Les portiers téléphoniques : Noralsy
Auteur : CraneFly
Zine : Rafale #6
I - Introduction
D'habitude, pour phreaker, quelque soit la box utilisée ou le but recherché, on
passe par une borne téléphonique, une cabine, une ligne, ou on téléphone à des
VMB et autres.
Dans ce texte, nous allons expliquer une nouvelle petite expérience, qui
consiste à phreaker des "portiers téléphoniques", et via des "portiers
téléphoniques".
Il va donc y avoir deux chapitres supplémentaires à cette introduction :
II - Accès au menu par ligne téléphonique
III - Accès physique
Mais qu'est-ce que c'est que ça, un portier téléphonique, mmh ? Bon ce qu'on
appelle un "portier" dans le jargon du métier :p, c'est ces ptits bazarres qui
permettent d'appuyer sur un bouton à l'extérieur d'un bâtiment et de contacter
une personne à l'intérieur de celui-ci. Certains de ces portiers permettent
également de rentrer un code pour ouvrir une serrure éléctrique. Parfois il ne
s'agit même que de ça.
Un portier téléphonique va utiliser une ligne ... téléphonique :)
L'exemple que nous allons utiliser dans ce texte est celui des portiers
téléphoniques "Noralsy". Certaines choses vont donc être dites dans ce texte
qui pourraient être prisent comme des généralités, mais qui ne seront pas
reproductibles sur certains portiers téléphoniques d'autres marques (en
particulier bien sûr les commandes du menu), et le contraire aussi.
Bien sûr, tout ceci est à titre purement informatif.
Il y a plusieurs types de portiers téléphoniques Noralsy :
- La gamme "Portelcode"
- Le Pancode-M, qui a sur sa face un bouton d'appel et un clavier numérique
- Les Pantel (-M et -P), qui n'ont sur la face qu'un bouton et un couple
micro/haut-parleur
- Les Pancam (-T et -TB), qui ont sur leur face la même chose que les Pantel,
avec une caméra en plus.
Un système de portier téléphonique devient interessant si il est d'une façon ou
d'une autre relié à une ligne extérieure. Soit directement via une ligne
téléphonique, soit via une PABX.
II - Accès au menu par ligne téléphonique
Voyons d'abord comment accèder à la configuration du portier en lui-même, en
lui téléphonant comme à un simple téléphone, depuis une ligne externe au
bâtiment.
Si il est relié directement à une ligne téléphonique classique DTMF, pas de
problèmes, il suffit de téléphoner au numéro du portier et d'accèder à son
menu.
Si il est relié à une PABX, il peut y avoir plusieurs structures mises en
place :
Première structure le PABX est relié à une ligne interne, bridée sur des
numéros internes, et là forcemment pas moyen d'accéder au portier via une ligne
externe au bâtiment.
Deuxième structure possible, le PABX est relié, d'une façon ou d'une autre à
une ligne externe.
Là c'est le cas le plus rigolo, parce qu'il y a des chances qu'en plus d'acéder
au menu du portier on puisse accéder aux autres postes du bâtiment. Et si c'est
une entreprise, il y a des chances qu'il y aient des VMB's et autres trucs
rigolos, mais il y a déjà de nombreux textes à ce sujet, et ce n'est pas le but
de celui-ci.
Par chance, le modèle proposé par Noralsy pour ses produits est justement celui
d'une PABX relié à une ligne externe, ou d'une PABX et d'une ligne externe. En
tout cas avec une ligne externe qui rentre en compte quoi :)
Bref dans ce cas, il faut trouver le numéro de la PABX, puis le numéro du
compte du portier.
On a donc en gros 3 cas possibles (une PABX interne uniquement, une PABX avec
accès externe, une simple ligne téléphonique).
Pour le moment, rien ne différe bien fort d'un simple service par téléphone,
à part que au lieu d'une VMB, d'un répondeur ou autre, c'est un portier.
Et donc forcemment ce qui va changer, ce sont les options du menu.
Alors c'est parti, voyons ça :)
Pantel
PANTEL-P PANTEL-M
Le pantel est celui de tous les portiers téléphoniques de Noralsy qui a le plus
petit menu, c'est pourquoi je commence par lui.
Une fois qu'on a son numéro, on lui téléphone et on tape *900, pour entrer en
mode programmation.
Viens ensuite le problème classique, celui du mot de passe. Le mot de passe par
défaut est 1234. Une fois le bon mot de passe trouvé et entré, une tonalité de
confirmation se fait entendre.
Maintenant, on peut se lancer.
Le Pantel permet d'appeler deux numéros de téléphone : un numéro de jour et un
numéro de nuit. Je rappele que dans ce scénario, on accéde au menu du portier
par une ligne exterieure, ce qui signifie que, logiquement, le portier peut lui
aussi appeler à l'extérieur.
Si on change les numéros de téléphone de jour ou de nuit, le portier se
transformera donc en un téléphone "main libre" que vous pourrez utiliser à
votre guise pour téléphoner n'importe où !! Et comme un portier se trouve
toujours à l'extérieur du bâtiment... enfin vous voyez quoi :)
La commande est la suivante : d'abord taper *360, suivi de 1 pour le jour ou de
2 pour la nuit, suivi du numéro de téléphone à appeler quand on appuie sur le
bouton du portier, suivi de #.
Pour supprimer le numéro de téléphone de jour ou de nuit, il suffit de taper la
même commande, mais sans entrer de numéro de téléphone, donc par exemple *3601#
ou de le remplacer par un autre.
Pour appeler l'un ou l'autre numéro, il faut taper le *80 pour selectionner le
numéro de jour, et le *81 pour le numéro de nuit, puis appuyer sur le bouton
d'appel du portier.
Il y a cependant parfois une limite de temps fixé à la conversation. Pour
que la conversation soit illimitée, il faut taper le *46200. Si on veut la
fixer à moins que ça, il faut remplacer le 00 (deux chiffres obligatoires, pas
plus pas moins) par le nombre de secondes maximum de la conversation.
Il est aussi possible de changer le code de la porte, en tapant le *441 suivi du
nouveau code de quatres chiffres maximum, suivi de #.
Autre commande interessante, celle permettant de décider de la durée
d'ouverture de la porte. Pour cela, il faut taper le *464, suivi du nombre de
secondes... qui hélas doit être inférieur à 10... m'enfin c'est toujours ça de
pris.
Pour modifier le mot de passe d'accès au menu, il faut utiliser la commande
*600, suivie du mot de passe de quatre chiffres maximum, suivis du caractère #
si le mot de passe fait moins de quatre chiffres.
Enfin, la commande *151 permet de remettre les paramètres à leurs valeurs
initiales.
A noter que pour ouvrir la porte à distance, il faut avoir été appelé par le
Pantel, et simplement taper ce code sur la clavier du téléphone appelé.
Si on a accès au menu, on ne peut donc pas directement ouvrir la porte. Par
contre, on peut changer le numéro d'appel, le code d'ouverture de la porte,
puis appuyer sur le bouton d'appel du portier, décrocher sur notre téléphone
appelé, et entrer le nouveau code au clavier de ce dernier.
Pancam
Le Pancam se présente comme le Pantel-M, mais avec un petit viseur pour une
caméra en plus.
Il y a un joli schéma global de l'installation d'une Pancam fourni par Noralsy,
et que je vous joint ici.
Comme il y a une caméra, il ne s'agit pas de l'utiliser comme téléphone de
manière physique si la caméra est en route (si du moins le but est de le faire
discretement).
Mais à chaque problème sa solution.
En effet, tout ce qui concerne le menu et son accès est identique au Pantel,
avec en plus, devinez quoi, une commande pour gérer la caméra !
Pour ce, il suffit de taper le *620 dans menu, suivi de 0, 1 ou 2.
Le 0 signifie que la caméra est complétement coupée, le 1 en service constant,
et le 2 en service uniquement après appui sur le bouton d'appel.
Pancode
Enfin, dans la gamme des Pan*, il y a le Pancode.
Comme on peut le voir sur la jolie photo là au-dessus, et comme le laisse
supposer son nom, la différence avec le Pantel, ce qu'on peut directement y
taper un code pour ouvrir la porte.
Attention, si le code entré est erroné 3 fois, il y a parfois (toujours ?) un
appel à une alarme.
Encore une fois, le menu est identique au Pantel, avec quelques différences qui
lui sont propres.
D'abord, maintenant qu'il y a un clavier numérique, il faut pouvoir utiliser ce
clavier pour ouvrir la porte. La programmation du code se fait avec la commande
*442, suivie du code à quatre chiffres maximum, suivi de #.
Il y a aussi une commande permettant de programmer un préfixe pour les postes
internes, c'est la commande *170, suivie du préfixe, suivi de #. Par exemple si
les postes de la PABX sont de type 2001, 2002, ..., on peut mettre le préfixe
20 en tapant *17020#, mais ça n'a d'intéret que pour l'administration.
Il est également possible d'affecter un numéro de téléphone à une touche du
clavier !
Pour cela, magie magie, la commande *120, suivie du numéro de la touche, suivi
du numéro de téléphone, suivi de #. Et hop là, voilà un téléphone avec les
numéros pré-programmés, n'est-ce pas merveilleux ?
Pour activer ce mode, il faut entrer la commande *152, et la *151 pour le
désactiver. Ce qui veut dire que pour le désactiver, on est obligé de remettre
les paramètres par défaut (hé oui, ça c'est mal foutu... autant utiliser les
numéros de jour/nuit).
La gamme Portelcode
C'est pas une jolie pub, ça ? Comme celle-ci nous le montre, les portiers
téléphoniques, comme je l'ai dit, peuvent très bien téléphoner à une ligne
extérieure, voire même sur le GSM d'une blonde ! Bien qu'elle ne soit pas mon
style, mais passons.
Des portiers Portelcode, il y en a un peu de tout les types, en voici un autre
exemple :
Et pour en voir d'autres, je vous conseille d'aller simplement sur le site de
Noralsy.
En tout cas grâce à ces deux images, on peut voir que certains portiers de
cette gamme ont des claviers numériques, et surtout que contrairement aux
Pantel, Pancam et Pancode, il y a plusieurs boutons d'appel.
Il peut y en avoir jusqu'à 72.
Et c'est un point très interessant pour plusieurs raisons. D'abord, si il y a
plusieurs boutons, il y a plus de chances que l'un d'eux ne soit tout bonnement
pas utilisé. Ce qui signifie une utilisation plus discrete :)
La deuxième raison pour laquelle c'est interessant, c'est que, perturbé par cet
amas important de boutons d'appel, Noralsy a programmé les portiers Portelcodes
d'une manière un peu différente. Il y a toujours un accès par téléphone au menu
de paramétrage... mais il y a aussi un menu distinct pour chaque bouton. Et qui
dit menu distinct dit mot de passe différent.
Donc, même si on oublie les mots de passe par défaut, si on a 8 boutons sur un
portier Portelcode, comme celui sur la photo au-dessus, on aura 8 fois plus de
chances de trouver un mot de passe valide - ou on ira 8 fois plus vite pour
ceux qui se tapent toutes les possibilités. C'est un peu le même type de
problème qu'on a pu voir dans PARAVOX.
Et on est pas obligé d'oublier les mots de passe par défaut :)
Ils ont été attribués comme suit :
Menu de paramètrage : 2000
Bouton 1 : 2001
Bouton 2 : 2002
Bouton 3 : 2003
...
Bouton 6 : 2006
...
Pour accéder à un menu, on appelle le portier téléphonique (sur son numéro de
téléphone, pas dans la rue hein) puis on tape le *, suivi du code, suivie de #.
Donc pour le bouton 1 avec son passe par défaut, on tape *2001#.
On tape directement le code pour accéder au menu : pas d'ID à connaître avant
pour spécifier de quel bouton on va entrer le code.
De plus, même si les pass sont changés, on a des chances que le mec qui a
reparamétré ne se soit pas tapé des chiffres au hasard, mais bien des suites
comme dans la config par défaut.
Quoiqu'il en soit, il y a deux types de menus différents : le menu de
paramètrage global et les menus des boutons.
Commençons par détailler ce dernier, le premier comportant beaucoup de détails
moins interessants pour un première application.
Une fois le code entré, on accéde donc au menu du bouton.
La programmation des 8 premiers boutons est différente des 64 suivants.
Pour utiliser plus de 8 boutons, il faut ajouter ce que Noralsy appelle des
"coffrets d'extension". Se travaille a evidemment dû être effectué par
l'installateur.
Cependant, au cas où un coffret a été ajouté mais pas validé (qui sait), la
commande pour le valider est là 671, et 670 pour dévalider.
Voyons d'abord le menu des premiers boutons.
Une fois qu'on est dans le menu d'un des boutons, on peut le désactiver en
appuyant sur # ou l'activer en appuyant sur *. De cette façon, si on bouton
n'est pas utiliser est est désactivé, on va pouvoir l'utiliser tranquillement.
Pour quitter le menu, on utilise le 00.
Plusieurs numéros de téléphones sont programmables pour chaque bouton.
Le premier bouton admet 4 numéros différents, les autres 2 seulement.
Si au bout d'une certaine durée d'appel le correspondant n'a pas décroché, on
passe au numéro suivant.
Pour programmer les deux premiers numéros, on utilise la commande 20 (pour le
premier) et 21 (pour le deuxième).
Pour le troisième et quatrième numéro du premier bouton, les commandes 22 et
23.
Lors de cette programmation, il faut aussi préciser le nombre de secondes
d'appel avant de passer au numéro suivant.
Il faut donc, pour un premier numéro par exemple, entrer le 20, suivit du
numéro de téléphone à appeler (maximum 16 chiffres), suivit de # et terminer
par le nombre de secondes d'appel allant de 10 à 99.
Pour les portelcodes à clavier, comme pour le Pancode, il y a moyen de le
configurer de manière à ce qu'il devienne un réel téléphone.
C'est-à-dire qu'un bouton serve à décrocher/raccrocher, et que le clavier serve
à numéroter.
Pour ce, il faut utiliser la commande 60, suivie de l'option 2.
Il existe aussi l'option 0 pour désactiver cette option, 1 pour l'activer avec
discrimination (si une table de numéros abrégés a été encodée) et 3, suivi du
nombre de numéros acceptables pour un numéro de téléphone, mais ça ne sert pas
à grand chose.
Si on veut utiliser le portier comme un téléphone sans utiliser l'option
précédente (donc en encodant le numéro de téléphone via le menu téléphonique,
il faut tout de même pouvoir raccrocher.
Par défaut, c'est possible en réappuyant sur le bouton. Mais ce paramètre peut
avoir été modifié. POur jouer avec cette option, il faut utiliser la commande
63, suivie de : 0 pour que le bouton ne puisse pas stopper l'appel, ou 1 pour
qu'il puisse stopper l'appel (par défaut donc), ou 2 pour qu'il ne serve qu'à
ça.
Si sur un bouton il n'y a qu'un seul numéro d'appel possible encodé, et qu'on
ne veut pas modifier le premier pour une raison ou pour une autre (pour que le
proprio du bouton ne s'en rende pas compte par exemple), on peut jouer gaiement
avec les horaires (mais s'agit pas de se tromper).
Par défaut, le bouton lance toujours le même appel (commande 80, suivie de
l'option 0).
Pour se faire, on programme donc le deuxième numéro de téléphone, puis on tape
la commande 80 suvie de 3 pour spécifier que le deuxième numéro doit être
appelé directement si on est dans une période dites "hors vacation" et enfin on
déclenche cette dernière période en tapant de nouveau la commande 80, mais
cette fois-ci suivie de 2.
L'option 1 permet de faire en sorte d'appeler uniquement le premier numéro,
même si il y en a un deuxième.
Pour le premier bouton, qui peut prendre 4 boutons, la période "vacation" va
appeler le 1er et 2ème numéro, et la "hors vacation" le 3ème et 4ème.
Le code d'accès du bouton peut être changé par la commande 91, suivie du
nouveau code à 4 chiffres.
Pour programmer les boutons suivants, il faut entrer la commande 68, suivie du
numéro du bouton de 01 à 64 (pour les boutons de 9 à 72), suivi du premier
numéro de téléphone, suivi de #, puis du deuxième numéro de téléphone, lui
aussi fini de #. Et enfin 00 pour sortir du menu.
Je précise que je n'ai pas pu tester ce dernier cas, je retranscris donc juste
la note de documentation interne. Si quelqu'un peut me confirmer ou m'infirmer
ceci, qu'il n'hésite pas !
Voilà qui est fait pour les boutons. Venons-en maintenant au menu de
paramétrage général, accessible par défaut, comme on l'a vu, avec le *2000#.
Il comporte de nombreuses options pointues, je vais donc vous citer ici que
celles qui me parraissent vraiment primordiales.
D'abord si une limitation de communication a été fixée, il peut être utile de
la modifier. Pour ce, utiliser la commande 26, suivie de 0 pour une
communication illimitée.
Pour une communication limitée, le chiffre doit être compris entre 1 et 9,
representant le nombre de minutes de communication.
On peut utiliser la commande 27 pour écouter ce qui se passe sur le portier.
Suivie de 1, on pourra aussi parler, et suivie de 0 on sera en mode "écoute
discrete".
La commande 29 remet les paramètres par défaut.
Si on est dans une PABX, il est possible qu'un préfixe à mettre automatiquement
devant chaque numéro ait été programmé. Pour supprimer ce préfixe, il faut
taper le 66#. Pour le remettre, le 66 + préfixe + #.
Pour changer le code d'accès au menu de paramétrage, il faut taper le 90 suivi
du nouveau code de 4 chiffres.
Et enfin pour quitter le menu comme d'hab le 00.
III - Accès physique
Wéééé :) Enfin de quoi changer un peu des trafficotages de bornes, et autres
montages classiques du phreaking. Maintenant on va se connecter physiquement au
portier téléphonique pour téléphoner où qu'on veut !
Bon evidemment si la ligne, avec PABX ou pas, est bridée en interne, c'est
raté. Mais la plupart du temps (avec les produits Noralsy en tout cas), c'est
pas le cas :)
Bon rien de bien compliqué ici, on s'amène avec son petit téléphone et ses
pinces croco, et on fait du beige boxing.
Soit on est direct sur une ligne téléphonique externe et ça va tout seul, soit
c'est une PABX reliée à une ligne externe, et on a accès au réseau. Ce qui veut
dire une fois de plus messagerie interne possible etc... Dans ce dernier cas,
il va falloir trouver la commande de la PABX pour sortir du réseau, c'est à
dire les classiques 0, *0, *9, #0, etc etc :)
Une fois qu'on est sorti de la PABX, il suffit de taper le numéro de tel comme
sur une ligne normale.
Alors comme je suis gentil, je vous file les schémas de branchement des
portiers qui ont été cités plus haut et qui viennent de la doc interne, avec of
course les endroits où brancher votre toute nouvelle ligne téléphonique :)
Schéma de branchement des Portelcodes :
Schéma de branchement Pancode, Pantel, Pancam :
Pour ceux qui se poseraient la question, la caméra est reliée à son moniteur
par un simple cordon BNC, et tant que j'y suis à foutre plein d'images, voilà
une image de cordons BNC :)
Alors là évidemment on peut imaginer de brancher un système WIFI qui renvoi les
images de la caméras et tout le bordel hein... mais c'est pas le sujet.
J'en profite que vous soyez devant ces deux jolis schémas pour faire remarquer
que pour chacun d'eux la serrure et le bouton de sortie y sont reliés... et on
a vu dans le texte sur Paxton-XPR de Rafale #4 comment on pouvait s'en servir.
Mais une fois de plus c'est pas le sujet, là on phreake ;)
De plus les Portelcodes ont, comme on peut le voir, un bouton de
réinitialisation des paramètres. Il suffirait donc de l'utiliser pour revenir
au mot de passe par défaut, et plus de problèmes pour accèder au menu de
programmation des paramètres ou des boutons, et d'y faire tout ce qui est
possible d'y faire. Cependant, comme vous vous en doutez, c'est pas très
discret.
Et voilà qui est fait ! N'est-ce pas diabolique, tout ça ? =)
Comme quoi il y a encore moyen d'innover un brin, même dans le phreaking !
Bon allez je vous file un petit bonus, un document interne récapitulant, je
cite "les tonalités des divers modèles de centraux téléphoniques privés
distribués en France", ici.
En conclusion, on peut retenir sur les portiers téléphoniques deux techniques
permettant de téléphoner via leur réseau téléphonique. Une première en
programmant de façon particulière le portier, de façon à téléphoner à un ou des
numéros bien précis, puis en appuyant sur une ou des touches du portier. Et une
deuxième en démontant le boitier et en y connectant directement le matériel
adéquat.