Je viens de tomber sur un cas étrange... Je dois d'abord préciser que le client est du genre à faire systématiquement le contraire de ce que tout le monde lui conseille... Config simple et significative : une Neuf box, un PC sous Linux Mint Helena que je lui avais mis pour sortir des problèmes récurrents de virus et un notebook qu'il tient à garder sous XP, sans antivirus (!!!). Il ne va, parait-il, jamais sur internet avec, mais pourquoi donc y a-t-il autant de virus, spywares et autres sales bêtes sur cette bécane que j'ai renoncé à déverminer ?
Historique un peu long, mais curieux :
Dans un premier temps, il y a moins d'un mois, un client pour qui je devais préparer une SME me contacte, affolé : alors qu'il surfait, la connexion a été coupée et est apparue sur son écran l'interface de configuration de sa Neuf box, avec des données bizarres qu'il a relevées : une adresse MAC qui n'a rien à voir avec celle notée au dos de sa box, et un nom d'utilisateur totalement inconnu. Je n'ai jamais pu lui faire redémarrer sa box, impossible d'obtenir l'interface de config, malgré les reboot... Plus aucun voyant allumé... Je lui conseille d'appeler Neuf et d'exposer le problème. Il me rappelle une heure après pour me dire que tout est revenu de manière inexplicable, sans intervention...
Second épisode, il me rappelle, assez désemparé : il lui est facturé par Neuf Télécom des appels vers plusieurs numéros en 08 99, généralement à des heures nocturnes, et ce depuis Janvier. Il en avait pour presque 200€ sur la dernière facture... Neuf nie toute responsabilité, toute possibilité de savoir comment sont possibles ces appels et toute possibilité de s'en prémunir. Google est assez loquace concernant des escroqueries à la facture téléphonique, où les numéros constatés chez le client figurent en bonne place.
Après plus amples investigations, il s'avère que le fils du client a joué avec des copains à dufus, jeu on line souvent cité conjointement aux arnaques par les 08 99 * (dont allopass fait partie...). Le fils semble sincère lorsqu'il prétent n'avoir joué que 5 fois, il y a longtemps. Le client garde un doute malgré tout...
Parallèlement, j'essaie de me renseigner mieux sur la 9box : j'ai plusieurs installations derrière des 9boxes, mais je ne les ai jamais reconfigurées. Il s'avère que la version 4 a la wifi intégrée, activée d'office ainsi que le hotspot, permettant à n'importe quel abonné 9 en voyage de se connecter via la box d'un autre abonné
Bravo la sécurité !!! De plus, je ne sais pas si c'est d'origine, mais elle était configurée en WEP, même pas en WPA !!! (bon, d'accord, je ne pense pas que ça change grand chose, hormis un quart d'heure supplémentaire pour craquer la clé 
). Je désactive la wifi, et une dizaine de jours plus tard il n'y a toujours aucun appel vers un 08 99 *... Mais pour désactiver la Wifi, j'ai dû accéder à l'interface par l'appui sur le bouton adéquat, le couple user/password confirmés par le client ne fonctionnant pas malgré un reboot... Et j'ai retrouvé la MAC adress et l'utilisateur que le client avait notés au premier épisode !!!
Troisième épisode, avant-hier : je mets en place la SME qui doit héberger le site web du client. Je me bats avec cette p*** de b*** de m*** de 9box, qui bien sûr coupe le téléphone lorsqu'on la passe en bridge, puis qui semble ne pas faire correctement les redirections de port. J'abandonne dans le but de me renseigner : pas eu moyen de rendre accessible le site web de la SME, la redirection de port semble les envoyer dans les choux (sablier permanent lorsqu'on essaie de joindre l'url ou l'IP).
Cela m'a aussi donné l'occasion de constater que, sans redirection du port 80, l'interface de configuration de la 9box est visible depuis le net. Là encore, bravo pour la sécurité !!!
Quatrième épisode, hier : Le client m'a rappelé, il ne peut plus voir les vidéos sur youtube (soi-disant, bien sûr, depuis que j'ai installé la SME). Je lui fais essayer dailymotion, c'est pareil... Je passe donc voir, et je constate. Après quelques essais et réinstallations de logiciels, j'en arrive à
- Avoir dailymotion qui fonctionne apparemment bien,
- Constater que se connecter directement à la 9box ou sur le LAN de la SME (en serveur-passerelle, bien sûr, juste derrière la box) ne change rien,
- Constater que youtube ne fonctionne ni sous Firefox (version 3.5) ni sous Opéra et n'affiche qu'un message d'erreur peu explicite (an error occured, please try later), mais parfois affiche une pub pour SFR !!! (en vidéo, bien entendu, en lieu et place de la vidéo demandée).
- Pour réinstaller Firefox et tout ce qui va avec (plugins etc.), j'avais dû le faire avec une session que je me réserve souvent sur les bécanes que j'installe : en me connectant avec le user du client, le lancement de synaptic par le menu ne donne qu'une boite de dialogue affichant un message du genre "impossible to lock your mouse. Somebody is controling your computer etc.", bref, le genre de truc qu'on voit sur un poste W$ vérolé
- Quelle que soit la session (mon user ou celui du client), le menu reste affiché après lancement d'une application !!!
Bref, des symptômes assez affolants, que je n'avais jamais rencontrés sur une machine linux... Quant à la 9box, je ne connaissais pas mais je sens qu'on ne va pas être copains
J'avoue ne pas trop savoir comment prendre tout cela. Il y a certes un certain nombre de choses à vérifier (snif du réseau pour savoir où la 9box envoie les ports redirigés, lecture des logs du PC...), j'ai tout intérêt à refaire une installation propre sur le PC et bénéficier de la nouvelle version LTS, mais ces symptômes m'affolent un peu. Maladresses du client ? Ça m'étonne un peu... Il a les droits d'admin (donc, entre autres, d'installer/désinstaller des logiciels avec synaptic en donnant son mot de passe), mais de là à ce qu'il s'octroie un accès root dans un terminal... Piratage ? Ce serait alors un cas exceptionnel (en tous cas, sous Linux. Pour la box, c'est sûrement plus facile, mais peut-on pirater une box pour y faire passer ses propres appels ?).
J'aimerais bien savoir ce que vous en pensez ?
Mais bon, c'est vrai que c'est à étudier de plus près...
Merci encore une fois !
C'est vrai que j'aurais dû y penser... Quoique, normalement, la SME devrait assurer la résolution DNS sans passer par la box puisqu'elle transmet aux root DNS les demandes qu'elle ne sait pas résoudre. A moins que ça ait changé dans les versions récentes ? Pas regardé ça depuis belle lurette 
