Témoignage
Hier, alors que je parcourais la zone privée de mon DNS interne, je constate la présence d’une entrée ajoutée par dhcpd que je ne connais pas. Elle était de la forme :
a0b1e67834a1 A 192.168.0.102
Intrigué, je nmap l’IP en question pour m’apercevoir qu’il s’agit d’une machine windows, exposant fièrement ses ports 135 et 139. Cette fois c’était sur, il ne s’agissait pas d’une machine de mon réseau.
Evidemment, mon premier suspect était l’access point privé de mon réseau. Bien qu’il n’autorise que le WPA et que sa clé ne soit pas triviale, il me semblait clair que l’intru provenait des airs. Dans la hâte, j’éteins l’OpenWrt que j’avais migré en Kamikaze 8.09.2 quelques heures auparavant, et m’aperçois que je ping toujours mon “invité”.
Et puis m’apparait une autre porte d’entrée à mon réseau privé: le CPL.
J’avais acheté des boitiers CPL Netgear voila quelques mois; d’abord utilisés pour mon réseau Wifi public, j’utilisais de temps en temps ces derniers pour accueillir des portables invités ne bénéficiant pas de cartes Wifi. Ni une ni deux, je débranche le boitier CPL de mon switch. Le constat est sans appel, le ping cesse immédiatement, et avec lui, les miliers de paquets impurs à destinations d’adresses en *.ru en UDP, probablement une de ces saloperies de machine windows infectées jusqu’à l’os.
J’avais lu que la technologie CPL ne permettait pas à quelqu’un qui ne se trouvait pas sur le même disjoncteur de se brancher sur mon réseau, il s’agit manifestement d’une vaste supercherie, car logs à l’appui, je suis maintenant certain que l’intrus arrivait sur ma passerelle par ce biais. Le seul élément rassurant, c’est qu’il semble que la machine zombie en question s’invitait sur mon réseau involontairement. Mon voisin (quel qu’il soit) branchait probablement sa machine à un autre boitier CPL, effectuait une requète DHCP à laquelle mon serveur dhcpd répondait, ce dernier enregistrant ensuite l’IP affectée sur mon DNS.
Mes boitiers CPL servent désormais de décoration au fond d’une corbeille.
March 28th, 2010 at 2:43 pm
en principe le CPL ne passe pas au dela du disjoncteur de l’abonné, en pratique, il semblerait que si les deux abonnés utilisent le tarif heure pleines,/heure creuse, alors leur compteur ne filtre plus pour laisser passer le signal de changement de tarif.
de toute façon, le CPL, c’est comme le WIFI, plus il y en à, et moins ça passe.
l’idéal c’est d’utiliser le CPL seulement si il n’y à pas le choix, et du vrai cable réseau ailleurs.
March 29th, 2010 at 1:19 am
Intéressant comme constat … et si tu branche ton CPL il n’y a aucun conflit d’IP entre sa box/modem/truc reliée sans aucun doute a un CPL aussi ?
Et juste par curiosité ton AP OpenWRT c’est quoi ?
March 29th, 2010 at 1:25 am
(et je remarque au passage que le piqueur de connexion expérimenté :
- n’aurait pas de machine windows (logique)
- n’aurait JAMAIS tenté une requete DHCP (c’est un peu flag quand même))
March 29th, 2010 at 7:21 am
Le CPL passe les compteurs, tout comme le wifi passe les murs (plutôt les fenêtres d’ailleurs!) Voilà pourquoi on a rajouté du chiffrage au wifi. Ce chiffrage existe aussi en CPL, cela permet la création de réseaux logiques distincts et imperméables.
Donc, soit tu n’as pas chiffré ton CPL, soit tu les as achetés appairés en usine et par le plus grand des hasards ton voisin est tombé sur des CPL munis de la même clef de réseau.
Le CPL n’est donc pas à incriminer: la première chose à faire, comme en wifi, est de le sécuriser sans faire confiance à un procédé en usine.
March 29th, 2010 at 9:01 am
@vinzniv: le wifi passe plus par les murs que les fenêtres
@Kegeruneku : je me permet de répondre : OpenWRT est un logiciel (firmware, os… peu importe) alternatif pour certain routeur. Il est libre.
Sinon, un upsidedown (http://www.ex-parrot.com/pete/upside-down-ternet.html) pour s’amuser avec le voisin, et pourquoi pas le prévenir que son PC est infecté… c’est peut être l’occasion de migrer un voisin sous Gnu/linux :)
March 29th, 2010 at 9:16 am
D’ailleurs, je crois que les boitiers Netgear permettent une sorte de “Vlan” over CPL avec un chiffrement en 3DES… non active par defaut (faut configurer la clee partagee sur chaque prise).
March 29th, 2010 at 9:20 am
@Kegeruneku: l’OpenWrt tourne sur une fonera 2 (2G, pas la 802.11n)
@vinzniv: comme je le disais, c’est une réelle incompréhension de ma part qui m’a conduit à ecrire ce billet: j’étais parfaitement persuadé que le CPL ne passait pas la “barrière” du disjoncteur… ça m’apprendra à croire ce qui est écrit sur les boites :/
March 29th, 2010 at 6:10 pm
Bonjour,
Il me semble me souvenir d’un article de “MISC” dont l’auteur confirmait que le filtrage au niveau du disjoncteur n’était pas si efficace que cela.
March 30th, 2010 at 10:31 am
Tu peut aussi créer un VPN. Tout ordinateur connecté par CPL doit se connecter au VLAN pour faire quoi que se soit.
March 31st, 2010 at 10:43 am
Moi perso ça m’embêterait un peu d’avoir a créer un VPN pour mon réseau perso … Il s’est fait avoir du fait que comme tout le monde il a assumé que le réseau perso est une zone sûre, c’est compter sans les nouvelles technologies … ça craint quand même de bien sécuriser son wifi pour se faire avoir par un innocent CPL :)
April 6th, 2010 at 4:00 pm
Le CPL se configure avant de la prod ! ^^
En général via un soft (privateur sur os privateur) et attaque la mac du boitier CPL (à faire sur tout tes boitiers)
donc à voir sur le site du constructeur ;-)
April 6th, 2010 at 8:09 pm
Tain c’est flippant ce genre de situations ! Je ferai très attention quand j’aurais mon propre réseau :-)