On savait que la Freebox renferme Linux et des logiciels libres puisque c'est matière à débat[1]. Ayant eu récemment en main une Livebox Orange™, je me suis précipité sur nmap pour savoir ce qui se cache derrière :

# route | grep default
default         Livebox-XXXX    0.0.0.0         UG    0      0        0 eth0
# nmap Livebox-XXX -AP0
[...]
Running: Linux 2.4.X|2.5.X
[...]

Linux, encore lui ! Mais pourquoi n'ont-ils pas préféré payer quelques millions d'euros de licences chez des éditeurs de logiciels afin de bénéficier de la compétence de leurs équipes techniques ? Certainement que cela coûte moins cher d'embaucher quelques experts Linux pour un résultat d'une qualité au moins comparable.

Sous la protection de Linux

Par défaut la Livebox Orange™ vous place derrière un routeur dans un réseau local dont la plage d'adresse IP est réservée pour les utilisation privées. Entendez par là que vous ne pouvez pas vous connecter à Internet directement avec cette adresse, il faut impérativement passer par la box. Du coup elle filtre le trafic pour vous et refuse les connexions non attendues comme nous l'explique l'article Astuces Mode routeur des box. La meilleure preuve : des logs du pare-feu vides de tentatives de connexion, alors qu'en temps normal c'est une toutes les 5 à 10 secondes !

Ce mode routeur serait disponible sur toutes les box de dernière génération mais n'est pas forcément activé au départ. Sur la Livebox, seuls les ports relatifs à la navigation web et à la lecture du courrier électronique sont ouverts par défaut. C'est une bonne chose pour l'utilisateur lambda car il se trouve ainsi bien à l'écart d'Internet sans avoir besoin de savoir quoi que ce soit. Et comme sa box est sous Linux, elle ne se fait pas envahir par les logiciels malveillants et protégera donc longtemps sa machine[2], dans la mesure où il ne fait pas n'importe quoi non plus bien sûr.

C'est donc un plus pour la sécurité d'Internet et c'est donc dans l'absolu très positif. Toutefois on peut regretter quelques points :

  1. Aucune box n'arbore les couleurs du logiciel libre ce qui est vraiment dommage car c'est une excellente occasion de faire entrer Linux et le logiciel libre dans les mœurs. Certes un pingouin décore les pied de page de www.free.fr et Neuf-Cégétel a lancé un ordinateur de salon, la EasyNeuf, ouvertement sous Linux[3].
  2. En plaçant des systèmes peu sécurisés derrière un système très sécurisé, l'utilisateur ne peut plus se rendre compte de la qualité intrinsèque des produits qu'il utilise, il pourrait même s'imaginer qu'ils sont devenus nettement meilleurs !
  3. En corrolaire les utilisateurs pourraient moins ressentir le problème de la sécurité sur Internet et être tenté d'opter pour un comportement à risque[4]
  4. Ceux qui veulent faire autre chose que du web et du courrier doivent d'abord comprendre ce qu'est la Nat afin de pouvoir traverser le routeur...

L'épineux problème de l'administration des routeurs

Dans les entreprises, toutes les machines du réseau interne sont placées sur un réseau privé, non visible de l'extérieur, et se connectent à Internet par un routeur qui sépare suffisamment ces deux réseaux. Les box transposent ce schéma chez le particulier. À la grosse différence que dans l'entreprise vous aurez au moins un ingénieur réseau et systèmes pour administrer le routeur. Chez vous, ce sont les équipes du FAI qui s'en chargent, et il va y avoir des millions de routeurs à surveiller d'ici peu de temps[5].

Sachant que tout logiciel un peu complexe a des failles, les box ont des failles qui pourraient servir à installer des logiciels malveillants sur le routeur ou sur les machines derrière le routeur. Des articles récents pointaient justement du doigt l'exploitation de routeurs par des pirates suite à la découverte de failles. Comment s'en rendre compte sur un parc aussi important ? Ceci paraît tout simplement impossible, à moins d'un piratage à très grande échelle.

Ainsi les FAI pourraient devenir partiellement responsables de vos déboires sur Internet, mais cette fois-ci de manière très claire[6]. Par exemple en tapant www.mabanque.fr, un Internaute pourrait atterrir sur une copie parfaite du site www.mabanque.fr hébérgée par un site de phishing. Et ce serait le routeur piraté du FAI qui opérerait silencieusement ce changement de destination. Voilà qui pourrait refroidir l'ardeur des box, seulement on voit mal comment les FAI pourraient faire machine arrière tant leur offre semble parfaitement positionnée sur le marché audio-vidéo[7].

Le plus vraisemblable serait ainsi que, utilisant Linux et les logiciels libres, les FAI vont œuvrer d'une manière ou d'une autre pour la qualité et la sécurité des logiciels libres afin d'assurer le maximum d'intégrité à leur parc de box. Ceci aussi est donc un point très positif. Bien sûr on peut regretter l'absence d'ouverture des FAI sur le contenu de leur box, seule garante d'un taux minimal de failles[8]. Dans le même ordre d'idées, l'utilisateur chevronné ne peut accéder aux journaux de connexion de la box ni installer un détecteur d'intrusion dessus.

Il y a cependant un détail qui pourrait enrayer cette belle mécanique : jusqu'à présent les utilisateurs de l'informatique ne s'offusquent aucunement du manque parfois grave de sécurité de leur système. Ceci est vécu comme étant la norme ! La pression sur les FAI de ce côté pourrait donc être quasi inexistante...

Notes

[1] étant donné que la Freebox ne porte aucune mention concernant le logiciel libre

[2] il ne faut pas non plus s'imaginer que la protection offerte est maximale : certains logiciels malveillants passent par les pages web !

[3] voir la page EasyNeuf s'informer et cliquer sur Pack sécurité puis Antivirus : quoi ? pas besoin d'antivirus ?

[4] téléchargement de logiciels dissimulant des logiciels malveillants, phishing, etc.

[5] on comprend alors qu'ils aient choisi un système dérivé d'Unix, bien plus adapté à l'administration distante

[6] jusqu'à présent leur rôle n'était que de vous connecter à Internet, rien de plus

[7] si les majors avaient été un peu plus malignes, elles auraient converti leur activité de pressage de disque en activité de FAI... cf. Les DRM non merci !

[8] voir les commentaires du billet Interview d'un jeune pirate à la tête d'un botnet et le billet L'informatique de confiance