Il y a trois semaines, nous étions alertés sur le fait que l'interface d'administration de certaines Bbox était librement accessible sur Internet. Des informations comme le numéro de téléphone, le nom du réseau Wi-Fi, le type de chiffrement étaient ainsi disponibles. Alerté par nos soins, Bouygues Telecom a déployé un patch et promet un nouveau firmware.
Sur Internet, la sécurité des utilisateurs est régulièrement remise en question avec l'annonce de failles plus ou moins complexes à exploiter (Heartbleed, POODLE ou encore FREAK par exemple). Mais parfois les choses sont beaucoup plus simples et il suffit d'une adresse IP pour accéder à des informations qui devraient rester confidentielles. C'est ce qu'il s'est récemment passé sur des Bbox de Bouygues Telecom.
L'interface d'administration de certaines Bbox accessible à n'importe qui sur Internet
Comme nous l'a signalé un lecteur (merci Guillaume), il suffisait d'une simple recherche sur le moteur Shodan pour trouver l'adresse IP de très nombreuses Bbox. Problème, dans certains cas il suffisait de l'entrer dans son navigateur pour accéder à l'interface d'administration, sans aucune demande de mot de passe :
Des informations comme le ou les numéros de téléphone, l'adresse MAC, le numéro de série de la Bbox, le nom du réseau Wi-Fi, le type de chiffrement utilisé ainsi que la liste de tous les équipements connectés à la Bbox (avec leur adresse IP et leur nom sur le réseau local) étaient ainsi librement accessibles. On pouvait également désactiver le Wi-Fi et redémarrer la Bbox par exemple. D'après nos constatations, le service de prise en main à distance était désactivé et le pare-feu de la box était bien configuré sur « mode standard » (celui qui est utilisé par défaut) sur les différentes Bbox auxquelles nous avons pu nous connecter.
Pour accéder aux paramètres réseau avancés, la Bbox demande bien un login et un mot de passe (admin/admin par défaut), comme précisé sur la page de connexion (voir la capture ci-dessous). Mais une couche de protection supplémentaire empêche de se connecter, même si l'utilisateur n'a pas changé son mot de passe et qu'il s'agit donc de admin/admin, un point que nous a confirmé Bouygues Telecom. Du coup impossible d'accéder à la table NAT, mot de passe Wi-Fi et serveur DHCP par exemple.
Bouygues confirme le problème et indique que « certains pare-feu ne fonctionnent pas »
Dès que nous avons eu connaissance de cette faille de sécurité, nous avons bien évidemment contacté le fournisseur d'accès. Quelques heures plus tard, son service presse nous répondait et confirmait l'existence d'un problème en indiquant que le souci avait été détecté par ses équipes trois jours plus tôt : « certains pare-feu ne fonctionnaient pas ». Selon FAI, « quelques centaines de box » étaient concernées, toutes disposant d'une même version matérielle, sans plus de détails sur ce point.
Bouygues Telecom ajoute que « cela ne permet pas de rentrer dans le réseau » de ses clients. Et si nous n'avons effectivement accès à l'interface d'administration de la Bbox, nous ne pouvons pour autant pas récupérer des données sur le réseau local.
Quoi qu'il en soit, lorsque le fournisseur d'accès a répondu à nos questions, durant les vacances scolaires de février, il nous a précisé que la majorité des Bbox concernée était patchée, « mais pas toutes ». Nous avons donc décidé d'attendre que ce soit le cas avant de publier cette information, l'interface d'administration de plusieurs Bbox étant à ce moment-là encore accessibles d'une simple recherche dans Shodan. De son côté, l'opérateur nous précisait qu'il continuait à déployer son correctif.
Un patch a été déployé, un nouveau firmware est en préparation
Deux semaines après que nous ayons remonté ce problème à Bouygues Telecom, le service presse de l'opérateur revenait vers nous pour nous indiquer qu'il avait « la confirmation que toutes les box connectées sur le réseau étaient OK suite à la distribution d’un patch » ajoutant qu'il continue « la surveillance pour rattraper les éventuelles quelques dernières qui auraient été hors ligne pendant les vacances ».
De notre côté, nous avons pu constater qu'aucune Bbox n'était plus trouvable dans Shodan. Sachez enfin que le prochain firmware des Bbox « empêchera le problème de se produire sur de nouvelles box ».
