Oui, les FAI collectent les données de vos équipements domestiques !
23 septembre 2018
J’ai, à plusieurs reprises, été très surpris de la verbosité et du caractère intrusif de la Livebox sur mon réseau local. Depuis plus d’un an, je suis passé à la Livebox 3. Et, hier, j’ai refait un coup de WireShark sur ma station de travail. J’ai eu droit, de la part de la LiveBox, à des avalanches de requêtes de type :
- MDNS (UDP/5353) – Multicast
- LLMNR (UDP/5355) – Multicast
- BROWSER (UDP/137) -Broadcast
- SSDP (UDP/1900) – Multicast
- IGMP – Multicast
La collecte de données techniques
Officiellement, l’objet de ces requêtes est de collecter les noms des machines présentes sur le réseau local en les associant à la MAC de la machine au niveau de la Box. C’est aussi de détecter la présence de la Box TV. Comme Orange est une entreprise commerciale, je me demande si ces données ne font pas l’objet d’une collecte à des fins statistiques ou plus, si affinité.Rappelons, à cet effet, la loi de programmation militaire de 2014 qui permet aux autorités françaises de récupérer nos données.
A partir des adresses MAC, vous pouvez détecter les matériels et accessoirement les périphériques présents sur votre réseau. Il est, en effet, très difficile de couper le protocole ARP en IPv4 et le NDP en IPv6. Je me pose désormais la question de savoir si je ne devrais pas mettre en place une machine disposant de deux cartes Ethernet – ou un Vlan – pour étanchéifier mon réseau local. Imaginons, un petit malin, ayant découvert une sorte de Backdoor sur les Livebox équipant les millions de foyers français… Sauf sur le Wifi, mon Raspberry à lui seul ne suffit plus à me protéger de potentielles intrusions venant de mon fournisseur d’accès, malgré une configuration des pare-feux des stations de travail aux petits oignons.
Source : Assistance Orange – Informations Collectées
Sécurité / FAI, Livebox, Orange, Réseau local