Depuis quelques jours, des internautes clament que le Wi-Fi de box Orange et SFR contiennent une vulnérabilité, permettant de se connecter sans identifiants. Orange nous confirme que certains de ses modèles grand public sont touchés, « pour certaines configurations très spécifiques ».
Le 8 août, un utilisateur du forum Crack-WiFi.com a présenté une vulnérabilité « zero day », permettant selon lui de se connecter sans identifiants au réseau Wi-Fi d'une box SFR, la NB6V. Avec un outil dédié (Reaver), il serait ainsi possible d'obtenir le mot de passe du réseau Wi-Fi ciblé, en envoyant un code PIN vide via le standard WPS. Cela même dans le cas où la box est configurée pour n'activer le WPS qu'à l'appui sur un bouton.
Selon d'autres membres du forum, d'autres modèles de l'opérateur seraient touchés, dont les Neufbox 4 ,5 et 6, ainsi que des Livebox 2 et 3 d'Orange. Nous avons rapidement contacté les deux opérateurs.
« Orange a été informé d’une vulnérabilité qui permettrait de contourner l'authentification du Wi-Fi (via WPS). Cette vulnérabilité ne concerne qu’un nombre très limité de Livebox chez nos clients grand public et seulement pour certaines configurations très spécifiques. Les équipes techniques d’Orange déploient actuellement un correctif. Ceci ne nécessite aucune intervention des clients » nous répond l'opérateur historique.
Interrogé sur les modèles concernés, la portée exacte du problème ou le délai du correctif, le service presse n'a pas pu nous apporter de précisions. Pour sa part, SFR nous répond ce soir que « l'analyse est en cours », sans plus de détails. Sur Twitter, l'opérateur tient le même discours.
Bjr David ! Ns avons connaissance de cet article et faisons le nécessaire pour le corriger si le problème évoqué était avéré. Pierre
— SFR (@SFR) August 11, 2017
Il n'est pas certain que désactiver l'option WPS des box concernées résolve le problème, aucune des deux entreprises n'ayant donné d'indication sur ce point. Nous tenterons d'en savoir plus dans les prochains jours, et reviendrons sûrement plus en détail dessus.