Faiblesses du firmware du modem câble Sagem F@st 3284 DC de RED by SFR

Je suis tombé sur quelques faiblesses du firmware du modem Sagem F@st 3284 DC, en tous cas dans la version que j’ai pu tester (NCC-PC20_2.101.0, sur une version 1.0 du matériel, fournie par RED by SFR)

Chiffrement HTTPS de l’interface d’administration : oui, mais…

Commençons par dire que le chiffrement SSL de l’interface d’administration est une très bonne chose. J’avais critiqué son absence dans un précédent article https://blog.mossroy.fr/2016/03/31/failles-de-securite-sur-les-modems-sfrnumericable/, et ne peux qu’approuver cette amélioration, qui va dans le bon sens en termes de sécurité.

Hélas, l’implémentation qui en est faite est largement critiquable.

Certificat non reconnu par le navigateur

C’est un grand classique… quand on est en phase de développement, mais pas en production ! Le certificat SSL n’est pas reconnu par le navigateur, qui affiche donc un beau message d’avertissement :

La connexion n’est pas sécurisée

Les propriétaires de 192.168.0.1 ont mal configuré leur site web. Pour éviter que vos données ne soient dérobées, Firefox ne s’est pas connecté à ce site web.

192.168.0.1 uses an invalid security certificate. The certificate is not trusted because the issuer certificate is unknown. The server might not be sending the appropriate intermediate certificates. An additional root certificate may need to be imported. The certificate is not valid for the name 192.168.0.1. Error code : SEC_ERROR_UNKNOWN_ISSUER

(ou une variante sur les autres navigateurs)

Le certificat est signé par une autorité de certification non reconnue par les navigateurs standards, puisqu’il s’agit de « Askey Cable Modem Root Certificate Authority ».

Évidemment, on peut accéder à l’interface d’administration en passant outre cet avertissement. Mais il n’est pas acceptable de demander cela à un utilisateur final, qui ne comprend pas ce qui se passe, et qui hésite à le faire (exemple : http://communaute.red-by-sfr.fr/t5/RED-Fibre-au-quotidien/Acc%C3%A8s-au-modem-non-s%C3%A9curis%C3%A9/m-p/80025). D’autant que je n’ai vu cette « procédure » documentée nulle part.

Mais, au-delà des difficultés d’utilisation, demander à l’utilisateur de passer outre, c’est lui faire croire que ce genre d’avertissement n’est pas important. Et le rendre susceptible de les ignorer le jour où ce sera vraiment important.

A mon sens, la meilleure solution (déjà adoptée par Free), c’est de s’appuyer sur Let’s Encrypt pour fournir le certificat SSL : pas besoin d’acheter des certificats, c’est reconnu par tous les navigateurs, renouvelable automatiquement etc.

Faiblesse du chiffrement

Le chiffrement effectué par le modem est particulièrement faible. En utilisant par exemple l’extension SSleuth pour Firefox, une note de 3.3/10 lui est attribuée (quand la grande majorité des sites Internet en HTTPS ont 9 ou 10/10).

Oui, avoir du chiffrement est toujours mieux que ne pas en avoir du tout. Mais il y a différentes qualités de chiffrement (c’est ce qui est mesuré par l’extension). Et j’avoue ne jamais avoir vu de site avec une si mauvaise note.

Reboot au bout de 9 clics dans l’interface d’administration

Ce problème prêterait à sourire s’il n’était pas réel… et très gênant.

Pour le reproduire, c’est simple :

  • s’identifier sur l’interface d’administration
  • cliquer sur un item de menu (« Réseau » par exemple, mais n’importe lequel amène au même résultat), et répéter l’opération plusieurs fois
  • Au 9ème clic, le navigateur attend indéfiniment la réponse parce que le modem est en train de rebooter. Évidemment, ça bloque tout : Internet, téléphonie etc.

Ça ressemble fort à un bug logiciel, comme un dépassement de capacité d’une structure qui ne peut contenir que 8 valeurs, et qui ferait crasher le modem.

Hotline

J’ai appelé la hotline pour leur signaler ces problèmes.

Un interlocuteur m’a d’abord dit qu’il devait s’agir d’un problème de configuration de mon navigateur (« Vous avez essayé avec Internet Explorer ? »). Un autre a « réinitialisé » à distance le modem (sans résultat, bien sûr), et devait me rappeler 10 minutes plus tard : j’attends toujours.

Bref, je m’y attendais mais préférais vérifier : la hotline est complètement inadaptée à ce genre de cas.

Je vais passer l’information au contact que j’avais eu la dernière fois chez SFR, en espérant que ça aide à faire avancer les choses…

4 réflexions au sujet de « Faiblesses du firmware du modem câble Sagem F@st 3284 DC de RED by SFR »

  1. Merci pour ton partage d’expérience, j’ai cru un problème de signal venant de ma ligne concernant le reboot dans l’interface de gestion, c’est vraiment aberrant de la part d’un fournisseur d’accès de pondre un firmware aussi dégueu juste histoire de faire au plus vite et au moins chère.

  2. J’ai exactement les même problèmes.
    Le redémarrage lors de l’accès à l’interface d’admin est vraiment pénible, tu es le seul site qui mentionne ce problème alors autant que ça remonte un peu sur google avec ce commentaire :)

    1. Après un test rapide avec Chromium, il ne fait effectivement pas rebooter le modem. Par contre, au bout du même nombre de clics, l’interface ne répond plus : n’importe quelle action attend indéfiniment une réponse. Ca ne revient à la normale qu’après quelques minutes.

      Il semblerait que ce soit bien le même bug, mais avec des symptômes légèrement différents suivant le navigateur.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *