier peut donc naturellement accéder à la configuration du NAT et du wifi…

Si vous m’avez suivi jusque là, vous vous souvenez donc que je me suis abonné chez Alsatis et peut-être commencez-vous à vous demander à quoi ils servent dans l’histoire vu que le réseau n’est pas le leur et qu’ils ne fournissent pas le routeur permettant de vous connecter au net.

Et c’est là que je n’ai pas encore de réponse à cette question… voici pourquoi.

Alsatis fournit un routeur pour l’option téléphonie à 5 euros par mois. Il s’agit d’un Cisco WRP400 avec un firmware qui baigne dans son jus, daté de 2011 et dont le support a été interrompu en 2013, date du dernier update firmware… qui de toutes façons ne vous sert à rien puisqu’aucune config ni aucun upgrade firmware n’est persistant une fois connecté au net.

ciscofirmwareC’est donc là que ça commence à devenir fun. Je découvre alors que changer le mot de passe du Cisco est là encore mission impossible, tout comme changer le nom du réseau wifi… le routeur ne veut rien entendre, il me force une configuration Alsatis dont je ne veux pas dés que je le relie au Net.

Bref ce routeur, il dégage de mon réseau. J’aimerais au minimum avoir la main sur mon LAN, mais ça ne semble pas possible chez ce FAI avec l’équipement qu’il fournit.
Ce routeur Cisco WRP400 est normalement accessible sur l’ip locale 192.168.15.1.

Vieil automatisme, je me plante justement d’IP locale en voulant le configurer, et je rentre machinalement l’IP 192.168.0.1. Et voici sur quoi je tombe.

Capture du 2015-06-24 14:02:58

Un équipement embarquant une board Mikrotik qui n’a strictement rien à voir ni avec mon routeur optique, ni avec le Cisco fournit par Alsatis. Me demandant un peu ce que cet équipement fout sur mon LAN, je contacte alors le service technique d’Alsatis. Ce dernier me répond qu’il faut que je m’adresse au service commercial. C’est bien connu, quand le service technique sèche sur la nature d’un équipement réseau, rien de tel qu’un commercial pour répondre à vos questions.

Et c’est pas fini

Alsatis, comme tout fournisseur d’accès vous attribue une IP publique de son range. L’attribution des IP peut être fixe ou dynamique, mais la règle quand on est un FAI digne de ce nom, c’est un abonné = une IP publique… mais voilà, chez Alsatis, ton IP publique, et bien c’est pas la tienne. Tout de suite on se dit que ça va vite être le bordel. Je précise qu’à ce jour je n’ai pas encore vu de contrat de la part d’Alsatis, mon inscription s’étant réglée par téléphone. Du coup je me demande pour quel type d’Intranet j’ai pu signer… un début de réponse se trouve ici, dans les CGV, mais c’est tellement elliptique qu’au final, je ne sais toujours pas si j’ai à faire à une offre Internet ou un accès au LAN d’Alsatis, comme à l’époque d’AOL.

4.1– Le Service Internet Haut Débit :
Selon l’offre souscrite, le Client dispose pendant la durée de l’abonnement au Service Internet d’un nombre défini d’adresses emails,
d’un espace abonné et, en outre dans le cas d’une offre professionnelle, d’une adresse IP publique fixe.

J’en déduis donc que l’IP fixe, c’est pour les pros, en toute logique je devrais donc bénéficier d’une IP dynamique, ça ne m’arrange pas mais il y a des services pour gérer ça, comme DynDNS, je pourrais m’en accommoder.

L’IP publique visible qui m’est alors attribuée par Alsatis est 92.245.140.12. Vu qu’avec 100 mégas d’upload la moindre des choses c’est d’avoir un petit serveur à la maison, je me dis que je vais ouvrir deux ou trois ports. Comme j’aime quand même un peu savoir ce que mon routeur, qui marque la frontière entre mon LAN et Internet, laisse entrer et sortir, je lance un petit scan sur ce que je pense alors être mon IP publique. Et voilà que je découvre un serveur http, un accès ssh et un serveur FTP… ce alors que je n’ai à ce moment précis ouvert aucun port et que l’interface du routeur ne présente aucune règle sur l’ouverture de ces ports… conclusion, y’a comme une couille. Il est évidemment impossible d’ouvrir des ports sur mon routeur afin de rendre un serveur joignable depuis l’extérieur. En fait je peux ouvrir tous es ports que je veux, mais cette IP publique ne pointant pas sur mon routeur, il ne faut pas que je compte accéder au moindre service hosté à la maison… En fait je soupçonne Alsatis de « crowder » plusieurs clients sur la même adresse ip publique, bref le truc très bien pour sortir, mais vachement moins bien pour tomber sur son lan quand on lance un SSH sur son IP publique.

Renseignement pris au service technique, réponse épique « le service qui s’occupe des ouvertures des ports » va me recontacter… mouais enfin si « le service qui s’occupe de l’ouverture des ports » me filait tout simplement une ip publique, ça nous épargnerait à tous des maux de tête.

Pour le moment je suis dans l’attente d’Alsatis d’une réponse à mes deux questions :
1° pourquoi j’ai pas d’IP publique à moi (mon opérateur téléphonique n’attribue pas mon numéro de téléphone à plusieurs de ses abonnés et rien ne justifie ici une telle pratique)
2° pourquoi y a t-il un routeur qui ne m’appartient pas sur mon LAN…

Une IP publique qui ne pointe pas chez moi, des routeurs « minitélisés » et un équipement ISP sur mon LAN alors qu’il n’a rien à y faire… c’est un peu space le FTTH vu d’ici.

Dis, ça ressemble à quoi un Internet tout pourri ?

ahmadinejadVous n’aurez probablement pas manqué que nous nous intéressons en ce moment pas mal à l’Iran sur Reflets. Les quelques recherches que nous y avons fait nous ont conduit tout droit à la TCI (Telecommunication Infrastructure Company). Déjà spotté par le BlueCabinet ce fournisseur d’accès national concentre à lui seul tout le trafic Internet du pays. La TCI est LE point de centralisation rêvé pour surveiller Internet en Iran.

Pour bien visualiser ce qu’est la TCI, je vous propose de vous pencher sur ces graphs générés par le splendide outil mis à disposition par le Berkman Center for Intenet & Society de l’université d’Harvard (thx Wizasys) :

Capture d’écran 2013-06-05 à 15.54.48

Capture d’écran 2013-06-05 à 15.56.17

Ces schémas mettent en évidence un point de centralisation dont toutes les adresses IP iraniennes dépendent, la marque de fabrique d’un Internet tout pourri, ultra surveillé et passablement censuré.

Ce point de centralisation, c’est l’AS12880, celui sur lequel nous avons trouvé de très intéressantes machines, à savoir 4 ZTE ZXSS10 B200 et 2 HP H3C SR8808 équipés de modules dédiés au filtrage applicatif. Vous trouverez plus d’informations sur ces trouvailles dans l’article publié cet après midi sur Reflets.info.

Ces machines sont situées sur les plages IP attribuées à TCI. Le BlueCabinet de Telecomix rappelle que TCI s’est justement doté d’une infrastructure de surveillance dans laquelle on retrouve tous les grands noms, et qu’au coeur de ce système, on trouve bien du ZTE :

« Mahmoud Tadjallimehr, a former telecommunications project manager in Iran who has worked for major European and Chinese equipment makers, said the ZTE system supplied to TCI was « country-wide » and was « far more capable of monitoring citizens than I have ever seen in other equipment » sold by other companies to Iran. He said its capabilities included being able « to locate users, intercept their voice, text messaging … emails, chat conversations or web access. »‘…

Nous en savons donc maintenant un peu plus sur l’infrastructure de surveillance iranienne, nos questions sont remontées jusqu’à Palo Alto, nous vous tiendrons naturellement informés des réponses des intéressés.

Deep Packet Inspection : vous voulez éviter une guerre numérique ?

ciscoHADOPI prévoit dans son dispositif des tests sur les technologies de deep packet inspection. C’est une volonté plusieurs foi affirmée par Nicolas Sarkozy lui même.  Le DPI est déjà en place chez de nombreux fournisseurs d’accès, et c’est normal, car il ne faut pas y voir que du mal. Le DPI a également certaines vertus en terme de gestion de trafic, de détection des attaques… Oui mais voilà, à partir du moment ou ces technologies servent à autre chose que le fonctionnement normal d’un réseau (comme c’est le cas dans le cadre de la chasse aux contenus copyrightés), il est nécessaire, non seulement que ceci soit particulièrement encadré légalement, et surtout que quelques expériences de savants fous ne soient pas menées dans l’opacité.

J’ai donc quelques questions à poser très ouvertement, et j’entends bien, comme des dizaines de milliers d’internautes sensibles à la question du DPI, et des millions d’internautes soucieux de la sécurité de leur données personnelles qu’on y réponde clairement :

  • Qui va mener ces tests (des FAI, des sociétés privées…) ?
  • Quelle sera la durée de ces tests ?
  • Quelles données seront collectées ?
  • La CNIL exercera t-elle un contrôle sur ces tests ?
  • Les résultats sur l’efficacité seront ils publiés ? (sinon merci de préciser pourquoi)
  • Quels types d’équipements seront utilisés ?
  • Où sur les réseau ces équipements seront ils placés ?

Je vous invite donc à faire toute la transparence sur ces questions, on parle d’un usage contre nature de technologies non maitrisées, le DPI étant le nucléaire de l’Internet, il me semble capital d’y répondre rapidement avant que le climat ne se tende encore un peu plus qu’il ne l’est déjà aujourd’hui.

Pour conclure, je vous laisse découvrir cette vidéo édifiante, elle concerne un gros équipementier américain qui vous laissera vous faire votre opinion sur le niveau de responsabilité assumé par ces marchands de flicage privé.