Re: Freeplayer et securité

トップ ページ

このメッセージに返信
著者: Olivier Allard-Jacquin
日付:  
To: guilde
古いトピック: Re: Attaques SSH
題目: Re: Freeplayer et securité
    Bonsoir Jérôme,

Jérôme a écrit :
> Au fait, y en a-t-il qui ont des opinions sur le "freeplayer" et les "mods"
> associés? Personnellement je ne sens pas trop bien ce truc qui permet
> d'accéder à ses fichiers sur la télé en passant par le wifi, sauf a avoir un
> ordinateur que pour le "home cinéma". Mais j'aimerais avoir des arguments.


    Je n'ai pas de Freebox à coté de la télé, donc je n'ai pas ressenti le
besoin d'utiliser le freeplayer. Cependant, je suis excessivement
méfiant vis à vis de ce soft.


    Certes, il est en GPL, et les sources sont disponibles. Mais comme tu
le dis, il a accès à tout le disque de la machine (même si il n'en
"exporte" vers la Freebox qu'une certaine partie). Il peut même accéder
à tout le réseau interne de l'habitat, et émettre les paquets qu'il veut
dans le LAN, ou vers Internet.


    De plus, personne ne sait ce qui tourne sur la Freebox, et on ne peut
pas savoir si la liste du contenu des répertoires exportés par le
freeplayer n'est finalement pas envoyé aux serveurs de Free. Attention,
je ne dis pas que Free à accès à la liste des CD/DVD/musiques/autres
accessible depuis le Freeplayer. Je dis simplement que, techniquement
parlant, la freebox peut l'envoyer à Free, sans que personne ne s'en
rende compte.


    Ceci étant, on peut "limiter la casse" en terme d'indiscrétions de la
part du freeplayer :
- faire tourner le Freeplayer avec les droits d'un utilisateur
spécifique ("toto"), n'ayant pas accès (du fait des droits du file
système) aux répertoires sensibles (/home/, /etc/, /mnt/, /media/, etc).


- plus encore, lancer le freeplayer dans un chroot minimaliste
(suffisant quand même pour qu'il puisse utiliser les librairies dont il
a besoin), en ne lui donnant accès qu'à un seul répertoire de contenu
multimédia.

- anonymiser les noms des fichiers (exemple: "Vivaldi - Les quatres
saisons.mp3" -> "V - 0001.mp3"), voir supprimer les tags internes des
fichiers ("ID3" par exemple pour les MP3).

- coté firewall (Netfilter/iptables), on peut faire des choses
intéressantes. Comme par exemple, utiliser le paramètre "--owner"
d'iptables, afin de n'autoriser les paquets émis/reçus par l'utilisateur
lançant Freeplayer ("toto" dans mon exemple) qu'à dialoguer uniquement
avec la Freebox. Ainsi, on empêche le Freeplayer de faire des connexions
réseaux "anormales".

- après, si on veut vraiment partir dans des délires, on peut lancer le
freeplayer dans un serveur Linux virtuel... Mais c'est un peu utiliser
un marteau-pilon pour écraser une mouche !!! ;)

    Bref, il y a quelques solutions afin, non pas d'avoir confiance au
Freeplayer, mais de limiter la casse si celui-ci s'amuse à faire plus de
choses que ce qu'il est supposé faire.


    Je conclurais par préciser que je n'ai rien de particulier contre Free.
J'ai juste une certaine méfiance vis à vis d'un fournisseur dont je
préfère qu'il arrête ses activités au connecteur LAN de ma Freebox.


                        Olivier
-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  http://olivieraj.free.fr/
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!