Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Faille WPS (Wi-Fi) sur certaines box : Orange déploie un correctif, SFR enquête

Patch Friday
Internet 2 min
Faille WPS (Wi-Fi) sur certaines box : Orange déploie un correctif, SFR enquête
Crédits : shutter_m/iStock.Thinkstock

Depuis quelques jours, des internautes clament que le Wi-Fi de box Orange et SFR contiennent une vulnérabilité, permettant de se connecter sans identifiants. Orange nous confirme que certains de ses modèles grand public sont touchés, « pour certaines configurations très spécifiques ».

Le 8 août, un utilisateur du forum Crack-WiFi.com a présenté une vulnérabilité « zero day », permettant selon lui de se connecter sans identifiants au réseau Wi-Fi d'une box SFR, la NB6V. Avec un outil dédié (Reaver), il serait ainsi possible d'obtenir le mot de passe du réseau Wi-Fi ciblé, en envoyant un code PIN vide via le standard WPS. Cela même dans le cas où la box est configurée pour n'activer le WPS qu'à l'appui sur un bouton.

Selon d'autres membres du forum, d'autres modèles de l'opérateur seraient touchés, dont les Neufbox 4 ,5 et 6, ainsi que des Livebox 2 et 3 d'Orange. Nous avons rapidement contacté les deux opérateurs.

« Orange a été informé d’une vulnérabilité qui permettrait de contourner l'authentification du Wi-Fi (via WPS). Cette vulnérabilité ne concerne qu’un nombre très limité de Livebox chez nos clients grand public et seulement pour certaines configurations très spécifiques. Les équipes techniques d’Orange déploient actuellement un correctif. Ceci ne nécessite aucune intervention des clients » nous répond l'opérateur historique.

Interrogé sur les modèles concernés, la portée exacte du problème ou le délai du correctif, le service presse n'a pas pu nous apporter de précisions. Pour sa part, SFR nous répond ce soir que « l'analyse est en cours », sans plus de détails. Sur Twitter, l'opérateur tient le même discours.

Il n'est pas certain que désactiver l'option WPS des box concernées résolve le problème, aucune des deux entreprises n'ayant donné d'indication sur ce point. Nous tenterons d'en savoir plus dans les prochains jours, et reviendrons sûrement plus en détail dessus.

107 commentaires
Avatar de anonyme_47da8d4ad4eb955aa025af080b0387df INpactien

"Cette vulnérabilité ne concerne qu’un nombre très limité de Livebox chez nos clients grand public et seulement pour certaines configurations très spécifiques."

Ah bon ? Pasque bon elle sont un peu toutes pareilles les box, en millions d'exemplaires.

Surtout qu'ils ne fassent rien. Ca permettra de dire à l'HADOPI que vous avez mis en oeuvre vos obligations de sécurité mais que vous êtes pas responsable des trous dans l'OS de votre FAI.

Avatar de Tarvos Abonné
Avatar de TarvosTarvos- 11/08/17 à 17:36:29

Trop mort,  quand j'ai voulu ouvrir Crack-WiFi.com en sélectionnant et faisant ouvrir dans un nouvel onglet j'ai eu ça :

 &nbsphttps://www.nextinpact.com/erreur-404?aspxerrorpath=/AlerteActu/Create

 J’étais à l'apéro quand je suis tombé sur ce truc, et en le lisant j'ai eu une crise de rire et la pastaga que j'etais en train de boire est partie dans mon clavier.

 

Avatar de Guinnness INpactien
Avatar de GuinnnessGuinnness- 11/08/17 à 17:38:09

Comme d'hab avec le Wifi le meilleur patch de sécurité reste un bon vieux cable RJ45 :troll:

Avatar de alain_p Abonné
Avatar de alain_palain_p- 11/08/17 à 17:42:45

Tu connectes ton smartphone avec un câble RJ45 ?

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 11/08/17 à 17:45:21

Ah, ce bon vieux WPS PIN... source récurrente de faille depuis le début de son existence.

Vous avez une clé de type "passphrase" sur 256 bits... pas grave.
Si vous ne la connaissez pas, le WPS PIN ne demande que l'équivalent d'une clé sur 14 bits.

:D

Édité par 127.0.0.1 le 11/08/2017 à 17:48
Avatar de refuznikster INpactien
Avatar de refuzniksterrefuznikster- 11/08/17 à 17:49:45

Ils vont corriger l'article seulement.

Avatar de Ami-Kuns INpactien
Avatar de Ami-KunsAmi-Kuns- 11/08/17 à 17:56:02

Cela marche avec n'importe quel parti de l'article.:transpi:

Avatar de PercevalIO Abonné
Avatar de PercevalIOPercevalIO- 11/08/17 à 18:08:09

Oui, avec un adaptateur usb et les drivers si nécessaire ;-)
En même temps, les box ont aussi des options activées par défaut délirantes, pas besoin de failles, la box s'en charge. Je ne citerai que la réponse au ping, et l'upnp.
Après, tu as ta cible, et si tu as des équipements derrière qui ouvrent des ports tout seuls... Welcome home...

Avatar de swiper Abonné
Avatar de swiperswiper- 11/08/17 à 18:08:52

Désactiver le WPS permet de combler la faille si on en croit le forum.

Avatar de fullsun INpactien
Avatar de fullsunfullsun- 11/08/17 à 18:10:01

"Ceci ne nécessite aucune intervention des clients" :mdr: après ré-initialisation? parce que moi, j'ai eu une IPv4 qui n'aurai pas dû m’être affecté et ensuite une perte de l'IPv6...

Il n'est plus possible de commenter cette actualité.
Page 1 / 11