Liberté de configuration réseau sur Bbox – DNS, DHCP et IPv6

[Schmurtz]

Bbox : permettez à vos abonnés de choisir librement leur DNS, DHCP et IPv6

---

Objet : Liberté de configuration réseau sur Bbox – DNS, DHCP et IPv6

---

1. Constat général

Bouygues Telecom empêche aujourd’hui ses abonnés Bbox de disposer librement de paramètres réseau pourtant standards, documentés et largement répandus, notamment :

• le choix du DNS primaire ;
• la désactivation complète du DHCP IPv4 ;
• la désactivation effective du DHCP IPv6, voire de l’IPv6 lui-même ;
• l’accès à la documentation officielle de l’API locale, désormais retirée sans justification technique.

Ces limitations sont systématiquement justifiées par :

• la sécurité ;
• le respect des RFC ;
• ou le caractère prétendument « avancé » de ces usages.

Or, ces arguments ne résistent ni à une analyse technique sérieuse, ni à l’évolution des usages réels des abonnés.

---

2. DNS primaire : une restriction volontaire et non justifiée

Bouygues impose un DNS primaire en lecture seule, ce qui constitue une exception notable par rapport aux autres paramètres réseau configurables.

L’argument de la « protection contre des attaques » pose problème :

• le changement de DNS est une fonctionnalité basique, proposée nativement par de nombreux FAI en France et en Europe ;
• la sécurité ne peut pas servir de justification générale à une suppression du choix utilisateur, surtout lorsque des alternatives existent (avertissement, opt-out, mode avancé).

Le fait que seul le DNS primaire soit figé, alors que les autres règles sont modifiables, démontre qu’il s’agit :

• non d’une contrainte technique ;
• mais d’un choix délibéré implémenté dans le firmware.

---

3. DHCP et IPv6 : incohérences avec les RFC invoquées

Bouygues invoque régulièrement le « respect des RFC » pour refuser :

• la désactivation totale du DHCP IPv4 ;
• la désactivation effective du DHCP IPv6 ;
• la désactivation complète d’IPv6.

Pourtant :

• une Bbox continue de répondre aux requêtes DHCPv64 et DHCPv6 même après désactivation provoquant de nombreux dysfonctionnements chez les abonnés;
• de nombreux routeurs du marché permettent ces configurations sans violer aucune RFC.

Les RFC ne contraignent pas un opérateur à imposer un service actif :
elles définissent le comportement lorsqu’un service est utilisé.

Les invoquer pour justifier une impossibilité de désactivation est donc techniquement inexact.

---

4. Le mythe de « l’usage avancé »

Qualifier le changement de DNS ou l’usage d’un DHCP tiers comme des usages « avancés » est aujourd’hui anachronique.

Changer de DNS est devenu courant pour :

• la sécurité (anti-malware, anti-phishing) ;
• la performance (latence, résolutions optimisées) ;
• le contrôle parental ;
• le respect de la vie privée.

L’argument selon lequel le changement de DNS relèverait d’un usage « avancé » est en décalage avec la réalité des usages actuels: l’accès à Internet donne désormais accès à un volume important de contenus pédagogiques et de vulgarisation, guides, articles et tutoriels rendant ces configurations compréhensibles et accessibles à un public non spécialiste.

Dans ce contexte, le changement de DNS ne relève plus d’une pratique confidentielle ou experte, mais d’un usage désormais documenté, vulgarisé et largement adopté.


---

5. L’argument du routeur tiers n’est pas recevable

Opposer l’achat d’un routeur tiers (Ubiquiti, Mikrotik, etc.) comme solution n’est pas acceptable :

• la Bbox est déjà un routeur performant, loué à un coût mensuel non négligeable ;
• les limitations ne sont pas matérielles, mais logicielles ;
• demander un investissement supplémentaire pour compenser quelques lignes de code restrictives au sein du firmware est injustifiable.

Il est déraisonnable d’exiger un matériel coûtant parfois l’équivalent d’un an ou plus d’abonnement pour accéder à des fonctions réseau élémentaires.

---

6. Confidentialité : une question légitime

Les requêtes DNS permettent de connaître :

• l’activité réseau ;
• les services consultés ;
• la fréquence et la temporalité des usages.

Il est donc légitime de se demander :

Qu’est-ce qui justifie autant d’efforts techniques pour empêcher l’abonné de choisir son DNS ?

Car il s’agit bien d’un effort actif :

• règle spécifique ;
• paramètre rendu immuable ;
• comportement non standard implémenté volontairement dans le firmware.

Toute exploitation commerciale de ces données serait évidemment incompatible avec le RGPD et les exigences de la CNIL, mais l’absence de choix effectif et de transparence pose un réel problème de confiance.

---

7. Conclusion et suites envisagées

Imposer un DNS primaire statique, empêcher la désactivation effective du DHCP et de l’IPv6, et retirer la documentation API ne relèvent ni de la sécurité, ni des standards, ni de l’intérêt de l’abonné.

Ces choix :

• restreignent la liberté de configuration ;
• contredisent les usages modernes ;
• soulèvent des interrogations légitimes sur la neutralité et la transparence.

En l’absence de réponse satisfaisante de la part de Bouygues, je me réserve la possibilité de saisir :

• l’ARCEP (neutralité et liberté d’usage) ;
• la CNIL (données personnelles et absence de choix effectif) ;
• la DGCCRF (information loyale et pratiques commerciales) ;
• ainsi que des organisations de défense des libertés numériques.

Ce message constituera le premier élément factuel de cette démarche.

[Mariotte91]

Bonjour,

Merci pour ce réquisitoire factuel. J'ajouterais à cette liste de doléances, l'impossibilité de configurer le répéteur Wifi que l'opérateur met à disposition. (signal à répéter, unification ou pas du SSID, fonctionnement en mode routeur.....), bref ce qu'on trouve normalement sur ce type d'appareil.

Mariotte91

[lakano]

Je viens juste de résilier Free pour aller chez Bouygues, mais en lisant tous les bridages illégitimes, je m'interroge à utiliser mon droit de rétractation de 14 jours. Quelle déception !

[Zulu]

Bonjour,

Merci @schmurtz pour votre message. Je plussoie des deux mains!

Je suis OK pour m'associer à vos demandes CNIL & ARCEP pour non respect de la vie privée ainsi que le la dégradation du service offert.

@Bouygues: Si on est interessés par uniquement la partie offre fibre et pas les services vendus dans des offres bundelées, on n'est pas suceptible de se plaindre que la partie TV ne fonctionne pas puisqu'on ne l'a pas achetée par exemple. Rendez nous la main sur la partie privée (et mon choix de DNS fait partie de ma vie privée)

Belle journée

[G15l4IN]

Bonjour,
UP je suis passé chez Bouygues il y'a 2semaines, et malgré avoir désactivé l'IPV6 (en appel API) pour faire en sorte que mon DNS local (pi-hole) prenne le dessus. Ben tout les jours, l'IPV6 se réactive seul dans la nuit... Et donc mon DNS local ne fonctionne plus.
Génial quand vous avez un contrôle parental et des serveurs à gérer en interne...
Au moins les enfants sont contents !

Vous avez une idée d'un patch fiable ?

J'ai fais une "alerte arcep" en début de semaine, mais bon...

Franchement, de pire en pire la France...

[kishkaya]

Bonjour,

Je créé un compte pour l'occasion. La majorité des devices IoT souffrent de ces limitations:

• Les NACKs sur les Discover DHCP alors que la box a ses services DHCP désactivés

• Les Router Advertisement IPv6 vers les DNS de la box alors que le DHCP IPv6 est désactivé

Pour les petits OS / implémentations réseaux légères ces comportements non-standard sont vraiment handicapants !

Je vois dans viewtopic.php?t=3872&start=30 que les équipes techniques travaillent sur un des sujets:

Je vous informe qu'un ticket est bien en cours sur le sujet, suite aux traces envoyées il y a quelques semaines. À ce stade, et sans m'avancer davantage, cela signifie qu'un comportement non souhaité est bien confirmé. L'équipe remercie par ailleurs les retours sur le sujet ainsi que la fourniture des traces.

(ToFoo93; 13.03.2026).

Serait-il possible d'avoir une réponse claire ? Un planning / roadmap / backlog ?

Pour ma part, si je dois faire des pieds et des mains pour que mon réseau local ne souffre pas d'un router mal configuré (et que je ne peux pas modifier), je change de fournisseur.

Cordialement,

[Le Grompf]

Bonjour,

Concernant le point "Les Router Advertisement IPv6 vers les DNS de la box alors que le DHCP IPv6 est désactivé" : Ceci n'a rien a voir avec le DHCPv6. Pas la peine de s’énerver dessus.

C'est en fait l' autoconf d' IPv6 , aussi appelle slaac, qui fait cela en utilisant le protocole ICMPv6 (qui , lui, traite de l' adressage et du routage principalement). le DNS par slaac (rDNS) a même été ajoute après coup par le standard, même si c' est purement applicatif car ça râlait dans les chaumières quand il fallait un serveur DHCPv6 ou mDNS pour récupérer une adresse de DNS. Classiquement, tout routeur IPv6 fait du slaac pour gérer les brins qui lui sont accroche. C'est plus IPv6 ON/OFF qui vous plairait plus sur ce coup la. Je ne vais pas étaler la différence totale entre IPv6 et IPv4 ... mais ce n' est pas pareil du tout.

Comme on peut avoir autant d'IPv6 qu'on veut sur une interface : le mieux c' est peut être de créer un réseau prive en FD00::/8 avec vos DNS a cote du 2000::/3 de Bouygues qui lui est votre réseau publique. (simple : il n' y a plus de NAT en IPv6 sauf chez les désespérés et les suicidaires). Et tentez vos déclarations slaac locale en priority high pendant que Bouygues vous arrose avec un 2000::/3 en priority medium : parfois ça marche.

Autre solution : utilisez votre "routeur local" en DHCPv6-PD vous obtiendrez alors un préfixe en /64 de chez Bouygues et vu pourrez en faire les annonces par slaac comme vous voulez. Sur ma version de bbox : j' ai deux delegations actives ou je gères l' affectation des IPs, DNS, etc : une "hard wired" avec un routeur un peu "teigneux" qui protège mes p'tites affaires, et une seconde avec un réseau de DECOs qui me gère le wifi mesh ou rode mon IoT et ses firmwares mal finis . Et une troisième arrive pour mes projet inavouable ! Le tout en dual stack : pas de problème de performance, ou de plantage (c'est plutôt la gestion du lien optique qui plante sur ma bbox et qui demande des reboots incessants et souvent manuels)

Bref, en IPv6, le DHCPv6 'est pour récupérer des adresses de service , sinon il faut passer en multicast pour ça ; pour récupérer des préfixes en /64 ; ou pour gérer les réseaux sécurisés sur un sous-marin nucléaire, ou dans une multinationale tout ca avec la coopération de Sanopli pour approvisionner les caisses de dolicranes qui sont alors nécessaires .

En tout cas, il ne faut pas faire en IPv6 comme en IPv4. L' IPv6 de bouygues marche pas mal, mini de rien, sur ma bbox fraîchement installée, ceci au cote de l' IPv4 qui lui est toujours naturellement pénible avec ses limitations et ses sparadraps sur toutes ses jambes de bois.

A+
Le Grompf.

[ToFoo93]

Hello

Serait-il possible d'avoir une réponse claire ? Un planning / roadmap / backlog ?

Désolé par avance de la réponse qui est un peu sèche, mais ce n'est pas possible d'avoir plus de détail (les éléments ont été exposé déjà pour rappel) ou planning...

Bonne soirée