(modifié le 3 février 2016 à 0:56)

Free vient de publier une nouvelle version de Freebox OS à destination des freebox v6 révolution : Freebox OS 3.3. Et c'est une excellente nouvelle !

freebox-v6-letsencrypt

Il est maintenant possible d'accéder à l'interface à distance via HTTPS, ainsi qu'en FTPES (ftp chiffré).

Il est possible de choisir votre propre certificat avec une clé ECDSA ou RSA, ou bien de laisser Let's Encrypt s'occuper de tout ça.

letsencrypt-freebox-configuration

Avec un nom de domaine personnel l'étape 2 est la suivante :

ndd-perso-freebox-letsencrypt

Et voilà le résultat :

ndd-freebox-letsencrypt

Il faudra se dépecher pour réserver un domaine *.freeboxos.fr qui vous plaise, à moins que free ajoute d'autre domaines avec le temps. Notez qu'un port secondaire est automatiquement ajouté pour HTTPS, le port HTTPS déjà défini redirigera vers celui en HTTPS. Le port HTTPS est configurable dans les paramètres > configuration.

L'accès FTP à distance est maintenant possible grâce à FTPES (ftp explicite TLS) qui garantit un accès sur un canal chiffré :

freebox-ftpes

Auparavant il fallait se connecter en VPN à la Freebox pour pouvoir atteindre son serveur FTP. Là encore tout fonctionne bien et la notification du certificat Let's Encrypt remonte bien avec le client FileZilla.

Free a inséré un garde fou et n'active l'accès FTP à distance que si votre mot de passe est assez complexe (on ne connait pas les critères). Si vous n'avez pas besoin de cet accès ne l'ouvrez pas, question de sécurité. Bien que les ports à l'activation soit générés aléatoirement rien n'empêche un robot de scanner l'ensemble des ports de votre box. Notez qu'il est impossible de filtrer selon l'ip source.

En fouillant un peu j'ai réussi à générer cette page qui nous indique que c'est un nginx qui fait tourner le serveur web de la freebox :

freebox-nginx

Une bonne chose donc. Tout comme les ciphers suite qui sont au top, on a du sha256 et un niveau de sécurité maximal (il faut un SSL EV pour passer au dernier cran).

Rien à redire sur la sécurité non plus, c'est propre. Pour chipoter un peu on pourrait quand même dire qu'il faudrait désactiver TLS 1.0 et TLS 1.1 pour ne laisser que TLS 1.2 😉 On obtient quand même un grade A chez Qualys (modifier le port en 443 pour faire le test).

Bravo à Free pour avoir implémenter aussi rapidement Let's Encrypt grâce, tout en étant sponsor Silver.

Auteur : Mr Xhark

Fondateur du blog et passionné par les nouvelles techno, suivez-moi sur twitter