Il était une fois un abonné Orange (moi en l'occurence) qui souhaitait ouvrir un accès GPRS afin de pouvoir administrer tranquillement ses systèmes d'informations et en toute liberté, à partir d'un ordinateur portable relié en Bluetooth à un téléphone portable lui même relié à l'Internet par GPRS.
L'ordinateur était fin prêt et communiquait joyeusement avec le téléphone par Bluetooth. Il ne manquait que l'accès GPRS...
Rendez vous donc sur l'extranet d'Orange, "Mon compte", "Mes options" et souscription de l'option GPRS. Avant les 48 heures annoncées pour la mises en route automatique, l'option GPRS était activée. C'était tellement beau que j'ai failli pleurer ;-) .
Là ou ça ce gâte, c'est lors de la séance d'essai. Rendez vous sur le web après avoir mis en oeuvre une connexion Bluetooth GPRS entre le téléphone: ça marche. Deuxième tentative avec SSH: pas de réponse.
Après une petite investigation, certains ports (dont le 22 d'SSH) semblent fermés côté opérateur.
Appel donc au support technique qui - après 10 minutes - déclare forfait et me transfère sur le service professionnel, qui lui même, après le même délai, me transfère sur le service mutimédia.
Là, surprise, mon interlocutrice m'annonce que seuls quelques ports sont ouverts, qu'elle ne peut pas m'en donner la liste pour des raisons de sécurité, et que c'est dommage car c'était public sur le site web et ils ont eu l'ordre de les retirer la semaine dernière "parce qu'ils ont eu un problème" (je cite...).
Comble d'ironie, elle me précise que seuls les abonnements entreprise on un accès complet à tous les ports. Les abonnements classiques ou pro: non, même si ils sont souscrit par des entreprises. Ont ils donc moins de problèmes avec les entreprises qu'avec les particuliers?
J'essaie d'avoir plus d'information et mon interlocutrice me dit qu'elle peut me dire ce qui est ouvert, si je lui nomme les ports, un par un. Oh surprise, telnet, ftp sont ouverts, là ou ssh ne l'est pas. De plus aucune possibilité pour faire ouvrir les ports manuellement.
Moralité:
- FT pense visiblement que Telnet serait donc plus sûr que SSH
- FT pense que fermer des ports sur un firewall évite tous les maux (peut être faudrait il leur expliquer qu'un firewall statefull N'EST PAS UNE GARANTIE DE SECURITE)
- FT pense que ne pas communiquer la liste des ports ouverts empêche de les découvrir (pour vivre heureux, vivons cachés!). Peut être serait il temps de leur parler de NMAP...
- FT pense que Madame Michu (célèbre cible du marketing: la ménagère de moins de 50 ans), ne fait que du web et de la messagerie ou alors qu'elle est trop balaise en cracking et qu'il faut lui mettre un firewall...
Cela ressemble de près à certaines stratégies de sécurité pratiquées par certains éditeurs de logiciels propriétaires qui les ont conduit à affronter seuls certaines failles de sécurité... On est bien loin de la philosophie des logiciels libres et de ses implications sur la sécurité!
Amis administrateurs, il va nous falloir attendre encore un peu avant d'utiliser efficacement le GPRS! En attendant, affutez vos proxy socks ou vos tunnneling ip afin d'administrer vos systèmes par GPRS! En effet, le firewall d'orange supporte très bien l'encapsulation de protocoles sur les ports ouverts.