Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Quand certaines Bbox livraient un peu trop d'informations

Avec le pare-feu d'Open Office, cela ne serait jamais arrivé !
Internet 4 min
Quand certaines Bbox livraient un peu trop d'informations

Il y a trois semaines, nous étions alertés sur le fait que l'interface d'administration de certaines Bbox était librement accessible sur Internet. Des informations comme le numéro de téléphone, le nom du réseau Wi-Fi, le type de chiffrement étaient ainsi disponibles. Alerté par nos soins, Bouygues Telecom a déployé un patch et promet un nouveau firmware.

Sur Internet, la sécurité des utilisateurs est régulièrement remise en question avec l'annonce de failles plus ou moins complexes à exploiter (Heartbleed, POODLE ou encore FREAK par exemple). Mais parfois les choses sont beaucoup plus simples et il suffit d'une adresse IP pour accéder à des informations qui devraient rester confidentielles. C'est ce qu'il s'est récemment passé sur des Bbox de Bouygues Telecom.

L'interface d'administration de certaines Bbox accessible à n'importe qui sur Internet

Comme nous l'a signalé un lecteur (merci Guillaume), il suffisait d'une simple recherche sur le moteur Shodan pour trouver l'adresse IP de très nombreuses Bbox. Problème, dans certains cas il suffisait de l'entrer dans son navigateur pour accéder à l'interface d'administration, sans aucune demande de mot de passe :

Bbox fuite parfeuBbox fuite parfeu

Des informations comme le ou les numéros de téléphone, l'adresse MAC, le numéro de série de la Bbox, le nom du réseau Wi-Fi, le type de chiffrement utilisé ainsi que la liste de tous les équipements connectés à la Bbox (avec leur adresse IP et leur nom sur le réseau local) étaient ainsi librement accessibles. On pouvait également désactiver le Wi-Fi et redémarrer la Bbox par exemple. D'après nos constatations, le service de prise en main à distance était désactivé et le pare-feu de la box était bien configuré sur « mode standard » (celui qui est utilisé par défaut) sur les différentes Bbox auxquelles nous avons pu nous connecter.

Pour accéder aux paramètres réseau avancés, la Bbox demande bien un login et un mot de passe (admin/admin par défaut), comme précisé sur la page de connexion (voir la capture ci-dessous). Mais une couche de protection supplémentaire empêche de se connecter, même si l'utilisateur n'a pas changé son mot de passe et qu'il s'agit donc de admin/admin, un point que nous a confirmé Bouygues Telecom. Du coup impossible d'accéder à la table NAT, mot de passe Wi-Fi et serveur DHCP par exemple.

Bbox fuite données ParfeuBbox fuite données Parfeu

Bouygues confirme le problème et indique que « certains pare-feu ne fonctionnent pas »

Dès que nous avons eu connaissance de cette faille de sécurité, nous avons bien évidemment contacté le fournisseur d'accès. Quelques heures plus tard, son service presse nous répondait et confirmait l'existence d'un problème en indiquant que le souci avait été détecté par ses équipes trois jours plus tôt : « certains pare-feu ne fonctionnaient pas ». Selon FAI, « quelques centaines de box » étaient concernées, toutes disposant d'une même version matérielle, sans plus de détails sur ce point.

Bouygues Telecom ajoute que « cela ne permet pas de rentrer dans le réseau » de ses clients. Et si nous n'avons effectivement accès à l'interface d'administration de la Bbox, nous ne pouvons pour autant pas récupérer des données sur le réseau local.

Quoi qu'il en soit, lorsque le fournisseur d'accès a répondu à nos questions, durant les vacances scolaires de février, il nous a précisé que la majorité des Bbox concernée était patchée, « mais pas toutes ». Nous avons donc décidé d'attendre que ce soit le cas avant de publier cette information, l'interface d'administration de plusieurs Bbox étant à ce moment-là encore accessibles d'une simple recherche dans Shodan. De son côté, l'opérateur nous précisait qu'il continuait à déployer son correctif.

Un patch a été déployé, un nouveau firmware est en préparation

Deux semaines après que nous ayons remonté ce problème à Bouygues Telecom, le service presse de l'opérateur revenait vers nous pour nous indiquer qu'il avait « la confirmation que toutes les box connectées sur le réseau étaient OK suite à la distribution d’un patch » ajoutant qu'il continue « la surveillance pour rattraper les éventuelles quelques dernières qui auraient été hors ligne pendant les vacances ».

De notre côté, nous avons pu constater qu'aucune Bbox n'était plus trouvable dans Shodan. Sachez enfin que le prochain firmware des Bbox « empêchera le problème de se produire sur de nouvelles box ».

51 commentaires
Avatar de jb18v Abonné
Avatar de jb18vjb18v- 05/03/15 à 15:22:11

:eeek2: énorme :bravo:

je connaissais pas Shodan du coup ^^

Avatar de Inny Abonné
Avatar de InnyInny- 05/03/15 à 15:25:56

  Ça me rappelle les anciennes BBox qui permettaient de récupérer le mot de passe à partir du nom par défaut du hotspot.

Édité par Inny le 05/03/2015 à 15:26
Avatar de atomusk INpactien
Avatar de atomuskatomusk- 05/03/15 à 15:26:04

:eeek2: la faille de sécurité de fou :transpi::transpi::transpi:

Avatar de jb18v Abonné
Avatar de jb18vjb18v- 05/03/15 à 15:27:31

cela dit quelque soit le fai, le bon vieux admin/admin par défaut est pratique, quand on a des connaissances/famille/amis qui ont pb de wifi :francais:

mais l'accès à distance open bar, c'est nouveau, prometteur !

Avatar de dematbreizh Abonné
Avatar de dematbreizhdematbreizh- 05/03/15 à 15:29:09

jb18v a écrit :

cela dit quelque soit le fai, le bon vieux admin/admin par défaut est pratique, quand on a des connaissances/famille/amis qui ont pb de wifi :francais:

mais l'accès à distance open bar, c'est nouveau, prometteur !

Rien de nouveau pour moi, j'avais déjà constaté ça en configurant l'accès à mon NAS, qui du coup masque désormais ma box.

Avatar de Poppu78 INpactien
Avatar de Poppu78Poppu78- 05/03/15 à 15:31:08

Surtout avec Orange qui il y a quelques années avait réinitialisé à admin/admin l'ensemble des LiveBox... Y compris celles où l'utilisateur avait pris soin de changer le mot de passe...

Avatar de jb18v Abonné
Avatar de jb18vjb18v- 05/03/15 à 15:32:52

Poppu78 a écrit :

Surtout avec Orange qui il y a quelques années avait réinitialisé à admin/admin l'ensemble des LiveBox... Y compris celles où l'utilisateur avait pris soin de changer le mot de passe...

ah je l'ignorais :transpi:

Avatar de -L3M- INpactien
Avatar de -L3M--L3M-- 05/03/15 à 15:35:43

free avait une faille similaire ( voir plus grave ) avec le free-wifi à une époque.

si la personne n'avait pas payez sa facture, la page freewifi t'invitait à payer la facture et te connectait directement sans aucun mot de passe à l'interface avec toutes les infos qui vont bien. c'était en 2012, je suppose que ça a était patché depuis.

Avatar de LordZurp Abonné
Avatar de LordZurpLordZurp- 05/03/15 à 15:39:30

shodan liste encore des bbox (sur réseau NC), on a toujours accès à l'interface publique
le "patch" semble juste être un nouveau passwd par défaut ...

Avatar de levhieu INpactien
Avatar de levhieulevhieu- 05/03/15 à 15:39:30

Sauf que ça n'a rien à voir.

Sur ces vieilles Bbox, le sous-traitant avait fourni un soft qui par construction contenait la faiblesse
(C'était bien une feature, donc).

Du coup, Bouygues a décidé que trop sous-traiter avait quelques inconvénients et a repris pas mal de choses en main (et aussi très certainement black-listé le sous-traitant).

Et maintenant, Bouygues avoue que ce dont il est question est un bug.

Question to myself: Comment une spécificité hardware peut lever ce bug ?

Il n'est plus possible de commenter cette actualité.
Page 1 / 6