Oui, les FAI collectent les données de vos équipements domestiques !

J’ai, à plusieurs reprises, été très surpris de la verbosité et du caractère intrusif de la Livebox sur mon réseau local. Depuis plus d’un an, je suis passé à la Livebox 3. Et, hier, j’ai refait un coup de WireShark sur ma station de travail. J’ai eu droit, de la part de la LiveBox, à des  avalanches de requêtes de type :

Et si les Box servaient aux FAI à collecter des informations sur nos réseaux ?

La collecte de données techniques

Officiellement, l’objet de ces requêtes est de collecter les noms des machines présentes sur le réseau local en les associant à la MAC de la machine au niveau de la Box. C’est aussi de détecter la présence de la Box TV. Comme Orange est une entreprise commerciale, je me demande si ces données ne font pas l’objet d’une collecte à des fins statistiques ou plus, si affinité.Rappelons, à cet effet, la loi de programmation militaire de 2014 qui permet aux autorités françaises de récupérer nos données.

A partir des adresses MAC, vous pouvez détecter les matériels et accessoirement les périphériques présents sur votre réseau. Il est, en effet, très difficile de couper le protocole ARP en IPv4 et le NDP en IPv6. Je me pose désormais la question de savoir si je ne devrais pas mettre en place une machine disposant de deux cartes Ethernet – ou un Vlan – pour étanchéifier mon réseau local. Imaginons, un petit malin, ayant découvert une sorte de Backdoor sur les Livebox équipant les millions de foyers français… Sauf sur le Wifi, mon Raspberry à lui seul ne suffit plus à me protéger de potentielles intrusions venant de mon fournisseur d’accès, malgré une configuration des pare-feux des stations de travail aux petits oignons.

Source : Assistance Orange – Informations Collectées

Sécurité  / FAI Livebox Orange Réseau Wireshark 

Commentaires

Oui par défaut orange espionne le réseau local de ses abonnés.

https://espace-client.orange.fr/compte/preferences
Dixit Rubrique « sur votre livebox » :

Autoriser le recueil des informations techniques de vos équipements pour nous permettre de vous proposer des solutions de dépannage ou d’optimisation de votre réseau

Plus d’infos :

Orange collecte les informations techniques suivantes pour chaque équipement connecté à votre Livebox : le nom de l’équipement, son adresse MAC, son adresse IP, la nature du lien entre cet équipement et votre Livebox (wifi, Ethernet,…), et les informations relatives à la qualité des connexions entre vos équipements et votre Livebox.
Les informations techniques collectées par Orange ne sont en aucun cas utilisées à des fins commerciales.

J’ai personnellement désactiver cette option qui devrait plutôt être en opt-out par défaut…

@Leflou

J’ai apporté des modifications à mon billet de manière à intégrer vos observations judicieuses !

avec un tel titre, quid des autres FAI ?!

@sticky-fingers

C’est simple. Tu envoies WireShark sur ton système Linux ou Windows ou Mac OS X. Et tu regardes si ta box envoie le même type de requêtes que celles présentes sur la copie d’écran ! J’ai pris Orange comme exemple, puisque je suis chez Orange chez moi ainsi qu’à la Mairie. J’attends ton retour.

Bonjour Denis,

Ce que tu montres, n’est pas pire que chez les autres FAI : je suis un ancien d’Orange qui a travaillé un peu sur le sujet; j’ai pu regarder aussi ce que faisaient à minima les SFRBox, FreeBox mais pas BBox ;-) et on a le même genre de trames…
Tu n’as même peut être même pas tout vu : Orange utilise par exemple un proto plus haut qui s’appelle TR-069 et qui permet de l’aider à piloter/administrer/remonter des infos sur les objets compatible (qu’il commercialise)…
Enfin, il y a effectivement des données qui remontent, mais uniquement dans le but de comprendre ce que font les clients, comprendre ce qu’il y a dans leurs installation « lan » pour proposer des produits et services qui puissent améliorer la vie de l’utilisateur. Quand au fait que cela puisse remonter à des instances supérieur… l’armée/police/état… oui très certainement, c’est une obligation de tout opérateur, mais cela reste limité au vu du type d’info remontées; tout cela ne sera pas remonté par contre aux commerciaux : peu de personnes le savent, mais Orange a une obligation de ne pas croiser ses bases commerciales et techniques, cela est regardé de prêt par l’ARCEP

@Tirguy

Ce sont les requêtes SSDP qui recherchent de l’UPNP.

Je suis d’accord avec Tirguy. Tous les FAI font ça. Je suis chez OVH Telecom et il y a beaucoup moins de requêtes que pour Orange.

Laisser un commentaire

(requis)

(requis)