S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Faille de confidentialité sur une ancienne génération de Livebox

Admin/admin

Une faille a été découverte par un membre du Mouvement Offensive Hacker sur les anciennes Livebox Inventel. Roy'S-Tr@que développe actuellement un firewall. À cette fin, il a bidouillé sa box afin d'en faire un vrai modem, pas seulement un routeur. Depuis des lustres, la communauté sait que ces modèles contiennent des pages cachées où sont accessibles des fonctionnalités supplémentaires.

http://192.168.1.1/adsl.html
http://configuration.adsl/brdgoff.html
http://192.168.1.1/testinfo.html
http://192.168.1.1/logadsl.cmd
http://192.168.1.1/get_getnetworkconf.cgi

Il est en effet possible de downgrader sous GNU/Linux le firmware de cette box, c'est-à-dire flasher une version plus ancienne de son logiciel pilote. Ceci permet alors de la débrider et en faire ensuite un « vrai » modem en mode bridge. C'est dans ce contexte que la faille a été découverte. En ayant besoin de récupérer ses identifiants de connexion et en observant la structure des fichiers de ce modem, le hacker est tombé sur le trou.

« Je n'avais pas mon mot de passe de connexion ADSL sous la main pour redémarrer la box exigée par la remise à zéro du firmware 3.0, nous décrit Roy'S-Tr@que. Du coup j'ai regardé l'ensemble des pages administrateur et remarqué que la page principale fait appel à des frames (browser). Sous Firefox, enrichi du plug-in Firebug, d'un clic sur le bouton droit, j'inspecte les éléments où se trouvent les identifiant et mot de passe. C'est là que je constate que le mot de passe n'est pas chiffré ».

faille orange inventel faille orange inventel

En fait, en regardant sur les pages dédiées, l'identifiant de connexion et le mot de passe n'apparaissaient que sur un simple formulaire qui masque le mot de passe. Certes, la page avec le login a un mode de passe caché par une série d'étoiles. Mais ce secret n'existe plus quand on observe les coulisses...

Cela signifie en théorie que dans un foyer, une personne peut récupérer ces données confidentielles au nez et à la barbe de l'abonné.  Mais il y a pire : quand on scanne des plages d'adresses IP bien spécifiques à ces abonnements, on peut retrouver quantité de Livebox sur son écran puisqu'Orange associe les mêmes identifiants à toutes les box (admin/admin). L'usager distant peut alors - sous certaines circonstances - entrer et reproduire la même démarche pour récupérer les login et mot de passe de l'abonné victime.

Contacté, Orange nous confirme sans mal que « la possibilité de downgrader est une information connue du public depuis longtemps et effectivement la documentation est riche. Nous avons toujours souligné que c’est l’utilisateur lui-même qui, avec ses droits administrateurs, a accès à ses propres données personnelles. Orange a toujours communiqué sur la nécessité de personnaliser ses mots de passe par défaut ».

Et pour la faille exploitée à distance ? « Ce n’est pas si simple. Il faut réunir un très grand nombre de critères pour que ce soit possible à distance. Il faudrait par exemple que l’utilisateur ait activé l’accès distant et ce n’est possible que pour ancienne génération de LIvebox Inventel. On est dans un cas avec beaucoup de « si » pour que ce soit possible. C’est un modèle de Livebox en fin de vie qui va l’être forcément encore plus avec le renouvellement du parc. ». En attendant cette nouvelle Box, s'ils ne l'ont pas fait, les utilisateurs de ces vieux modèles sont invités à changer le mot de passe permettant d'accéder à la page de configuration.
Marc Rees

Journaliste, rédacteur en chef

Publiée le 08/06/2012 à 12:10

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 32 commentaires

Avatar de TucoBouch INpactien
TucoBouch Le vendredi 8 juin 2012 à 12:24:38
Inscrit le mercredi 7 décembre 05 - 17 commentaires
Je me souviens encore de cette faille ^^
Il m'avait été bien utile pour récuperer le login/mdp de mon beau pére qui avait égaré tous ses identifiant ...


Aprés de là a l'exploiter aujourd'hui, ça me parait bien gros...
Avatar de sebtx INpactien
sebtx Le vendredi 8 juin 2012 à 12:24:46
Inscrit le mardi 8 janvier 08 - 1793 commentaires
D'un autre côté si le mec a pas une synchro orange, il peut pas en faire grand chose, vu que c'est juste les identifiants fti/ de connexion...

Avatar de kamui57 INpactienne
kamui57 Le vendredi 8 juin 2012 à 12:29:43
Inscrite le vendredi 13 janvier 12 - 209 commentaires
if ('1' == '1'){}else{} ?
Avatar de maestro321 INpactien
maestro321 Le vendredi 8 juin 2012 à 12:37:10
Inscrit le vendredi 9 avril 10 - 2663 commentaires
if ('1' == '1'){}else{} ?

Sans doute un remplacement de variable dynamique.
Mais effectivement à lire ça fait bizarre.
Avatar de Crysalide INpactien
Crysalide Le vendredi 8 juin 2012 à 12:57:11
Inscrit le mardi 24 mars 09 - 5372 commentaires
Orange, spécialiste des firmwares avec régressions jamais patchées.
Je me souviens encore d'une màj en 2006 sur les LB Sagem qui a entrainé un bug dans le serveur DNS interne et un Wifi qui déconnectait (super quand tu joues en ligne et que tu finis IDLE à cause d'une microcoupure)...

Edité par Crysalide le vendredi 8 juin 2012 à 12:57

Il y a 32 commentaires

;