Securisation de la Livebox Play

Contrairement à Free qui paramètre correctement sa Freebox, Orange a toujours de nombreuses années de retard. Il y a encore peu de temps, il fallait associer les appareils WiFi en appuyant sur un bouton ou se contenter de la sécurité inexistante du WEP.

Paramètres par défaut:

  • Protocole de sécurité WiFi: WPA/WPA2 Mixed.
  • Mot de passe WiFi: 26 caractères en hexadécimal.
  • WiFi Protected Setup (WPS): activé.
  • Mot de passe admin: valeur par défaut admin.
  • UPnP IDG: actif.

Le paramétrage par défaut de la Livebox Play est catastrophique. Et c'est malheureusement celui que l'on retrouve chez 99% des clients Orange. La première étape pour améliorer la sécurité de la Livebox Play consiste a se connecter sur la page de configuration: 192.168.1.1 (identifiants: admin/admin).

Configuration WiFi

Accès par Mon WiFi / WiFi avancé.

Axes d'amélioration de la sécurité du WiFi Livebox Play:

  • choisir un SSID intégrant une chaine de texte aléatoire.
    ex: MonWiFiAMoi_wGYc89x5dAnZ.
  • utiliser le protocole de sécurité WiFi WPA2 uniquement.
  • utiliser une clé WiFi aléatoire de 63 caractères.
    ex: 8vk)iMu{g@$mPml>$VJ1kpK%`qGTZ?)_E)_BEAD(IWE`(&(+5SEMlD8}?5wmQxz
  • désactiver le WiFi Protected Setup (WPS).​

Rappel: les gains de sécurité minuscules apportés par "Cacher le SSID" et "Filtrage d'adresse MAC" ne justifient pas la lourdeur de gestion associée à leur activation. Orange a enfin compris qu'il fallait les désactiver.

Configuration UPnP IGD

Accès par: Configuration avancée / Configuration réseau / UPnP.

Si vous n'utilisez pas de console Playstation 3 ou XBox 360, vous pouvez désactiver l'UPnP IGD. Dans le cas contraire, si vous souhaitez désactiver l'UPnP IGD, il vous faudra attribuer des adresses IP fixes aux consoles et rediriger certains ports. Les fabricants listent les ports à rediriger pour la PlayStation 3 et la XBox 360.

Configuration accès à distance

Accès par: Configuration avancée / Accès à distance utilisateur.

J'ai beau chercher, je ne trouve pas de raison qui justifierai l'activation de l'accès à distance sur la Livebox.

Securisation de la Freebox

Freebox Revolution

Autant la politique gérérale de Free est insupportable au point de me faire passer chez Orange.​ Autant le travail fourni par les équipes matériel Free ADSL inspire le respect. Les bugs sont corrigés rapidement et des fonctions innovantes sont ajoutées au fil du temps. Les paramètres par défaut de la Freebox Révolution sont presque parfaits.

Paramètres par défaut:

  • Protocole de sécurité WiFi: WPA.​
  • Mot de passe WiFi: 28 caractères prononçable.​
  • WiFi Protected Setup (WPS): impossible.​
  • Mot de passe admin: aléatoire.​
  • UPnP IDG: actif (le seul point négatif).

Il est possible d'améliorer la sécurité de la Freebox Revolution. La première étape consiste a se connecter sur la page de configuration: mafreebox.free.fr

Configuration WiFi

Accès par Paramètres / WiFi / Réseau personnel / Paramètres.​

​Axes d'amélioration de la sécurité du WiFi Freebox:

  • choisir un SSID intégrant une chaine de texte aléatoire.
    ex: MonWiFiAMoi_wGYc89x5dAnZ.
  • utiliser le protocole de sécurité WiFi WPA2 uniquement.
  • utiliser une clé WiFi aléatoire de 63 caractères.
    ex: 8vk)iMu{g@$mPml>$VJ1kpK%`qGTZ?)_E)_BEAD(IWE`(&(+5SEMlD8}?5wmQxz

Rappel: les gains de sécurité minuscules apportés par "Cacher le SSID" et "Filtrage d'adresse MAC"​ ne justifient pas la lourdeur de gestion associée à leur activation. Free a fait le bon choix de les désactiver.

Configuration UPnP IGD

Accès par: Paramètres / Réseau local / UPnP IGD.​

Si vous n'utilisez pas de console Playstation 3 ou XBox 360, vous pouvez désactiver l'UPnP IGD. Dans le cas contraire, si vous souhaitez désactiver l'UPnP IGD, il vous faudra attribuer des adresses IP fixes aux consoles et rediriger certains ports. Les fabricants listent les ports à rediriger pour la PlayStation 3 et la XBox 360.​​

Configuration accès à distance

Si vous avez activé l'accès à distance à la Freebox, réfléchissez si pouvoir lancer le téléchargement d'un torrent justifie les risques encourus.​ Désactivez l'accès à distance.

Les 3 regles de securite de Brian Krebs

De 1995 à 2009, Brian Krebs était journaliste au Washington Post.  Spécialisé dans la sécurité informatique, il a écrit 1300 articles sur le blog Security Fix. Depuis il officie sur son site personnel KrebsOnSecurity. Après ces années de lecture des articles de Brian Krebs, j'ai pu mettre une voix sur l'auteur en écoutant le podcast Security Now #392.

En 2011, Brian a posté l'article "Kreb's 3 basic rules for online safety". ​Littéralement: les 3 règles de base pour la sécurité en ligne. Voici mon adaptation/traduction de ces 3 règles en français:

130226_briankrebs.jpg
If you didn’t go looking for it, don’t install it!

Si tu n’es pas allé le chercher, ne l’installe pas.
— Brian Krebs

Une grande partie des menaces en ligne reposent sur l'incitation de l'utilisateur a faire une action. Que ce soit cliquer sur un lien dans un email ou une pièce jointe, ou installer une application ou un plugin dans le navigateur.

Typiquement ces attaques prennent la forme d'une fenêtre ​pop-up qui alerte l'utilisateur d'un problème de sécurité. Ceci dans le but de lui faire installer un logiciel malveillant. Une autre type d'arnaque consiste a renvoyer l'utilisateur vers une video puis à lui proposer d'installer un codec spécial, un lecteur multimédia ou une application pour en voir le contenu.

Installez un programme ou un plugins pour votre navigateur si et seulement si vous êtes allé le chercher vous même.​ Et avant d'installer quoi que ce soit, pensez a vérifier que vous avez téléchargé le fichier chez l'éditeur. D'expérience, il n'est pas évident pour tout le monde que les mises à jour d'Adobe Reader se téléchargent chez Adobe.

Même si des sites comme Majorgeeks.com et Download.com revendiquent qu'ils filtrent les programmes proposés au téléchargement, renseignez vous sur ce que vous téléchargez. De la même manière qu'il ne vous viendrai pas à l'idée d'acheter quelque chose en ligne sans faire des recherches sur sa qualité ou ses performances, prenez quelques minutes pour trouver et lire les commentaires et les avis laissés par les utilisateurs.

De même évitez de répondre directement aux alertes par mail qui semblent venir de Facebook, LinkedIn, Twitter, votre opérateur téléphonique, votre banque ou tout autre organisme qui détient vos informations personnelles. Utilisez plutôt un favori dans votre navigateur.​

If you installed it, update it.

Si tu l’as installé, tiens le à jour.
— Brian Krebs

​Garder le système d'exploitation à jour est important, mais il est aussi impératif d'appliquer les correctifs sur les applications pour maintenir la sécurité de l'ordinateur. Les "méchants" attaquent constamment les failles présentes dans les logiciels les plus répandus, tel qu'Oracle Java, Adobe Reader, Adobe Flash et Apple Quicktime.

Les éditeurs de ces applications diffusent des mises à jour plusieurs fois par an, il est donc important de déployer ces mises à jour dès que possible. Certains de ces produits alertent l'utilisateur quand un correctif est disponible. Cependant ces alertes arrivent souvent plusieurs jours ou semaines après la sortie du correctif.

Il est déjà fastidieux de suivre les ​mises à jour des logiciels majeurs, mais c'est quasiment impossible de suivre tous les petits logiciels manuellement. Heureusement il existe des outils d'audit sécurité gratuits.

Secunia Personal Security Inspector (PSI) est probablement le plus efficace d'entre eux. Il scanne périodiquement l'ordinateur à la recherche de tous les logiciels installés et alerte l'utilisateur si une mise à jour de sécurité est disponible. ​La dernière version est capable d'appliquer automatiquement les correctifs.

FileHippo Update Checker quant à lui se limite aux logiciels les plus répandus.​

If you no longer need it, remove it.

Si tu n’en as plus besoin, enlève le.
— Brian Krebs

Un ordinateur encombré est forcement ralenti. Malheureusement, un grand nombre de constructeurs livre leurs machines chargées de monceaux de logiciels plus inutiles les uns que les autres. Par dessus tout ça, l'utilisateur moyen installe au fil des mois des dizaines de programmes. Cet ensemble contribue a grignoter les performances de l'ordinateur. De plus de nombreux programmes s'installent dans la liste de démarrage, ralentissant d'autant le redémarrage de l'ordinateur. Rappelez vous aussi que plus vous avez de programmes, plus vous allez passer du temps à les maintenir à jour.

Par exemple, Oracle Java est un programme puissant très répandu sur les ordinateurs et les navigateurs. Il est inutile pour une grande majorité des internautes. C'est à l'heure actuelle la cible numéro un des attaques en ligne. En avril 2012, 600000 Macs ont été touchés par le virus troyen Flashback. En février 2013 des Macs de Facebook, d'Apple et de Microsoft ont été infectés alors que leur utilisateur visitait un site web.

Pour limiter la surface d'attaque présentée par Oracle Java, plusieurs options s'offrent à vous:

  • ​Si vous avez besoin de Java dans votre navigateur, désactivez le plugin Java dans votre navigateur principal. Et utilisez un autre navigateur pour visiter uniquement les sites nécessitant Java.​
  • Si vous avez besoin de Java pour une application de bureau, désactivez le plugin Java de vos navigateurs.​
  • Si vous n'avez pas besoin de Java, désinstallez le.​

Samsung Galaxy remote wiping flaw

EDIT: the flaw is wider than just Samsung Android phones. I "successfully" ran the test on:
- HTC Desire with Android 2.2
- HTC Desire HD with Android 2.3
- Sony Ericsson Xperia Kino with Android 2.3

Mitigation updated to include TelStop.

When a friend comes to me looking for an advise for a smartphone purchase, I point my finger at both the iPhone and the Nexus (vanilla Android). The main reason is because they get the security updates faster.

For example Apple released iOS6 last week. Withing 5 days it was deployed to over 100 millions devices. From the iPhone 3GS that was released in june 2009 to the 5 millions iPhone 5 sold over the launch week-end.

I have a couple of Samsung friends (Galaxy S2 and Galaxy Note) that are stuck with Android 2.3.3. Because for an obscure reason Samsung decided to cripple the Over The Air update capability of Android. The only way to update these phones is thru Samsung Kies.

The flaw

The default browser in Samsung TouchWiz interface is able to dial a call on its own. All you have to do is include a special command in a webpage to trigger a phone call on Samsung Galaxy smartphones. The number can be a regular one, a XXX expensive line or a command code.

This command code can display the phone IMEI (*#06#), wipe the entire phone memory (*2767*3855#) or more. So it is trivial to add a line in a website that will wipe all the visiting Samsung Galaxy smartphones.

The mitigation

The simplest way to mitigate this flaw is to install TelStop. TelStop registers as "tel:" handler. Which means that whenever a webpage tries to trigger your dialer TelStop intercept it. If the phone number is non standard, TelStop window will pop-up to warn you.

The solution

The only definitive solution is for Samsung to clean its mess and provide updates for its smarphones. The latest version of the Galaxy S3 using Android 4.0.4 is safe. For the older devices, you'll need to sync and update your phones using Samsung Kies.

Android dialer test

I posted "Android dialer test" on this blog. Opening this post will try to dials *#06# (USSG code to display the IMEI code).