Faiblesses du firmware du modem câble Sagem F@st 3284 DC de RED by SFR

Je suis tombé sur quelques faiblesses du firmware du modem Sagem F@st 3284 DC, en tous cas dans la version que j’ai pu tester (NCC-PC20_2.101.0, sur une version 1.0 du matériel, fournie par RED by SFR)

Chiffrement HTTPS de l’interface d’administration : oui, mais…

Commençons par dire que le chiffrement SSL de l’interface d’administration est une très bonne chose. J’avais critiqué son absence dans un précédent article https://blog.mossroy.fr/2016/03/31/failles-de-securite-sur-les-modems-sfrnumericable/, et ne peux qu’approuver cette amélioration, qui va dans le bon sens en termes de sécurité.

Hélas, l’implémentation qui en est faite est largement critiquable.

Certificat non reconnu par le navigateur

C’est un grand classique… quand on est en phase de développement, mais pas en production ! Le certificat SSL n’est pas reconnu par le navigateur, qui affiche donc un beau message d’avertissement :

La connexion n’est pas sécurisée

Les propriétaires de 192.168.0.1 ont mal configuré leur site web. Pour éviter que vos données ne soient dérobées, Firefox ne s’est pas connecté à ce site web.

192.168.0.1 uses an invalid security certificate. The certificate is not trusted because the issuer certificate is unknown. The server might not be sending the appropriate intermediate certificates. An additional root certificate may need to be imported. The certificate is not valid for the name 192.168.0.1. Error code : SEC_ERROR_UNKNOWN_ISSUER

(ou une variante sur les autres navigateurs)

Le certificat est signé par une autorité de certification non reconnue par les navigateurs standards, puisqu’il s’agit de « Askey Cable Modem Root Certificate Authority ».

Évidemment, on peut accéder à l’interface d’administration en passant outre cet avertissement. Mais il n’est pas acceptable de demander cela à un utilisateur final, qui ne comprend pas ce qui se passe, et qui hésite à le faire (exemple : http://communaute.red-by-sfr.fr/t5/RED-Fibre-au-quotidien/Acc%C3%A8s-au-modem-non-s%C3%A9curis%C3%A9/m-p/80025). D’autant que je n’ai vu cette « procédure » documentée nulle part.

Mais, au-delà des difficultés d’utilisation, demander à l’utilisateur de passer outre, c’est lui faire croire que ce genre d’avertissement n’est pas important. Et le rendre susceptible de les ignorer le jour où ce sera vraiment important.

A mon sens, la meilleure solution (déjà adoptée par Free), c’est de s’appuyer sur Let’s Encrypt pour fournir le certificat SSL : pas besoin d’acheter des certificats, c’est reconnu par tous les navigateurs, renouvelable automatiquement etc.

Faiblesse du chiffrement

Le chiffrement effectué par le modem est particulièrement faible. En utilisant par exemple l’extension SSleuth pour Firefox, une note de 3.3/10 lui est attribuée (quand la grande majorité des sites Internet en HTTPS ont 9 ou 10/10).

Oui, avoir du chiffrement est toujours mieux que ne pas en avoir du tout. Mais il y a différentes qualités de chiffrement (c’est ce qui est mesuré par l’extension). Et j’avoue ne jamais avoir vu de site avec une si mauvaise note.

Reboot au bout de 9 clics dans l’interface d’administration

Ce problème prêterait à sourire s’il n’était pas réel… et très gênant.

Pour le reproduire, c’est simple :

  • s’identifier sur l’interface d’administration
  • cliquer sur un item de menu (« Réseau » par exemple, mais n’importe lequel amène au même résultat), et répéter l’opération plusieurs fois
  • Au 9ème clic, le navigateur attend indéfiniment la réponse parce que le modem est en train de rebooter. Évidemment, ça bloque tout : Internet, téléphonie etc.

Ça ressemble fort à un bug logiciel, comme un dépassement de capacité d’une structure qui ne peut contenir que 8 valeurs, et qui ferait crasher le modem.

Hotline

J’ai appelé la hotline pour leur signaler ces problèmes.

Un interlocuteur m’a d’abord dit qu’il devait s’agir d’un problème de configuration de mon navigateur (« Vous avez essayé avec Internet Explorer ? »). Un autre a « réinitialisé » à distance le modem (sans résultat, bien sûr), et devait me rappeler 10 minutes plus tard : j’attends toujours.

Bref, je m’y attendais mais préférais vérifier : la hotline est complètement inadaptée à ce genre de cas.

Je vais passer l’information au contact que j’avais eu la dernière fois chez SFR, en espérant que ça aide à faire avancer les choses…

20 réflexions au sujet de « Faiblesses du firmware du modem câble Sagem F@st 3284 DC de RED by SFR »

  1. Merci pour ton partage d’expérience, j’ai cru un problème de signal venant de ma ligne concernant le reboot dans l’interface de gestion, c’est vraiment aberrant de la part d’un fournisseur d’accès de pondre un firmware aussi dégueu juste histoire de faire au plus vite et au moins chère.

  2. J’ai exactement les même problèmes.
    Le redémarrage lors de l’accès à l’interface d’admin est vraiment pénible, tu es le seul site qui mentionne ce problème alors autant que ça remonte un peu sur google avec ce commentaire :)

    1. Après un test rapide avec Chromium, il ne fait effectivement pas rebooter le modem. Par contre, au bout du même nombre de clics, l’interface ne répond plus : n’importe quelle action attend indéfiniment une réponse. Ca ne revient à la normale qu’après quelques minutes.

      Il semblerait que ce soit bien le même bug, mais avec des symptômes légèrement différents suivant le navigateur.

  3. Salut,
    Je suis content de trouver votre page, parce que moi aussi je suis confronté à un problème similaire, mais encore plus emmerdant : ma box devient carrément injoignable en HTTP ! Oui, injoignable ! L’accès Internet est toujours là, je peux télécharger, je peux aussi pinguer la box… mais plus d’accès par navigateur !

    Le problème de certificat que vous avez eu, je l’ai solutionné de la même manière que vous, en revanche, mon problème est insoluble : et il est survenu peu de temps après que j’ai commencé à bidouiller la box (j’ai une formation de Technicien d’Assistance, pour info). J’ai commencé par mettre ma box en 192.168.0.254, puis à gérer des réservations DHCP. Et au bout d’un moment, elle m’a fait le bug dont je vous parle, sans prévenir : j’ai voulu retourner sur l’interface (j’y allais/revenais souvent), et puis plus rien.

    Alors bon, j’ai posté un message sur le forum SFR, sans succès (personne ne répond) https://forum.sfr.fr/t5/Connexion-Internet-Fibre-WiFi/Centrale-injoignable-suite-changement-de-box-NB4-par-NB6-SFR/m-p/1903193#M23115. Ensuite, dépité, j’ai essayé de reboot la box, sans succès, puis de la RESET, sans succès aussi. Et j’ai insisté et elle a fini par… se décoincer ! Même pas de RESET, juste revenue comme avant ! o_o

    Bref, c’est flippant tout ça. Ca sent la camelotte, et je pense que je vais acheter un vrai routeur et la passer en mode bridge. Par contre là je suis comme un con, car elle m’a refait le coup dès le lendemain et j’ai la flemme de reboot/reset à nouveau. Je vais finir par me forcer à le faire, mais je voulais avoir votre avis. Est-ce que ça ne serait pas dû au fait que je l’ai passée en 0.254 ? Je sais pas pourquoi j’ai l’intuition que leur système HTTPS/SSL est lié à l’adresse par défaut en 0.1. Ca m’étonnerait pas que leur surcouche soit complètement foireuse…

    1. @ROm1983

      Je rencontre le même problème d’interface web, inaccessible en LAN comme en WAN, quel que soit le navigateur et l’OS. Elle a fonctionné au début, le temps d’ajouter quelques règles de forward (qui fonctionnent toujours). Je vais me résoudre à passer en mode bridge avec un routeur dédié.

    2. Bonjour,
      Problème similaire : Après reboot de la box, première connexion à l’interface depuis firefox fonctionne, mais lorsque je veux y retourner, impossible : demande d’identifiant/mot de passe, mais rien de ne se produit au moment de la validation, on reste sur la page d’authentification. Problème résolu en utilisant internet explorer…

  4. Pareil ici j’ai les memes soucis. En fait tout les soucis mentionne se reproduisent. La box reboot apres un certain nombre de clics, apres un moment qu’elle est allume je n’ai plus acces a la page de la box, mais je peux la ping et j’ai internet, en fait faut reboot pour pouvoir a nouveau acceder a la page.
    Et d’ailleurs je n’ai jamais pu y acceder en HTTPS…
    Bref, ce produit est NULL.

  5. Bonjour,
    Fil très instructif..

    Malgré des recherches (acharnées…:-) ) je ne sais toujours pas le type (exact) de Modem que SFR-Red m’a (al)loué…

    Il ressemble furieusement au « Fast 5310 » pour la façade, mais pas sur le fond.

    Vu que c’est le modèle – abonnement à 10€00 – que pour Internet et téléphone.

    Il n’est pas indiqué la marque, et la disposition des boutons n’est pas identique au SagemCom F@st 3284 F, ni au F@st 3184..

    Ce doit être un Hybride…

    Sinon je ne suis abonné à Red que depuis 15 jours (13 ans chez Numericable…)..

    Caractéristiques:
    Conforme au norme standard : EuroDOCSIS 3.0
    Version matériel : 1.0
    Version logiciel : SFR-PC20_3.65.0-T1

    Je confirme que l’alerte Firefox perdure concernant le certificat…
    Par contre, je n’ai pas de problème de Freeze lors du paramétrage ?
    J’ai d’autres soucis – pour paramétrer l’envoi @utomatique des alertes de mon NAS..

    Mais, comme je filtre mes accès réseau et Internet par @mac et IP hors HDCP, j’ai peut-être un problème de configuration de Ports..à suivre…

    Je confirme également que côté « assistance »..ça m’a rappelé mes débuts avec celle de Numericable (qui a l’époque était surtaxée…)

    à suivre….

    1. Hello,

      à la suite d’une panne…électrique…mais pas chez moi…

      Plutôt du côté du Transformateur THT qui alimente SFR-Numericable..entre autres….

      Qui a eu pour conséquence un « black » Internet -> vite rétabli (dans la journée) et un autre Téléphonique..qui a lui duré 3 jours…

      N’ayant pas d’autres infos sur le site de SFR que « Nous faisons au mieux pour rétablir la situation »..

      Puis le message sur le site « Tout va bien aucun problème constaté »…

      J’ai pris la décision unilatérale de rebooter le modem…

      Et j’ai constaté qu’il se mettait en « mise à jour logiciel » comme un grand…

      Au redémarrage, surprise le téléphone fonctionnait…

      Je me suis précipité sur l’administration du Modem, avec quelques sueurs froides…
      Vu que je me suis retrouvé, au départ avec une « 404 » (mais pas Peugeot)…

      Je pensai que la màj avait rincé ma configuration, mais bon, non in fine, j’ai récupéré mes jeunes…
      Et encore une suée…parce que l’admin du modem s’est planté et que j’ai dû reseter le bignou…(c’est la 1ère fois que ça me le fait !!!! )

      Apparemment, SFR a fait évoluer la version (suite à la faille Wifi ???)

      Version logiciel passée de : SFR-PC20_3.65.0-T1 à SFR-PC20_3.419.0-T1

      Par contre ce qu’il y a dedans ?????

  6. Bonjour,
    Je ne suis donc pas le seul à avoir ce bug de reboot lors de la navigation sur l’interface !
    Le plus fou est que le problème n’est pas encore corrigé. D’un autre côté, l’utilisateur lambda, n’est s’est certainement jamais connecté à l’interface !

    Est-ce quelqu’un à tenter d’envoyer un mail au support technique de Sagemcom. Je doute que SFR se bouge sur le sujet.

    Par ailleurs, j’aimerais basculer ce modem/routeur en mode bridge et le branché sur un autre routeur (avec une rom type OpenWrt) mais j’arrive pas fonctionner. Il semble ne rien se passer sur le port WAN :(

  7. Bonjour,
    Abonné Free, je suis éligible à l’offre fibre SFR RED. Je pensais effectivement m’abonner mais pratiquant également l’auto-hébergement, je suis assez sensible à ce que vous décrivez dans ce ticket. Merci pour ce retour d’expérience.

    Par contre, Il me semble avoir lu que vous ne disposiez pas d’une IP fixe alors qu’SFR indique que les clients très haut débit en disposent. Qu’en est-il réellement ? S’agit-il simplement d’un bail DHCP de longue durée et non pas d’une vraie IP fixe ?

    1. Le changement d’IP est extrêmement rare, mais ça m’était arrivé quelques fois chez Numericable. Je sais plus si ça s’est produit chez RED by SFR. Il est possible qu’ils aient amélioré les choses de ce côté-là.
      Pour ne pas prendre le risque, j’ai scripté la vérification de l’IP et la bascule DNS si ça se produit, en utilisant gandyn (adapté au registrar gandy)

  8. Merci pour ces éléments.
    Je profite du fait que vous ayez tous un routeur « Sagem fast 3284 » pour vous demander s’il serait possible de m’envoyer ses dimensions (L x l x P) car je souhaite l’installer à un endroit précis et le caler « sur la tranche, en vertical » (comme je le fais d’ailleurs avec un Fbx révolution) – il devrait m’arriver sous 1 semaine mais j’ai besoin de préparer l’endroit où je l’installe.

    MERCI D’AVANCE !

  9. Je profite de ce fil pour une dernière question (je n’ai pas encore d’identifiant « Red » car ligne à construire) :

    – la notice d’installation du Sagem indique explicitement qu’il faut connecter la box à une prise coaxiale tandis que les 4 lignes ethernet (rj45) sont indiquées, à titre d’exemple, pour connecter un ordi, tv….

    – donc RIEN N’INDIQUE qu’on peut aussi utiliser une des ces lignes Ethernet (rj45) comme « entrée ligne » en lieu et place de l’entrée ligne coaxiale (dans l’hypothèse FRÉQUENTE où le logement à la ligne tel/adsl avec prise Rj45 plutôt que coaxiale)
    – CONFIRMEZ VOUS qu’une box sagem peut effectivement ne pas utiliser la ligne « entrée coaxiale » et lui substituer une des 4 lignes Ethernet en tant que « entrée ligne ADSL » ?
    (je suis en effet hyper surpris que le cas de figure qui concerne 90% des logements (lignes tel en rj45 plutôt qu’en coax) ne soit pas évoqué dans la notice ?

    DÉSOLÉ POUR CES QUESTIONS DE NÉOPHYTE et peu en lien avec la faiblesse sur les IP évoquée.
    Bonne journée à tous !

    1. Bonjour 75015steph,
      Je ne suis pas expert modem mais c’est un un modem pour une arrivée cable coaxial pas xDSL via une prise téléphonique… DOSCIS et la synchronisation xDLS ca n’a rien a voir…
      A ma connaissance un modem cable DOCSIS 3.0 n’est pas prévu pour fonctionner en xDSL sur un des prises ethernet. Je n’ai jamais vu ça nulle part l’utilisation des prises ethernet dédiées au routage comme arrivée pour la synchronisation xDSL sur un modem. Cable en plus… Et ce n’est pas décrit dans les user manuel donc c’est pas prévu à priori. Et aucun moyen dans l’interface de paramétrer ce genre de chose.

      1. Merci. Je m’étais effectivement trompé e modèle en cherchant les caractéristiques de la box à recevoir. Ce n’est pas la Sagem qui me concerne, mais le modèle blanc et gris de SFR, doté en effet d’une connexion d’entrée « rj45 » ou « téléphone »….

        Et je m’étais donc « fait peur » pour rien.
        Bonne journée

  10. Bonjour,

    Merci pour ce fil très informatif sur les modems SFR / Numéricable.

    Sur un sujet proche, j’ai un problème d’accès à mon réseau depuis l’extérieur. J’ai ouvert et redirigé les ports utiles pour accéder à 2 NAS qui sont sur mon LAN. Ca fonctionne très bien jusqu’au moment où le modem se met en rideau (sans raison apparente) et alors plus aucun accès de l’extérieur n’est possible.

    J’avais espéré pouvoir rebooter le modem à distance mais quand il passe dans ce mode, même l’admin ne répond plus. Il faut rebooter manuellement en étant physiquement sur place et alors tout repart et les accès fonctionnement de nouveau.

    Même depuis le LAN, quand la box est en rideau, l’interface admin n’est pas joignable. J’ai aussi constaté qu’à ce moment là, mon Apple port express et mon imprimante ne sont plus joignables non plus. Pourtant la TV via la box fonctionne toujours et l’accès internet vers l’extérieur fonctionne toujours…

    J’ai déjà abordé le sujet avec la hotline sans assistance réelle sur le sujet et après changement de box, toujours le même souci. C’est très perturbant parce que je ne peux pas accéder à mes fichiers de l’extérieur et j’ai des tâches de synchronisation avec un autre NAS à l’extérieur qui ne marchent plus.

    Auriez-vous des pistes ? J’ai lu sur Internent que le souci était connu avec les modems SFR / Numericable mais aucune solution n’est indiquée. C’est quand même un vrai bug handicapant, non ?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *