Faille de sécurité des adaptateurs CPL: Conflit entre deux réseaux privés (Box Internet)
Bonjour,
Aujourd’hui je vous propose de découvrir une faille de sécurité des adaptateurs CPL installés dans un réseau privé à domicile. L’objectif de cet article est d’aider les lectrices et les lecteurs à corriger une faille de sécurité des adaptateurs CPL (courant porteur), inhérente au réseau électrique du domicile. Le but principal étant d’optimiser la sécurité de son réseau privé (Box Internet). Si comme moi vous avez deux abonnements internet (2 FAI différents: Orange et Numericable), alors vous vous êtes déjà confrontés à cette problématique de sécurité. Nous verrons plus tard la démarche à suivre pour justement éviter de se retrouver accidentellement connecter sur le mauvais réseau privé (la mauvaise Box Internet), via son réseau courant porteur (CPL) !
Nous aurons par la même occasion l’opportunité d’évoquer partiellement la sécurisation du réseau Wi-Fi à travers cet article, ainsi que l’optimisation du trafic que nous allons faire transiter entre les adaptateurs CPL.
La technologie utilisée par ces interfaces CPL s’appelle « courant porteur en ligne ou CPL« .
Le courant porteur CPL est-il la solution « miracle » ? La technologie du courant porteur CPL donnera pleine satisfaction dans la mesure où votre installation électrique est récente et aux normes. Dans cet article les plugs CPL de marque « TP-LINK TL-PA8015P » sont vendus pour fournir un débit théorique de 1200M.Bits/s. Pour atteindre de tels débits, la technologie CPL Gigabits ne peut fonctionner que sur des réseaux électriques avec 3 fils par prise (donc prise de terre). Nous verrons par la suite que la qualité du réseau électrique sur lequel j’ai réalisé cette installation CPL est intimement liée au bon fonctionnement du réseau CPL mis en place. De la même façon, le niveau du débit entre plug CPL dépendra aussi des équipements électriques branchés à proximité. Dans cette installation, les deux interfaces CPL sont branchées directement sur des prises électriques avec 3 fils, avec chacune une multiprises (5 prises). Après avoir branché plusieurs équipements électriques sur ces deux multiprises, j’ai constaté que le débit entre les deux interfaces CPL restait stable (en moyenne autour des 500M.bits/s). Il est à noter que durant la première installation des plugs CPL, un certain délai est nécessaire aux interfaces CPL pour obtenir un débit optimal.
Appairage et Sécurisation AES 128 bits des interfaces (plugs) CPL c’est quoi ?
Le standard « HomePlug AV » de ces interfaces TP-LINK utilise un chiffrement AES 128 bits (Advanced Encryption Standard) pour transmettre de façon sûre les données entre appareils CPL. Afin que tous les adaptateurs CPL puissent communiquer entre eux, ils doivent obligatoirement tous utiliser le même NMK (Network Membership Key). Dans le cas contraire, ils ne pourront pas décoder les données chiffrées transmises dans le réseau CPL. Le bouton Pair des plugs permet de paramétrer une connexion CPL sécurisée avec d’autres adaptateurs CPL compatibles HomePlug AV qui supportent la fonction d’appairage. L’appairage des plugs CPL s’effectue en appuyant successivement sur les boutons dédiés et situés sur chaque boitier CPL.
Il est clair que le chiffrement AES utilisé sur un réseau privé CPL est très sécurisé, mais il peut-être « cassé » ! . D’après les chercheurs de Microsoft, de l’Université belge de Leuven et de l’ENS, la réalisation d’un « système » permettant de casser un chiffrement AES 128 bits exigerait un trillion de machines capables de tester chacune un milliard de clés par seconde ! Le temps nécessaire à ces machines pour casser le chiffrement AES 128 bits prendrait approximativement deux milliards d’années pour récupérer une clé AES 128 bits !!! Vous pouvez dormir tranquille!
A propos de mon installation électrique, il est à noter qu’elle est au norme et protégée par un filtre surnommé « anti CPL » ! De la même façon, les adaptateurs CPL TP-LINK que j’utilise sont censés me protéger des courants porteurs voisins…
Table des matières
I. Déclaration de conformité de l’adaptateur CPL TP-LINK (utilisé dans cet article)
Comme vous pouvez le lire, les deux adaptateurs CPL de marque TP-LINK que j’ai branchés sur deux prises électriques de mon domicile sont très récents. Ils figurent parmi les meilleurs plugs CPL du marché au moment où j’écris cet article. Je tiens à préciser qu’aucune des deux interfaces CPL n’est pour l’instant branchée par câble réseau (RJ45) sur une de mes Box Internet (ici Livebox Orange: connexion sur l’administration de la Box Internet en http://192.168.1.1 )
II. Installation du pilote des deux interfaces CPL TP-LINK
L’installation est rapide et très simple puisqu’il n’y a pratiquement rien à faire, hormis cliquer sur « Suivant » et « Installer ». Nous allons voir ce que propose l’utilitaire des plugs CPL qui vient d’être installé. Nous remarquerons que le débit, suite à l’installation des interfaces CPL, est faible (47M.bits/s). Comme évoqué plus haut dans cet article, les interfaces CPL ont besoin d’un certain temps pour optimiser le débit sur le réseau électrique.
La fonction avancée « Paramètres de QoS » permet d’optimiser automatiquement ou manuellement la qualité de la bande passante et le débit en fonction du type d’utilisation. Avec une configuration correcte, des limitations de bande passante peuvent se révéler plus avantageuses. Les besoins de QoS diffèrent en fonction du type de données (Internet, Jeux en ligne, Audio ou Vidéo, Voix sur iP ). L’option « Par type d’application » propose les catégories qui nous permettent de définir quel type de trafic nous allons faire transiter par les adaptateur CPL, il suffit de sélectionner la catégorie adéquate. L’option « Affectation libre des priorités » permet aux catégories d’affecter des priorités par défaut aux balises VLAN et aux Bits ToS. Il est à noter que dans la norme HomePlug, CAP 3 est la priorité la plus élevée et CAP 0 la plus basse. Les valeurs affectées aux balises VLAN sont les valeurs par défaut lors du premier réglage.
III. Connexion automatique à Internet au terme de l’installation des interfaces CPL
Je souhaite ici réaliser un réseau CPL à partir de ma Livebox Orange. L’autre Box Internet Numéricable devra rester en dehors (isolé) de mon réseau CPL à installer sur ma Livebox Orange. Je vais donc ouvrir mon navigateur internet par habitude et que se passe-t-il d’après vous ?!? Bingo ! J’ai internet ! Voyons par quelle magie cela a-t-il été rendu possible !
Pour commencer nous allons lancer l’invite de commandes Windows en tapant les touches clavier « WINDOWS » + « R« , puis saisir ‘cmd‘ et valider par le bouton « OK« . Une invite de commandes s’ouvre. Tapons ‘ncpa.cpl’. Une nouvelle fenêtre s’ouvre affichant les connexions réseau de votre ordinateur. Ici la connexion réseau de ma carte réseau Ethernet est configurée en DHCP (attribution automatique d’une adresse IP interne):
Nous allons vérifier le détail des propriétés TCP/IP de cette connexion réseau ci-dessus en tapant dans l’invite de commandes Windows ‘ci-dessous) la commande ‘ipconfig« . Bingo ! Que découvrons-nous ? Une personne novice ne verra pas grand chose, sauf qu’ici je constate que la « Passerelle par défaut » est 192.168.0.1 ! C’est la passerelle par défaut de ma Box Numericable, et non celle de ma Livebox ! Vous me direz qu’il suffit simplement de changer de réseau privé en éteignant la Box Numericable pour que mes interfaces CPL se connectent sur ma Livebox Orange. Certes ! Sauf qu’il y a un problème. Suite à une coupure de courant, ou une coupure du service d’un FAI ou lors d’une relance d’appairage des plugs CPL, les interfaces CPL se connectent sur la mauvaise Box Internet ! Il va donc falloir résoudre ce conflit entre mes deux Box Internet et mon réseau CPL.
Allons vérifier les propriétés TCP/IP de ma connexion réseau (ordinateur) à l’aide de l’invite de commandes Windows en tapant ‘ipconfig’ (comme indiqué ci-dessous). Effectivement, ma connexion réseau est bien réalisé sur la mauvaise Box, en l’occurrence « Numericable », puisque la passerelle par défaut affichée est 192.168.0.1, celle de la Livebox Orange est 192.168.1.1
IV. Connexion via un navigateur internet à cette passerelle par défaut 192.168.0.1 affichée dans la configuration TCP/IP ci-dessus
Comme nous pouvons le constater ci-dessous, je peux accéder à l’Administration de la Box Numericable mais pas à celle de la Livebox Orange
V. Lançons par curiosité un Scan IP du réseau privé sur lequel mes interfaces CPL se sont connectées en l’occurrence la Box Numericable
Vous le constaterez, j’ai à ce stade de mon investigation (test) pu récupérer toutes les adresses IP internes des équipements (PC, Réseau etc.), afin de visualiser ce qu’il y a de connecté sur mon second réseau privé (Box Numericable)
VI. Comment procéder pour éviter cette faille de sécurité (CPL) ainsi qu’un conflit de Box Internet ?
Nous allons découvrir une façon de procéder pour éviter ces désagréments ! Nous allons donc sécuriser notre réseau privé et nos interfaces CPL.
Les étapes à suivre en amont:
- Branchement par câble réseau (RJ45) de la première interfaces CPL à la Box Internet (ici Livebox Orange)
- Installation du pilote des interfaces CPL sur l’ordinateur branché sur la deuxième interface CPL par câble réseau filaire RJ45
- Exécution de l’appairage des interfaces CPL (phase d’authentification et d’association ds interfaces CPL au réseau privé Livebox ici)
- Modification des propriétés TPC/IP de la connexion réseau Ethernet de l’ordinateur connecté (câble réseau RJ45) à une interface CPL
- Relance de l’appairage des plus CPL pour FORCER la carte réseau Ethernet à se connecter sur le bon réseau privé (ici la Livebox)
- Ouverture de l’Administration de la Box Internet de son domicile (son réseau privé) via un navigateur internet (ici: 192.168.1.1)
- Si ce n’est pas fait, veuillez changer le mot de passe d’Administration de votre Box internet pour empêcher un voisin de s’y connecter ! Attention ne confondez pas la clé de sécurité de votre réseau Wi-Fi avec l’Administration de votre Box Internet !
- Activation du filtrage MAC à partir de sa Box Internet (ici Livebox Orange)
- Modification du nom de réseau et du mot de passe des interfaces CPL suivi d’un nouvelle relance d’appairage des plugs CPL
VII. Réinstallation du pilote des Adaptateurs CPL
Bien évidemment, le plus simple est donc de reprendre depuis le début toute l’installation. Nous allons désinstaller le pilote CPL pour ensuite le réinstaller correctement.
Comme vous le voyez ci-dessous, j’ai choisi d’installer le pilote CPL uniquement sur un utilisateur Windows de mon ordinateur. Généralement on utilise qu’un seul compte utilisateur Windows. Dans l’éventualité où plusieurs compte Utilisateurs Windows sur votre PC devaient utiliser vos interfaces CPL, vous pouvez cocher « Tout le monde« . Personnellement, je pars du principe que seul un de mes comptes Utilisateurs Windows doit être autorisé à utiliser ce Plug CPL.
VIII. Appairage des deux adaptateurs CPL
La phase d’appairage automatique des adaptateurs CPL ne permettra pas la reconnexion de la carte réseau Ethernet de l’ordinateur à mon réseau privé (ici Box Internet Livebox Orange). Nous allons donc ouvrir l’invite de commandes Windows (touches clavier « WINDOWS » + « R« , taper ‘cmd puis « OK« , et taper la commande ‘ncpa.cpl‘ suivi de la touche « Entrée« )
IX. Modification des propriétés TCP/IP de notre connexion réseau (carte Ethernet ordinateur)
A cet instant, l’appairage n’a pas permis à l’ordinateur (carte réseau Ethernet) de se connecter à la bonne Box Internet (ici Livebox). La solution la plus efficace pour pouvoir reconnecter la carte réseau Ethernet de l’ordinateur sur le bon réseau privé (ici Livebox), est de modifier l’adressage TCP/IP dynamique en TCP/IP Statique (Carte Réseau Ethernet), dans le but de FORCER la connexion réseau de l’ordinateur à se connecter à la bonne Box Internet (Livebox), grâce à une seconde relance d’appairage des plugs CPL. Ci-dessous j’ai configuré un adressage TPC/IP Statique de ma carte réseau Ethernet en 192.168.1.31 avec la passerelle par défaut de ma Livebox 192.168.1.1 suivi des DNS du FAI Orange (Livebox).
Certains lectrices et lecteurs auront probablement des difficultés à connaître l’adresse IP d’Administration de leur Box Internet. La question que vous vous posez maintenant est: « Diki, comment fait-on pour connaître l’adresse IP de l’Administration de notre Box Internet ? «
Voici un petit tableau qui vous aidera à renseigner votre adressage TCP/IP en fonction de votre FAI:
What else ? Ha oui ! Les DNS, ça peut servir !:
Une fois cette opération effectuée, il ne restera plus qu’à relancer une nouvelle fois l’appairage des adaptateurs CPL pour recouvrer la connexion réseau sur le bon réseau privé (ici la Livebox Orange)
Adressage TPC/IP Statique de ma carte réseau Ethernet en 192.168.1.31 avec la passerelle par défaut de ma Livebox 192.168.1.1 suivi des DNS du FAI Orange
X. Ouverture de l’Administration de la Box Internet de son domicile (son réseau privé) via un navigateur internet (ici Livebox: 192.168.1.1)
Ici, il est très important de comprendre la différence entre un adressage IP dynamique (interne au réseau privé Box Internet) et un adressage IP statique. Sur l’Administration de ma Livebox ci-dessous, j’ai volontairement attribué à la carte réseau Ethernet de mon ordinateur une adresse IP interne statique 192.168.1.31 qui a été délivré par le serveur DHCP de la Box Interne (ici Livebox). Idéalement, si nous voulons sécuriser encore plus notre réseau privé (Box Internet), nous devons donc affecter à chaque équipement informatique ou multimédia ou Smartphone connectés une adresse IP interne statique. Pourquoi ?
Imaginons que l’inventaire de vos équipements visualisé sur votre réseau privé, via l’administration de votre Box Internet, affiche 10 équipements. Chacun de ces équipements possèdent une adresse matérielle appelée « Adresse MAC ». L’idée serait donc de désactiver le serveur DHCP de la Box Internet (attribution automatique des adresse IP internes) afin de pouvoir attribuer statiquement (manuellement) une adresse IP propre à chaque équipement connecté au réseau privé. Il suffirait donc de modifier l’adresse de début à (par exemple ici) 192.168.1.10 et l’adresse de fin à 192.168.1.20 (plage IP de 10 équipements seulement). La conséquence de cette configuration « statique » des adresses IP internes de vos équipements LIMITERAIT ainsi l’utilisation de votre réseau privé (Box Internet), exclusivement à vos 10 appareils connectés. Dans l’hypothèse où un voisin se connecterait accidentellement ou non à votre réseau CPL, votre Box Internet n’aura plus d’adresse IP disponible à attribuer à ce « voisin » (hypothétique) ! Cette solution pose évidemment une contrainte. Dans le cas où vous seriez amené à connecter un onzième équipement chez vous, vous serez contraint de rajouter une 11ème adresse IP dans votre plage IP disponible (adresse IP de fin deviendrait ici 192.168.1.11).
Pour ceux et celles qui seraient dépassés par ces termes techniques (adresse IP et MAC), par analogie, une adresse IP serait à l’image du nombre de chaises que vous auriez disposées autour de votre table d’invités chez vous. Je reprends l’exemple des 10 équipements connectés chez vous. Il y aurait donc 10 invités donc 10 chaises. Un onzième invité imprévu débarque ! Il vous faudra donc rajouter une 11ème chaise pour que ce onzième invité puisse s’attabler et profiter du repas ! Le principe de la plage d’adresse IP statique disponible évoquée ici est le même. N’importe quel autre équipement informatique qui se connecterait à votre réseau CPL n’aurait donc pas de place (de chaise) disponible sur votre plage d’adresse IP statique ! De la même façon, votre réseau Wi-Fi (Box Internet) rejetterait toute connexion à d’autres équipements, puisque vous avez limité à 10 le nombre de places (adresses IP) disponibles !
Oui mais ! Si un ou plusieurs invités finalement se désistent, cela libérerait donc leur place pour quelqu’un d’autre ? C’est ici que l’adresse MAC rentre en jeu ! Chaque place (chaise) a été attribué à une identité précise de chaque invité ! Cela signifie que la Box Internet connaît chaque identité (adresse MAC) de chaque équipement connecté au réseau privé (Box Internet), car elle a associé (« soudé ») chaque adresse IP (chaise invité) à chaque identité (adresse MAC). Les « autres » (hypothétiques) invités, eux, ne pourront pas se connecter puisque leur adresse MAC n’auront pas été autorisées. Par mesure de sécurité, il est impératif d’activer le « Filtrage MAC » de votre réseau Wi-Fi. Concernant l’adressage IP des équipements connectés par câble réseau, il suffira d’ajouter (associer) manuellement chaque adresse MAC de chaque matériel connecté à votre réseau privé (voir ci-dessous la fonctionnalité « Ajouter » un « Nom » une « adresse IP » et une « Adresse MAC« )
Activation du filtrage MAC du réseau Wi-Fi à partir de l’Administration de la Box Internet:
Pensez à vérifier que vous avez bien activé le filtrage MAC de votre Box Internet (ici Livebox) pour renforcer la sécurisation de votre réseau Wi-Fi à domicile. N’oubliez pas que pour accéder à l’administration de votre Box Internet, votre Ordinateur doit obligatoirement être branché par câble réseau (RJ45) car via une connexion Wi-Fi c’est impossible. Heureusement ! Sauf qu’ici nous avons démontré le contraire via un réseau courant porteur (CPL) d’où l’intérêt de cet article !
XI. Modification du nom de réseau par défaut et du mot de passe des interfaces CPL
Ici, je vous conseille de modifier le Nom du Réseau CPL. La modification du mot de passe est facultative. Comme nous l’avons abordé au début de cet article, cette technologie de courant porteur CPL est très sécurisée (chiffrement AES 128 bits)
Suite à la modification du nom de réseau des interfaces CPL, nous constatons que le plug CPL distant a disparu, étant donné qu’il était initialement paramétré sur le nom de réseau CPL par défaut. Il va donc falloir renouveler une séquence d’appairage des plugs CPL pour qu’ils puissent se détecter et s’authentifier:
Maintenant nous allons pouvoir modifier le nom du plug CPL distant et son mot de passe (différent du Plug CPL local):
Vous remarquerez ci-dessous que l’interface CPL nommée « LE-BLOG-DU-HACKER » (plug CPL local branché sur la carte réseau Ethernet de l’ordinateur) est bien connectée à l’autre interface CPL distante que j’ai renommée « PLUG-DISTANT« . Chaque Plug CPL possède donc un mot de passe propre et un nom différent sur le réseau CPL renommé « LE-BLOG-DU-HACKER » !
XII. Problèmes récurrents rencontrés lors de la connexion à l’Administration de la Box Internet
Souvent les utilisateurs (Clients FAI) ont du mal à se connecter via un navigateur internet à leur Box Internet par câble réseau Ethernet (RJ45 classique). Voici quelques éléments qu’il vous faudra vérifier si vous vous trouvez dans ce cas:
Vérifier que votre navigateur internet n’utilise pas un script de configuration automatique (VPN) ou un serveur Proxy. Si tel est le cas désactiver-les et activer « Détecter automatiquement les paramètres de connexion«
Vérifier que vous utilisez bien un câble réseau RJ45 droit standard pour connecter votre ordinateur à votre Box Internet
Vérifier à nouveau que vous avez saisi le bon adressage TCP/IP dans votre connexion réseau de votre ordinateur (voir chapitre XIII plus haut)
Vérifier la connexion entre votre Box Internet et votre Ordinateur avec la commande ‘ping‘: Touches clavier « WINDOWS » + « R« , taper ‘cmd‘ puis « OK« . Dans l’invite de commandes Windows taper ‘ping 192.168.x.y‘ suivi de la touche « Entrée » (192.168.x.y dépendra de votre FAI, voir le tableau plus haut). Voici ce que vous devriez obtenir si votre Box Internet communique bien avec votre PC:
Après toutes ces vérifications il peut s’avérer que votre problématique soit un peu plus compliquée. Dans ce cas nous allons devoir « attaquer à l’artillerie lourde », restez concentrés car nous allons de nouveau utiliser l’invite de commandes Windows (vu ci-dessus). Veuillez taper successivement les commandes suivantes dans l’invite de commandes:
ipconfig/flushdns (suivi de la touche « Entrée »)
netsh i i r (suivi de la touche « Entrée »)
netsh winsock reset (suivi de la touche « Entrée »)
ipconfig/release (suivi de la touche « Entrée »)
ipconfig/renew (suivi de la touche « Entrée »)
A ce stade des opérations « d’artillerie lourde », les paramètres TCP/IP de votre connexion réseau ont été entièrement réinitialisé. Vous êtes de nouveau en adressage TCP/IP dynamique (DHCP). Relancez votre navigateur internet et saisissez dans la barre d’adresse l’adresse IP d’Administration de votre Box Internet (voir tableau chapitre XIII plus haut). Normalement vous devriez avoir accès à l’administration de votre Box Internet !
Décidément, la malchance est avec vous ! Rien à faire ! Vous ne pouvez toujours pas vous connecter à l’Administration de votre box Internet ! Il ne vous reste plus qu’à lancer une restauration d’usine (remise à zéro) de votre Box Internet, malheureusement… Au préalable, veuillez éteindre votre décodeur TV. Puis débranchez la prise électrique de votre Box Internet durant 1 minute. Rebranchez la prise électrique de votre Box Internet. Chaque Box Internet, toute marque confondue, possède un bouton de « Réinitialisation » (Reset). Ce bouton « Reset » est souvent une sorte de petit trou, vous aurez donc besoin d’un trombone pour exécuter la remise à zéro de votre Box Internet. Insérez le trombone dans ce petit trou intitulé « Reset » (remise à zéro) et restez appuyé durant 5 secondes, puis retirez le trombone. Il ne vous reste plus qu’à patienter et prier ! (humour)
Conclusion
En toute honnêteté, affirmer qu’il est possible de sécuriser à 100% un réseau privé (Box Internet) couplé à un réseau CPL et Wi-Fi serait une aberration monumentale ! Disons franchement les choses. Cet article a simplement pour but de montrer quelques facettes de la sécurisation d’un réseau privé à domicile. Relativisons, sauf pour des cas particuliers (« voisin malveillant »…), il est beaucoup plus facile pour un « pirate » d’intercepter des données qui circulent « dans l’air » (Wi-Fi) que celles qui transitent par câble réseau (RJ45). Personnellement, afin de sécuriser au maximum un réseau privé à domicile, j’opterai pour une désactivation définitive du réseau Wi-Fi de la Box Internet pour passer tous les équipements informatiques (PC, Tablettes) sur un réseau courant porteur (CPL). Il est bien évident que si vous avez plusieurs pièces chez vous où vous avez l’habitude de surfer avec votre PC portable ou tablette, vous serez contraint d’équiper chaque pièce d’un Plug CPL, et de vous munir d’un câble réseau (RJ45) suffisamment long (5 mètres).
Je vais me répéter: N’oubliez pas que pour accéder à l’administration de votre Box Internet, votre Ordinateur doit obligatoirement être branché par câble réseau (RJ45) sur la Box Internet, car via une connexion Wi-Fi c’est impossible. Heureusement ! Sauf qu’ici nous avons démontré le contraire via un réseau courant porteur (CPL), d’où l’intérêt de cet article !
Je clôture cet article sur une touche d’humour comme d’habitude ! Dans mon cas, je n’ai besoin qu’un des deux Plug CPL dont un dans ma chambre sur lequel j’ai branché mes 4 ordinateurs. Vous vous doutez bien qu’à ce stade, ce n’est plus une simple chambre, mais un sorte de « garage Geek » ! (rires)
Dans l’attente de vos réactions et commentaires, je vous dis à très bientôt!
Diki
Article sous licence Creative Commons Attribution 2.0 FR
9 Commentaires
Cliquez ici pour ajouter un commentaire
Bonjour-Effectivement ces adaptateurs sont en vente à Carrefour. Pour le chiffrement cela paraît valable. Mais vous ne parlez pas de l’émission des ondes électromagnétiques.
Merci pour toutes vos informations.
Cordialement.
Bonjour Bernadoof,
Merci pour votre commentaires.
Effectivement, je n’ai pas souhaité élargir le débat sur le volet « sanitaire » et « santé sociale », mais puisque vous le soulevez je vous donne mon avis.
En toute honnêteté, si nous devions nous fier au peu d’information officielle disponible sur le risque sanitaire induit par les rayonnements électromagnétiques émis par le CPL, il me paraît utile de relativiser la situation.
Le modèle des interfaces CPL évoqué dans cet article possède un mode veille breveté réduisant automatiquement la consommation électrique de près de 85%, pas mal ! 🙂
Ce Liveplug CPL émet des rayonnements électromagnétique dans le secteur électrique autour des 30M.Htz, le GSM bombarde à hauteur de 1000M.Htz…, et le Wi-Fi se PROPULSE au sommet à 2200M.Htz! 🙂
Comme je l’ai exprimé dans cet article, j’ai opté chez moi pour une désactivation définitive de mon réseau Wi-Fi. Il est important d’avoir une installation électrique au norme et sécurisée. Les deux multiprises (parasurtenseurs) que j’utilise par exemple sont équipées de câble de grosse section blindée. Je n’ai aucune prise électrique à deux fils forcément 🙂
Cela me rappelle une anecdote. Je me souviens d’une journée entière à chercher une panne réseau dans une entreprise ! 🙂 J’ai finalement réussi à trouver en adoptant une « solution moyenne âgeuse ». Pièce par pièce, je me suis attelé à débrancher chaque équipement informatique, réseau et prises électriques. Bingo ! C’était le chargeur défectueux d’un PC portable qui renvoyait du SIGNAL dans le réseau électrique qui remontait jusqu’au modem/routeur et le Wi-Fi juste à côté dans la même pièce ! 🙂
Cordialement,
Diki
Bonjour Michel, je tiens juste à signaler une petite faute dans le dernier paragraphe de l’introduction, juste avant le 1) dans la phrase » Il est clair que le chiffrement AES utilisé sur un réseau privé CPL est très sécurisé, mais il peut-être « casser » ! »
ça serait plutôt » cassé » non ? 🙂 Merci encore pour tous ces articles !
Oups vraiment désolé je n’avais pas vu que ce n’était pas Michel mais Diki qui avait écrit cet article, mes excuses à vous !
Bonjour Alexis,
No souci et encore merci pour ce retour qui m’a permis de rectifier cette faute de saisie 🙂
Bon week-end.
Diki
Bonjour,
Merci pour cet article. J’ai un problème CPL auquel personne ne trouve de réponse, hormis, je n’ai jamais vu ça… Pourriez-vous m’aider :
J’habite une maison individuelle en ville, mitoyenne d’un côté. Ma box orange est installée dans la grande pièce du rez-de-chaussée, dont le mur est mitoyen. J’ai voulu installer une prise CPL à l’autre bout de cette pièce (mitoyenne sur toute sa longueur avec le voisin). J’ai donc branché ma prise CPL sur une prise électrique à côté de la box orange, et avec un cable RJ45 sur la box. J’ai branché ensuite la 2ème prise CPL à l’autre bout de la pièce (marque TP Link, PA4015P, AV600). J’ai branché mon ordinateur à la 2ème CPL. Les 3 voyants sont allumés. Je me suis connectée sur internet : bon fonctionnement. J’ai ouvert le portail orange et cliqué sur mail. El là, il m’a proposé l’adresse mail de mon voisin, et non la mienne ! Test effectué plusieurs fois, même résultat ! Qu’en pensez-vous ?
Je vous remercie de votre réponse, personne ne peut me donner d’indice… On est connecté au réseau électrique du voisin ????
Bien cordialement,
Chantal Guibert
Note: l’isolation des installations électriques entre voisins n’existe que si vous disposez de vos propres compteurs électriques. Il n’y a pas d’isolation des signaux CPL si vous n’avez que des « sous-compteurs » et que vous payez l’électricité directement à votre propriétaire qui se charge de relever ce sous-compteur pour ajouter l’électricité à vos charges (ce type de disposition est illégal dans un appartement loiué non meublé, mais « toléré » dans les meublés, car vous ne disposez pas du choix du fournisseur d’électricité). Mais il arrive que d’anciens compteurs électriques EDF n’ont PAS de filtre intégré pour isoler votre installation des fréquences du CPL avec vos voisins. Le cignal CPL cependant ne va pas loin sur les lignes et ne peut pas aller à des kilomètres de chez vous mais peut passer alors entre voisins proches.
D’où la *nécessité* de faire l’appairage des deux boitiers en appuyant sur les boutons de chacun (commencez par les appairer en les branchant sur deux prise proches pour pouvoir le faire sans bouger et constater de visu le changement d’état des témoins lumineux, les deux doivent passer au rouge, le premier boitier doit passer au vert clignotant quand vous appuyez sur le bouton et ne pas devenir vert fixe sinon il s’est apparairé à un voisin, appuyez alors sur le bouton du second CPL il doit alors passer an vert fixe en même temps que le premier appareil).
Ceci fait il faudra vérifier l’état de l’appairage en branchant en Ethernet Un PC de test, controlez que vous voyez bien les bons numéros de série sur l’interface ou regardez l’adresse MAC (indiqué sous la forme « XX:XX:XX:XX:XX », avec 6 groupes de deux chiffres ou lettres de A à F, séparés par des « : ») qui doit correspondre à l’étiquette sur le boitier CPL (parfois sur l’étiquette l’adresse MAC est indiquée sans les « : » séparateurs pour réduire la taille de l’étiquette: prenez votre smartphone et faites une photo de l’étiquette pour l’agrandir et la lire correctement). L’adresse MAC est normalement aussi présente sur le carton d’emballage de l’appareil.
Si les appareils sont appairés, même si vous captez les fréquences CPL de vos voisins dans vos prises, chacun se partagera la bande de fréquence mais n’utilisera la partie qui est cryptée avec les mêmes clés d’appairage: un des boitiers (déterminé au hasard) sert de « controleur » et sera la source de la clé d’autorisation des autres adapteurs CPL (les autres adaptateurs seront dits « récepteurs » mais en fait les deux sont identiques et émettent et reçoivenet mais c’est le CPL « ocntrpoleur qui attribue les roles, autorise les connexions, identifie et authentifient les connexions autorisées, récupèrent leurs adresses MAC chacun des CPL fait ensuite le pont pour transcrire les signaux reçus et décryptés vers son port Ethernet et transcrire les trames Ethernet en les cryptant avant de les envoyer dans le canal de fréquence attribué au réseau privé.
Le CPL est ni plus ni moins la même chose que le DSL, sauf que cela utilise des canaux de fréquence différents (les canaux ADSL/VDSL sont à des fréquences plus basses mais ont une portée en distance bien plus longue pouvant aller jusqu’à quelques kilomètres, le CPL subit une atténuation bien plus rapide sur des distances 10 fois plus courtes et ne fonctionne plus au delà d’une longueur de câble de 100 mètres où il est trop atténué, mais il convient sur une installation électrique à domicile dont les câbles atteignent rarement plus de quelques dizaines de mètres).
Selon les modèles d’adaptateurs CPL ils peuvent utiliser plus ou moins de canaux de fréquence et selon le niveau de bruit mesuré sur chaque canal, il pourra transmettre plus ou moins de bits de données par canal; l’appairement permet d’identifier les canaux de fréquence utilisé par chaque réseau privé authentifié (certains canaux seront en émission dans un sens d’autres en réception, les autres seront « blacklistés » s’ils ne sont pas appairés et qu’on les capte mais ne fournissent pas la clé d’apparairage nécessaire permettant de décrypter les flux.
Sur une installation électrioque ancienne, les canaux de fréquence utilisables et le niveau de bruit sur chacun peut être élevé, ce qui limite le nombre de bit transmissibles par instant sur chaque canal: c’est pour ça qu’il y a une phase d’apprentissage au début, permettant de faire des mesures du niveau de bruit, puis augmenter progressivement le nombre de bits codables simultanément sur chaque canal.
Si vous avez des voisins, ils ont le droit d’utiliser les canaux, vous vous les partagerez et le CPL établit un protocole permettant de faire ce partage « équitable »: chaque réseau demande à utiliser un sous-canal et fait une mesure de collision: si « personne » d’autre ne répond « désolé, j’ai besoin de ce canal », il prendra ce canal, puis ira tester le canal suivant, chacun fait ça (mais en tirant les numéros de canaux au hasard, et obtient la part qui lui revient; le protocole CPL fournit aussi un moyen pour un nouveau réseau arrivant d’obtenir des canaux lui aussi en avertissant les autres réseaux de sa présence pour renégocier les canaux: les autres devront réduire leur bande passante).
Mais au final tout le monde peut (et même doit) écouter tous les canaux CPL qu’il pourrait utiliser afin de répondre aux demandes de partage de bande passante. Mais avoir des canaux ne suffit pas car pour reconstituer un débit numérique utilisable il faut pouvoir le décrypter: c’est là qu’intervient le cryptage AES256 (généralement celui utilisé de base sur la plupart des adaptateurs CPL, mais certains appareils peuvent utiliser d’autres cryptages). Une fois décrypté, le flux obtenu est identique à un flux Ethernet en clair qu’il suffit ensuite de reporter sur la prise Ethernet de l’adaptateur.
Alors pour conclure: oui il est possible de capter le réseau CPL d’un voisin si le voisin a les mêmes types d’adapteurs CPL que toi, et si ni toi ni lui n’a personnalisé les clés d’autorisation par défaut. Un adaptateur CPL en effet cherche d’abord a s’appairer à un « controleur » CPL existant et si ce controleur accepte la connexion, ton adaptateur s’allulme aussitêt au vert alors que t u n’as pas fait l’appairage. Quand tu branche ton deuxième CPL, il fait la même chose, donc vous avez alors 4 CPL en tout sur le même réseau (dont le CPL « controleur » de ton voisin, les 3 autres étant des récepteurs). Le CPL le sait pas que c’et un voisin, pour lui c’est comme si tu ajoutais des CPL supplémentaires sur ton réseau existant!
Quand tu appuies sur le bouton d’appairage, le CPL va tenter de localiser un autre controleur (il garde en mémoire l’identité du controleur CPL précédent pour ignorer ses réponses) jusqu’à ce qu’un autre CPL (celui que tu veux appairer) se connecte et voit qu’il y a deux controleurs CPL présents mais une seul en demande d’appairage: si tu acceptes en appuyant son bouton, les deux formeront une nouvelle paire. Le réseau électrique supprtera donc deux réseaux différents (chacun des deux réseau percoit les signaux de l’autre, mais les ignore car ils n’uitilisernt pas les mêmes clés de cryptage et le signal décrypté obtenu ne peut pas forme pas un flux Ethernet valide).
Si tu as une installation électrique privée (avec ton comtpeur ERDF et non pas un sous-compteur) et tes propres factures d’énergie de ce fournisseur, tu ne devrais pas être dans cette situation: il te faudra changer de compteur trop vieux (datant au moins les années 1960 ou avant, les compteurs après les années 1970 disposent tous de filtres d’isolation, au départ pas prévu pour le CPL mais pour protéger l’équipement, mais c’est ce qui a permis aussi de développer la technique du CPL car le filtre ne laissait pas passer entre le réseau usager et le réseau du fournisseur que les fréquences basses: l’énergie est fournie en 50 Hertz, mais il y a eu très tôt des « télésignaux » de télécommande pour le basculement heure pleine/heure creuse ou le délestage de réseau en arrêtant des installations trop gourmandes en énergie comme les engins industriels, des pompes, des filtres d’épuration de l’eau, des fours, de grosses installations de chauffage ou de climatisation commercial, des éclairages publics ou de commander leur mise en arrêt progressive… cela fonctionne avec des signaux autour de 10 kHz, et un filtre d’isolation coupant toutes les autres fréquences au delà des 500Hz à 1000 Hz a été installé: le CPL utilisant les fréquences autour de 30KHz, il ne peut pas passer au travers, mais si tu as juste un sous-compteur privé, il n’y a pas ces filtres et le signal passe alors d’un voisin à l’autre via leurs compteurs anciens).
Si tu en fais la demande ERDF/ENEDIS viendra chez toi te le remplacer… par un nouveau compteur « LINKY » (vert anis) qui est totalement compatible avec le CPL et t’isolera efficacement du CPL de tes voisins (d’autant plus que le LINKY a aussi besoin de son propre CPL indépendant sur le réseau du fournisseur, et qu’il va donc nécessairement isoler les deux réseaux CPL: ton réseau privé et celui de la télémesure LINKY). Il installera également un filtre sur les lignes électriques des voisins évitant les voisins de polluer la télémesure LINKY, à moins qu’il décide d’installer un LINKY aussi chez eux! Note qu’on ne te donnera pas le choix du compteur, ce ne sera pas un des derniers compteurs installés avant, mais bien un compteur LINKY numérique à télémesure (même si le réseau du fournisseur n’est pas encore prêt à utiliser cette télémesure, il le fera quand il le voudra car il doit le faire avant fin 2021 pour toutes les installations équipées, en installant les équipements sur son réseau en amont pour la collecte sur tout le territoire, en revanche il n’a pas le droit de l’installer sur une propriété privée sans ton accord, mais il dispose d’un droit de contrôle une fois par an et c’est à ce moment là, ou au moment du changement de contrat d’énergie ou de fournisseur, qu’on vient t’installer ce compteur et tu ne peux pas t’y opposer, de même en cas de mesure de restriction suite à des défauts de paiement si on vient limiter ton usage, le changement aura lieu en même temps que la restriction appliquée).
salut michel et bonne soirée voici une façon de faire un piratage cpl que peut de gens savent le cpl courant poteur en ligne
le cpl est une technologie concurrent du wi-fi. qui elle utilise les micro ondes cette technologie est utilisée de longue date par les
opérateurs électriques. pour faire passer des information de maintenance et d’exploitation sur le réseau comme le
basculement heure pleines heures creuses. les avantages du cpl le cpl permet un meilleur débit de transmissions.
de données que le wi-fi sa portée est généralement meilleure. et les risques de piratage sont réduits dans le cas du moins
des nouvelles installations car les compteurs. d’anciennes générations compteurs qui ne son pas numériques
laissent toute fois passer les ondes le réseau devient alors accessible de l’extérieur. pirater le cpl de son voisin? oui dans certaines
conditions si l’on dispose d’une box internet avec décodeur tv. on utilisera des prises courant porteur en ligne pour
interconnecter les deux. c’est en effet la solution la plus simple et qui offre la meilleure qualité de débit.
mais il faut savoir qu’en faisant cela l’on augmente considérablement le risque de se faire pirater son accès internet.voire même
de se faire espionner! les compteurs électriques n’isolent pas le trafic. la méthode repose tout d’abord sur une faille dans le
réseau électrique lui même. contrairement à ce que l’on pourrait penser les signaux cpl ne son pas arrêtés par les compteurs
électriques. seules les plus récent sont capables de les filtrer. quand les compteurs sont plus anciens on arrive à capter
les signaux. d’appartements voisins voire même au niveau de tout un immeuble. entre deux prises cpl le trafic circule
par le courant électrique de manière chiffré. le cpl permet un meilleur débit de transmission de donnée que le wi-fi la
portée est généralement meilleur et les risques. de piratage sont réduits dans le cas des nouvelles. installations.
mais capter les signaux ne suffit pas pour s’introduire dans un flux cpl. car ce dernier est plutôt bien chiffré
certes.mais certains utilisateurs négligents oublient d’activer l’appairage de sécurité qui par une simple pression de bouton
permet de générer une nouvelle clé de chiffrement. dans ce cas le mot de passe du réseau est celui défini par défaut.
souvent il s’agit de home plug ou home plugav l’accès au réseau est alors immédiat. la prise cpl pirate s’associe
automatiquement aux autres. et l’on peut surfer gratuitement sur internet. mais comment faire quant une nouvelle clé
a bien été définie. en approfondissant nos recherches ont découvre que la prise cpl dispose d’un mot de passe unique
baptisé direct access key qui est affiché sur le boîtier. celui-ci permet de changer la clé de chiffrement entre les prises
cpl à condition d’envoyer la bonne requête. à travers le réseau électrique set encryption key resquest. la principale
difficulté reste donc à trouver ces fameux dak. autrement que de s’introduire par effraction dans un appartement
évidemment. des codes intéressants se trouvent sur les prises. là encore une nouvelle découverte peut être faite
pour les prises. cpl basées sur le chipset qualcomm atheros qui est l’un des plus diffusés. il se trouve que le dak
est un dérivé de l’adresse mac de l’adaptateur. et qui plus est l’algorithme de dérivation est librement accessible
voilà qui est bien pratique. car il existe par ailleurs une requête spécial dans le standard home plugav qui
permet de récupérer automatiquement l’adresse mac d’une prise cpl branchée sur un routeur modem.
en résumé pour ceux qui n’auraient pas bien suivi la démarche n’importe.qui dans un immeuble peut se brancher
sur l’internet.de son voisin à condition que celui-ci dispose d’un cpl. basé sur qualcomm atheros . et que les compteurs
électriques ne soit pas trop récents. la faute en revient aux fabricants qui utilise tous le même algorithme.
de dérivation car il leur est fourni par qualcomm. ils devrait utiliser leur propre algorithme. souligne l’ingénieur.
Bonjour, et merci pour votre article très intéressant, vous écrivez en début d’article :
« A propos de mon installation électrique, il est à noter qu’elle est au norme et protégée par un filtre surnommé « anti CPL » »
J’aimerais en savoir plus sur ce filtre sur vous voulez bien.
Egalement, je vois que l’interface d’admin du CPL TP-LINK que vous utilisez parle de VLAN tagging, est-ce que ce modèle est capable de faire du VLAN tagging de lui-même ou est-ce uniquement pour faire de la Qualité de Service en priorisant les flux comme je le pense ?