Faiblesses du firmware du modem câble Sagem F@st 3284 DC de RED by SFR

Je suis tombé sur quelques faiblesses du firmware du modem Sagem F@st 3284 DC, en tous cas dans la version que j’ai pu tester (NCC-PC20_2.101.0, sur une version 1.0 du matériel, fournie par RED by SFR)

Chiffrement HTTPS de l’interface d’administration : oui, mais…

Commençons par dire que le chiffrement SSL de l’interface d’administration est une très bonne chose. J’avais critiqué son absence dans un précédent article https://blog.mossroy.fr/2016/03/31/failles-de-securite-sur-les-modems-sfrnumericable/, et ne peux qu’approuver cette amélioration, qui va dans le bon sens en termes de sécurité.

Hélas, l’implémentation qui en est faite est largement critiquable.

Certificat non reconnu par le navigateur

C’est un grand classique… quand on est en phase de développement, mais pas en production ! Le certificat SSL n’est pas reconnu par le navigateur, qui affiche donc un beau message d’avertissement :

La connexion n’est pas sécurisée

Les propriétaires de 192.168.0.1 ont mal configuré leur site web. Pour éviter que vos données ne soient dérobées, Firefox ne s’est pas connecté à ce site web.

192.168.0.1 uses an invalid security certificate. The certificate is not trusted because the issuer certificate is unknown. The server might not be sending the appropriate intermediate certificates. An additional root certificate may need to be imported. The certificate is not valid for the name 192.168.0.1. Error code : SEC_ERROR_UNKNOWN_ISSUER

(ou une variante sur les autres navigateurs)

Le certificat est signé par une autorité de certification non reconnue par les navigateurs standards, puisqu’il s’agit de « Askey Cable Modem Root Certificate Authority ».

Évidemment, on peut accéder à l’interface d’administration en passant outre cet avertissement. Mais il n’est pas acceptable de demander cela à un utilisateur final, qui ne comprend pas ce qui se passe, et qui hésite à le faire (exemple : http://communaute.red-by-sfr.fr/t5/RED-Fibre-au-quotidien/Acc%C3%A8s-au-modem-non-s%C3%A9curis%C3%A9/m-p/80025). D’autant que je n’ai vu cette « procédure » documentée nulle part.

Mais, au-delà des difficultés d’utilisation, demander à l’utilisateur de passer outre, c’est lui faire croire que ce genre d’avertissement n’est pas important. Et le rendre susceptible de les ignorer le jour où ce sera vraiment important.

A mon sens, la meilleure solution (déjà adoptée par Free), c’est de s’appuyer sur Let’s Encrypt pour fournir le certificat SSL : pas besoin d’acheter des certificats, c’est reconnu par tous les navigateurs, renouvelable automatiquement etc.

Faiblesse du chiffrement

Le chiffrement effectué par le modem est particulièrement faible. En utilisant par exemple l’extension SSleuth pour Firefox, une note de 3.3/10 lui est attribuée (quand la grande majorité des sites Internet en HTTPS ont 9 ou 10/10).

Oui, avoir du chiffrement est toujours mieux que ne pas en avoir du tout. Mais il y a différentes qualités de chiffrement (c’est ce qui est mesuré par l’extension). Et j’avoue ne jamais avoir vu de site avec une si mauvaise note.

Reboot au bout de 9 clics dans l’interface d’administration

Ce problème prêterait à sourire s’il n’était pas réel… et très gênant.

Pour le reproduire, c’est simple :

  • s’identifier sur l’interface d’administration
  • cliquer sur un item de menu (« Réseau » par exemple, mais n’importe lequel amène au même résultat), et répéter l’opération plusieurs fois
  • Au 9ème clic, le navigateur attend indéfiniment la réponse parce que le modem est en train de rebooter. Évidemment, ça bloque tout : Internet, téléphonie etc.

Ça ressemble fort à un bug logiciel, comme un dépassement de capacité d’une structure qui ne peut contenir que 8 valeurs, et qui ferait crasher le modem.

Hotline

J’ai appelé la hotline pour leur signaler ces problèmes.

Un interlocuteur m’a d’abord dit qu’il devait s’agir d’un problème de configuration de mon navigateur (« Vous avez essayé avec Internet Explorer ? »). Un autre a « réinitialisé » à distance le modem (sans résultat, bien sûr), et devait me rappeler 10 minutes plus tard : j’attends toujours.

Bref, je m’y attendais mais préférais vérifier : la hotline est complètement inadaptée à ce genre de cas.

Je vais passer l’information au contact que j’avais eu la dernière fois chez SFR, en espérant que ça aide à faire avancer les choses…

9 réflexions au sujet de « Faiblesses du firmware du modem câble Sagem F@st 3284 DC de RED by SFR »

  1. Merci pour ton partage d’expérience, j’ai cru un problème de signal venant de ma ligne concernant le reboot dans l’interface de gestion, c’est vraiment aberrant de la part d’un fournisseur d’accès de pondre un firmware aussi dégueu juste histoire de faire au plus vite et au moins chère.

  2. J’ai exactement les même problèmes.
    Le redémarrage lors de l’accès à l’interface d’admin est vraiment pénible, tu es le seul site qui mentionne ce problème alors autant que ça remonte un peu sur google avec ce commentaire :)

    1. Après un test rapide avec Chromium, il ne fait effectivement pas rebooter le modem. Par contre, au bout du même nombre de clics, l’interface ne répond plus : n’importe quelle action attend indéfiniment une réponse. Ca ne revient à la normale qu’après quelques minutes.

      Il semblerait que ce soit bien le même bug, mais avec des symptômes légèrement différents suivant le navigateur.

  3. Salut,
    Je suis content de trouver votre page, parce que moi aussi je suis confronté à un problème similaire, mais encore plus emmerdant : ma box devient carrément injoignable en HTTP ! Oui, injoignable ! L’accès Internet est toujours là, je peux télécharger, je peux aussi pinguer la box… mais plus d’accès par navigateur !

    Le problème de certificat que vous avez eu, je l’ai solutionné de la même manière que vous, en revanche, mon problème est insoluble : et il est survenu peu de temps après que j’ai commencé à bidouiller la box (j’ai une formation de Technicien d’Assistance, pour info). J’ai commencé par mettre ma box en 192.168.0.254, puis à gérer des réservations DHCP. Et au bout d’un moment, elle m’a fait le bug dont je vous parle, sans prévenir : j’ai voulu retourner sur l’interface (j’y allais/revenais souvent), et puis plus rien.

    Alors bon, j’ai posté un message sur le forum SFR, sans succès (personne ne répond) https://forum.sfr.fr/t5/Connexion-Internet-Fibre-WiFi/Centrale-injoignable-suite-changement-de-box-NB4-par-NB6-SFR/m-p/1903193#M23115. Ensuite, dépité, j’ai essayé de reboot la box, sans succès, puis de la RESET, sans succès aussi. Et j’ai insisté et elle a fini par… se décoincer ! Même pas de RESET, juste revenue comme avant ! o_o

    Bref, c’est flippant tout ça. Ca sent la camelotte, et je pense que je vais acheter un vrai routeur et la passer en mode bridge. Par contre là je suis comme un con, car elle m’a refait le coup dès le lendemain et j’ai la flemme de reboot/reset à nouveau. Je vais finir par me forcer à le faire, mais je voulais avoir votre avis. Est-ce que ça ne serait pas dû au fait que je l’ai passée en 0.254 ? Je sais pas pourquoi j’ai l’intuition que leur système HTTPS/SSL est lié à l’adresse par défaut en 0.1. Ca m’étonnerait pas que leur surcouche soit complètement foireuse…

    1. @ROm1983

      Je rencontre le même problème d’interface web, inaccessible en LAN comme en WAN, quel que soit le navigateur et l’OS. Elle a fonctionné au début, le temps d’ajouter quelques règles de forward (qui fonctionnent toujours). Je vais me résoudre à passer en mode bridge avec un routeur dédié.

    2. Bonjour,
      Problème similaire : Après reboot de la box, première connexion à l’interface depuis firefox fonctionne, mais lorsque je veux y retourner, impossible : demande d’identifiant/mot de passe, mais rien de ne se produit au moment de la validation, on reste sur la page d’authentification. Problème résolu en utilisant internet explorer…

  4. Pareil ici j’ai les memes soucis. En fait tout les soucis mentionne se reproduisent. La box reboot apres un certain nombre de clics, apres un moment qu’elle est allume je n’ai plus acces a la page de la box, mais je peux la ping et j’ai internet, en fait faut reboot pour pouvoir a nouveau acceder a la page.
    Et d’ailleurs je n’ai jamais pu y acceder en HTTPS…
    Bref, ce produit est NULL.

  5. Bonjour,
    Fil très instructif..

    Malgré des recherches (acharnées…:-) ) je ne sais toujours pas le type (exact) de Modem que SFR-Red m’a (al)loué…

    Il ressemble furieusement au « Fast 5310 » pour la façade, mais pas sur le fond.

    Vu que c’est le modèle – abonnement à 10€00 – que pour Internet et téléphone.

    Il n’est pas indiqué la marque, et la disposition des boutons n’est pas identique au SagemCom F@st 3284 F, ni au F@st 3184..

    Ce doit être un Hybride…

    Sinon je ne suis abonné à Red que depuis 15 jours (13 ans chez Numericable…)..

    Caractéristiques:
    Conforme au norme standard : EuroDOCSIS 3.0
    Version matériel : 1.0
    Version logiciel : SFR-PC20_3.65.0-T1

    Je confirme que l’alerte Firefox perdure concernant le certificat…
    Par contre, je n’ai pas de problème de Freeze lors du paramétrage ?
    J’ai d’autres soucis – pour paramétrer l’envoi @utomatique des alertes de mon NAS..

    Mais, comme je filtre mes accès réseau et Internet par @mac et IP hors HDCP, j’ai peut-être un problème de configuration de Ports..à suivre…

    Je confirme également que côté « assistance »..ça m’a rappelé mes débuts avec celle de Numericable (qui a l’époque était surtaxée…)

    à suivre….

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *