Par hoper le jeudi 13 mars 2014, 11:06 – Geekitude – Lien permanent
Merci le DLNA
J’avais déjà parlé du DLNA. Un truc foireux, sous ensemble de quelque chose de pire : l’upnp. Mais pour ceux qui aiment la bidouille, il doit vraiment y avoir moyen de s’amuser… Explications.
Du fun avec les téléviseurs
Toutes les télés avec une prise réseau sont des « renderers » dlna. Autrement dit, elles savent afficher ce qu’un « contrôleur » dlna leur demandera d’afficher. Bien sur, il existe un mécanisme de permissions, mais vous comprenez bien que ce serait trop compliqué pour le commun des mortels de gérer ce genre de chose. Du coup, sur ma télé comme sur probablement toutes les autres, tout est ouvert par défaut. A partir de la c’est facile, vous prenez un serveur/contrôleur dlna sur votre téléphone (par exemple BubbleUPnP), et en deux clics vous ordonnez à votre télé d’afficher n’importe quelle vidéo. Faites le test sur votre femme en train regarder tranquillement une chaine quelconque et balancer lui une vidéo d’Anonymous à la place, ça devrait faire son petit effet.
Du moins fun avec les routeurs
Problème, ce manque de sécurité se retrouve sur tous les appareils utilisant UPnP, et ils sont très nombreux, à commencer par tous les routeurs grand publique, les points d’accès etc. Et ne croyez pas qu’il faut être forcément être déjà connecté sur le réseau local pour profiter de ces vulnérabilités. Beaucoup sont exploitables à distance.
Parfois, ce n’est même pas une faille dans le protocole, mais juste l’équipement qui accepte de faire tout ce qu’on lui demande sans poser de questions. Je n’ai pas testé personnellement, mais la lecture de cette page à propos d’un petit utilitaire en ligne de commande permettant de modifier la configuration des routeurs ne m’a pas vraiment rassuré.
Il existe aussi des outils graphiques, ici UPnP Inspector :
Le top pour simplement scanner un réseau
Vous vous souvenez du temps ou il fallait lancer un nmap sur une plage d’ip et attendre des plombes avant de savoir ce qu’il y avait dans le réseau scanné ? C’est du passé. En utilisant le protocole SSDP (Simple Service Discovery Protocol), une couche d’UPnP, vous pourrez cartographier un réseau en une fraction de seconde, et de façon beaucoup plus précise qu’en utilisant le fingerprinting tcp de nmap.
Sous linux, installez le paquet « gupnp-tools ». Puis lancez la commande : » gssdp-discover –timeout 5″, ce qui lancera un scan du réseau pendant 5 secondes, et admirez le résultat. Chez moi il m’a tout de suite trouvé toutes les machines linux (demon avahi), windows, la freebox, le point d’accès wifi et l’imprimante. Tout ce qui était connecté. Avec en prime les urls d’accès aux services donnant encore plus de détail : Modèles, numéros de séries etc… C’est beau le progrès.
Conclusion
Au niveau des routeurs et des box adsl, vous devez absolument désactiver tout ce qui porte le nom d’UPnP ou de DLNA. Pour les autres équipements, vous faites comme vous voulez :p
Bonjour,
J’utilise ma FB pour lire les vidéos depuis mon NAS Synology.
Si je désactive le DLNA, je ne pourrais donc plus les lire.
Ai-je bien tout compris ?
Du coup, quelle solution ai-je pour continuer à mater mes films ?
Merci d’avance.
Hello,
Pour info, j’ai voulu tester le gssdp_discover, mais ni le paquet gupnp-tools (ni même le gssdp-tools) ne me propose cette commande !
Cela dit, ca doit venir de mon système un peu vétuste 🙂
@Bill2
Il ne faut pas confondre la freebox player et la freebox server. Dans ton cas, tu utilise le player pour streamer des contenus présent sur le serveur dlna du NAS synology. Tu n’utilise donc pas les fonctions UPnP de la freebox server que tu peux donc désactiver, en particulier celles ayant trait au routage. Voir dans les paramètres avancés / Réseau local de la freebox, ici en rouge :
@Nono : Ma machine tourne sous Debian 7, il est tout à fait possible que cette commande ne soit pas présente dans des versions plus ancienne.
Ok, merci pour l’info.
Effectivement, j’ai tout confondu aujourd’hui 🙂
Snif j’ai essayé au boulot la commande que tu donne et je n’ai eu aucun résultat, il a scanné en premier sur une interface virtuelle, en ajoutant un petit -i eth0 j’ai tout découvert!
Je n’ai pas bien compris cet article. Il s’agit d’une télé ou d’un adsl? Ce que j’ai compris c’est que cet article parle un peu des deux. Pour la télé c’est une farce et pour l’adsl c’est un système de sécurité?
Je ne sais pas ce que tu appelle un « adsl ». Il s’agit de pointer les grosses failles de sécurité d’un protocole utilisé maintenant presque partout : Le DLNA. Si le fait de pouvoir envoyer une vidéo à uné télé, vidéo qu’elle va immédiatement se mettre à diffuser quel que soit l’appareil qui lui envoi n’est pas forcément trop grave (encore que), le fait de pouvoir, via le même protocole, modifier la configuration d’un routeur/firewall est déjà plus problématique. Ce protocole permet aussi très rapidement de découvrir en un temps record tout ce qui se trouve sur le réseau.
Mouais.
Ok, c’est pas sécurisé à 100 % mais de là à tout désactiver… vu l’utilité, ça m’embêterait.
Par contre, personne n’a pensé à faire évoluer ces 2 protocoles ?
En fait, c’est plutôt le contraire… Transférer des fichiers on sait faire depuis un bout de temps. Et de façon sécurisé en plus 🙂
Le truc de DLNA c’est de faire en sorte que ça fonctionne chez n’importe qui sans avoir à configurer quoi que ce soit. Donc forcément, zéro sécurité.
C’est pas vraiment que ce soit mal fait comme truc (quoi que) c’est surtout
que de toute façon son but à la base est que personne n’ai à toucher quoi que
ce soit (trop compliqué pour monsieur tout le monde de configurer proprement
un serveur de fichier, donc …)
Après, UPNP ça va évidement bien au dela que le simple transfert de fichier.
Mais a t’on vraiment besoin de tout ça ? (ouvertures automatiques des ports de comunications etc ?) Vraiment j’en doute.