A VOIR LUNDI "IMAGES à L'APPUI" RTL Belgacom et la location de filmX

[geo10]

Location de filmX chez Belgacom.
Depuis deux ans Belgacom facture chaque mois à Christel et Cédric, la location de dizaine de filmsX.
Des films que le couple prétend n'avoir jamais demandé.

A voir donc demain le 10 octobre à 19h45 sur RTL.

[geo10]

Hé bien aprés avoir vu l'émission, je ne sais pas si d'ailleurs d'autres membres l'ont regardé, je voudrais voir quelques appréciations , si certains d'entre vous l'ont regardé aussi, l'enjeu est bizarre et très hasardeux, a moins de voir d'autres personnes victime de ce soi disant piratage, les deux intervenant restent sur leurs positions.

[YAS]

A la 47 seconde, ce n'est pas une télécommande M* ?

http://www.rtltvi.be/emission/images-a-l-appui/4.aspx

[Thomas Astel]

Exact YAS, il s'agit de la télécommande Mobistar TV !

[SlyDeR13]

J'ai ri quand le responsable Belgacom dit qu'il est impossible de pirater un décodeur BGC et qui plus est que tout les tests ont été faits pour voir si c'était "piratable"...

C'est vrai que Sony n'avait pas testé sa sécurité quand ils ont été hacks, c'est vrai que Facebook fait tous les tests pour éviter le piratage (en payant des hackers...), c'est bon quoi... MDR

[taraceboulba]

j'ai regardé l'émission, et j'ai trouvé ce charmant petit couple honnête !mais belgacom maintient que c'est bien le décodeur n° "untel" qui a bien téléchargé les films-étrange histoire que je ne m'explique pas

[geo10]

Exact YAS, il s'agit de la télécommande Mobistar TV !

Oui, mais c'est dit" ils ont changé de fournisseur, je crois que pour l'émission , il allait pas se casser le c.. pour une télécommande de belgacom, mais cela reste un mystère.
Si c'est depuis leur déménagement et s'ils n'ont pas menti, je pencherais pour quelqu'un du service technique vachement bidouilleur.
Le système est faillible, vu que VOO m'a comptabilisé un dessin animé que je n'ai jamais regardé, pour la simple raison que j'ai le blu-ray du film et je vis seul.
C'était la seule fois, mais devant ce cas de figure comment le prouver?
Il est un fait que le distributeur ne va pas avouer un trou dans son matos, au mieux, une mise à jour du décodeur sans rien dire à personne.
On aura peut être une réponse un jour.

[geo10]

une petite recherche quand même.mis sur NET STEP.
Les modems BBOX2 qu’utilisent une majorité de clients de Belgacom TV comportent des failles de sécurité importantes. Belgacom revendiquait 589.000 clients pour sa plate-forme TV l’été dernier. Une majorité d’entre eux utilise ce fameux modem. Une combinaison de facteurs ouvre la porte à des actes malveillants, pouvant être commis par des personnes sans connaissances informatiques particulières et pas seulement des ‘hackers’.

1. Les modems BBOX2 sont tous livrés avec le même mot de passe d’administration. On peut très facilement le trouver via un moteur de recherche: http://www.google.com/search?hl=en&q=BGCVDSL2
2. Belgacom prétend bloquer l’accès à distance de ces modems via Internet. C’est partiellement exact. Cependant, ces modems sont livrés d’origine avec une connexion WIFI active et non protégée. N’importe qui passant dans la rue peut donc se connecter à une BBOX2 non protégée.
3. Muni de cet accès administratif, on peut télécharger le fichier de configuration du modem et décrypter les mots de passe qui s’y trouvent. Là aussi, on trouve le nécessaire sur Internet: http://www.webalice.it/zibri/Deobfuscate.html

Après avoir récupéré les identifiants d’un abonné à Belgacom TV (identifiants de la connexion PPPoE, pour être précis), un pirate peut utiliser ces informations pour perpétrer des actes malveillants en se faisant passer pour cet abonné.
Toutes les informations ci-dessus sont en possession de Belgacom depuis longtemps. J’ai moi-même interrogé l’opérateur, qui n’a pas daigné accuser réception, et encore moins répondu ou proposé des solutions.
Notons également que si cela s’applique aux clients de Belgacom TV, certains abonnés Internet, chez Belgacom comme chez les opérateurs alternatifs qui utilisent le réseau VDSL2 de Belgacom sont également concernés. Le propriétaire du réseau impose en effet aux autres FAI l’utilisation d’un modem semblable au sien, également pourvu d’un mot de passe identique pour tous les abonnés.

Quelques détails additionnels pour les intéressés. Pour l’illustration, nous utilisons ici l’interface graphique du modem. Cependant, cette technique fonctionne également via une interface en mode textuel (telnet), qui permettrait à des pirates plus organisés de récupérer automatiquement ces données, sans intervention humaine.
Mot de passe d’administration identique

Pour une raison inexpliquée, Belgacom a choisi d’utiliser le même mot de passe sur tous ses modems. Il est très vite devenu un secret de polichinelle. Qui plus est, Belgacom ne donne pas d’indication sur la manière de le modifier. Belgacom ne fournit d’ailleurs aucun manuel avec le modem. D’autres s’en sont chargés, heureusement. Ce qu’on retiendra, c’est la nécessité d’utiliser d’obscures commandes via une interface textuelle qui est peu compréhensible par le public que cible l’opérateur.
Belgacom a également imposé aux opérateurs alternatifs qui passent par son réseau VDSL2 d’utiliser un mot de passe unique (OLOVDSL2, dans ce cas). Il est évident qu’il s’agit d’un problème majeur de sécurité.
Accès à la configuration

Suite aux menaces proférées il y a quelques par un pirate se faisant appeler Vendetta, Belgacom a décidé de bloquer l’accès à ses modems BBOX2 via l’Internet, en bloquant les accès sur les ports 80, 443 et 22. Ce faisant, Belgacom enlève également à l’abonné de gérer son modem à distance., ce qui retire pas mal de fonctionnalités. L’abonné à la possibilité de malgré tout ouvrir ces ports, Belgacom se contentant d’avertir qu’il y a un risque de sécurité, sans expliquer lequel. En tout état de cause, le remède est disproportionné par rapport au problème à traiter. Un peu comme si on confisquait les clés de voiture aux automobilistes au titre que cela diminuera leur empreinte carbone.
Les modems sont par contre très facilement accessibles via le WIFI, qui est actif et non protégé par défaut. En effet, Belgacom veut rendre la vie de ses clients Belgacom TV simple, y compris ceux qui ne sont pas férus de technologie. En conséquence, le modem se configure de lui-même lors de la première connexion. Plus exactement, le modem est configuré à distance via le protocole TR-069. L’utilisateur n’a rien à faire de son côté, sinon enficher le câble du décodeur TV dans le modem. Le reste est automatique.
Qui plus plus est, l’abonné à Belgacom TV a souvent souscrit à une offre qui comprend aussi l’accès Internet, même s’il n’en a pas ou peu l’usage, ce qui ne l’encouragera pas à prendre les mesures nécessaires pour sécuriser son WIFI. Ainsi donc, il y a possiblement des milliers de clients de Belgacom qui ont un modem grand ouvert à tout le monde, sans le savoir. J’ai personnellement identifié près d’une dizaine de modems BBOX2 non protégés dans mes environs immédiats.
Déchiffrement des mots de passe

La BBOX2 utilise un micro-logiciel nommé OpenRG, de la société Jungo. Ce logiciel se retrouve dans de nombreux modems ADSL, et notamment la Livebox de France Télécom, également utilisée par Mobistar en Belgique.
Jungo a utilisé une technique de chiffrement que les informaticiens appellent plutôt l’obfuscation. Elle consiste à rendre la lecture plus compliquée de prime abord, mais sans introduire réellement de chiffrement. C’est une technique qui est connue depuis l’Antiquité. En l’occurrence, on procède par remplacement d’un caractère par un autre. Ainsi, une fois identifié les 26 lettres minuscules et majuscules, en plus des 10 chiffres, on peut très facilement construire un tableau de concordance et codifier le tout dans une petite routine informatique. Le site mentionné ci-dessus utilise le très répandu Javascript, mais il existe d’autres implémentations, en Python notamment (source), ce qui permettait à un pirate de facilement créer un programme de récupération automatique de ces identifiants.
La première étape est de sauvegarder la configuration du modem. Il suffit d’aller dans le menu “Admin Settings/Backup and Update”

On récupère alors un fichier texte, où l’on peut trouver les identfiants de l’utilisateur:

Dans l’exemple, ci-dessus, le mot de passe est ‘testing’, et c’est très exactement la valeur que retourne le site de déchiffrement mentionné ci-dessus.
La plupart des modems ADSL permettent de créer une copie de sauvegarde de leur configuration, bien utile en cas de panne. Cependant, les autres fabricants créent un fichier de configuration binaire, et donc illisible par un être humain. Jungo a choisi de rendre le fichier compréhensible, introduisant de la sorte une faille de sécurité, et le manque de précautions prises par Belgacom rend evidemment le problème plus grave encore.
Pour information, j’ai signalé ce problème de sécurité tant à Belgacom qu’à son fournisseur Jungo. En l’absence de réponse, je mets donc ces informations en ligne.

[SlyDeR13]

朮죾ꐈ닏龡腭㑀셡윅킀理昒ĵ኷渂쀫餀脏ੑ䯆姍Ὣ羱ꏾ먲છ垃꯬Ԧ鸑嚓쉯⏣漺せ茴웜⻍ⶇ㻾Ⳕ₴앦��ܚ흿팽鍀 펐떲ꮍᣋ㙥ﾊ沕렓豪Ⅵ⎩腓ᣉ얀ᵔ癩笯轝銷뢇჉孔ﰥ헁䲯뀋嵈뫟ꇖ읽驰�铈ꨂ쏜ꈓ贗鰌톉렲헞龳煄�ሸ곏 쉗�춝즈�ᗙ忶পᵩ嬬�唎펱

[geo10]

là, ton décodeur est visiblement piraté.

[krueger2604]

C'est débile leur explication et pourtant je bosse chez BGC

ce n'est pas dans le décodeur qu'on facture , mais bien dans le modem (login mot de passe)
si je mets les logins et les mots de passes de mon voisin , ce sera lui qui payera si je loue des films....
mais c'est vrai qu'on sait vérifier avec l'adresse mac du STB qu'il a bien été loué par celui ci , mais on sait bien simuler une adresse mac d'un pc , pourquoi pas d'un décodeur ^^

[geo10]

Hé bien suite à la diffusion de cette émission suite a été donnée hier, malgré une médiation qui a donné tort au couple, RTL fut assailli de coup de fils dénonçant cette façon de faire et ce couple est loin d'être un cas isolé, il semble bien que la sécurité du décodeur soit bafouée quelque part.
Deux cas retiennent l'attention, des locations facturées alors que le propriétaire était au chevet de son épouse malade et même pendant son enterrement et un autre qui lui a tout débranché et reçoit toujours des factures de locations de films X.
Belgacom n'a pas voulu répondre a ces accusations.
Et c'est pas moi, même si le sujet est tout autre qui partagerai ma ligne WI-FI.
Chercher l'erreur.............de toute façon je ne vois pas Belgacom avouer ses torts car cela remettrai toute la sécurité des décodeurs et des facturations forts discutables.

[geo10]

http://www.rtl.be/rtltvi/video/366145.aspx

Un peu de rappel, je penses que il y a quelque part un léger problème au niveau de la sécurité chez Belgacom, il ne faut pas devenir parano, mais il est reconnu que Belgacom n'est pas le premier au niveau protection numérique, tout comme Proximus d'ailleur, mais c'est chou vert et vert chou.