Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

SFR remplace des box touchées par la faille WPS (Wi-Fi)

PIN or GTFO
Internet 3 min
SFR remplace des box touchées par la faille WPS (Wi-Fi)
Crédits : Prasit Rodphan/iStock

Comblée en urgence début août par Orange et SFR, une faille du standard WPS relatif aux réseaux Wi-Fi sur certaines box est connue publiquement depuis juin 2015 sur un autre modèle. SFR nous confirme remplacer le matériel de certains clients.

Le week-end du 12 août, Orange et SFR mettaient à jour, en urgence, certaines de leurs box Internet. Les correctifs visaient à colmater une faille du standard WPS relatif aux réseaux Wi-Fi, diffusée sur le forum Crack-Wifi quelques jours plus tôt. Mais plusieurs internautes ont réussi à reproduire la manœuvre dans les jours précédant la correction, laissant la porte ouverte à une exploitation.

Selon certains, des Neufbox v4, v5 et v6 seraient touchées, ainsi que des Livebox 2 et 3. Si Orange n'a pas encore répondu à nos questions, refusant de détailler les modèles concernés, SFR a pu nous en dire un peu plus. Ainsi, nous avons pu avoir la confirmation que des Neufbox v4 et v6 sont concernées, sur « un peu plus de 400 clients ». 

Une vulnérabilité déjà identifiée en 2015

 

Pour rappel, cette vulnérabilité exploite le WPS, le standard de connexion simplifiée au Wi-Fi des box. Plusieurs modes sont proposés, dont l'entrée d'un code PIN (plus court que le mot de passe du réseau sans fil) ou l'appui sur un bouton physique du routeur. Le problème est que, sur les modèles ciblés, l'activation de ce second mode ne désactive pas l'accès par code PIN. Dans certains cas, il permet ainsi d'obtenir rapidement le mot de passe Wi-Fi en envoyant un code PIN vide.

Car certains constructeurs et opérateurs laissent une telle valeur par défaut sur des box envoyées aux clients. En activant le mode « pousse bouton », ils pensent mécaniquement désactiver l'entrée par PIN. Or, comme le prouve le logiciel Reaver (qui teste à la chaine des mots de passe WPS), il reste en fait activé dans certains cas. Depuis la version 1.6b du logiciel, publiée fin juin, un utilisateur peut entrer une valeur arbitraire, donc un PIN vide.

À la publication de cette nouvelle version, la faille a d'abord été trouvée sur une box de l'opérateur espagnol Jazztel, filiale du français Orange. « Nos équipes de veille sécurité n’étaient pas au courant avant ce jeudi 10 août » nous certifie pourtant l'opérateur. Il nous affirme par ailleurs qu'aucune intervention client n'est nécessaire et que les clés WPA des box affectées ne sont pas changées par son correctif.

Mais en réalité, la faille n'était pas nouvelle. Elle avait déjà été trouvée en juin 2015, comme le précise le billet d'annonce de la mise à jour de Reaver deux ans plus tard. À l'époque, il s'agissait d'une modification isolée de l'outil, par un internaute testant la sécurité du routeur Sagem HG658c. Tout y est : le code PIN vide entré via Reaver et un appareil configuré en WPS via le mode « pousse bouton », renvoyant tout de même la clé WPA à la requête avec code vide.

SFR remplace certaines box de clients touchés

Nous avons contacté l'auteur de ces découvertes, en juin sur une box Jazztel et en août pour Orange et SFR, sans réponse à nos questions pour le moment. Il n'est pas encore sûr que les opérateurs aient été contactés individuellement avant la publication des vulnérabilités depuis juin 2017.

Un expert des box opérateurs, interrogé, s'étonne pour sa part de trouver une telle faille chez deux groupes télécom, exploitant des puces réseau différentes. Il estime que, si reproduire le problème sur les box incriminées demande une configuration logicielle et du matériel très précis, le problème aurait dû être connu bien avant.

Pour sa part, SFR a contacté des clients concernés. « Cette vulnérabilité a pu permettre par le détournement de votre clé d'authentification personnelle un accès non autorisé à votre réseau Wi-Fi et par là-même aux données personnelles (données nominatives, photographies, fichier…) de vos répertoires et espaces partagés non protégés par un mot de passe » constate l'entreprise.

La société affirme avoir désactivé le WPS à distance, via son correctif du 12 août, et leur promet de changer leur box pour un modèle plus récent. Interrogé, l'opérateur ne nous a pas précisé quel modèle est fourni en remplacement, ni pourquoi préférer changer le matériel que d'opter pour une mise à jour.

17 commentaires
Avatar de murlock Abonné
Avatar de murlockmurlock- 30/08/17 à 15:47:57

Ce n'est pas si étonnant: si la puce wifi était identique, c'est très souvent la stack entière du fournisseur qui est utilisé (i.e. driver WiFi + démon(s) pour gérer le WPS)
Il suffit d'ajouter à cela une doc défaillante/floue pour que les équipes d'intégration se soient aussi fait piégées.

Avatar de Gnppn Abonné
Avatar de GnppnGnppn- 30/08/17 à 16:13:07

En l'occurrence, elles semblent bien provenir de fabricants différents, d'où la question.

Avatar de Ricard INpactien
Avatar de RicardRicard- 30/08/17 à 16:43:30

Qu'en pense Hadopi ?

Avatar de Bowbie Abonné
Avatar de BowbieBowbie- 30/08/17 à 16:47:01

Je suis en NB4 et je n'ai rien reçu de la part de SFR.

Avatar de Jungledede Abonné
Avatar de JunglededeJungledede- 30/08/17 à 17:41:40

albanel proposait d’utiliser open office, mais ils n'ont pas upgrade en Libre Office, c'est normal alors d'avoir de tel failles :o

Avatar de Berri-UQAM INpactien
Avatar de Berri-UQAMBerri-UQAM- 30/08/17 à 18:22:17

Bowbie a écrit :

Je suis en NB4 et je n'ai rien reçu de la part de SFR.

NB6V2 et rien reçu non plus.

Avatar de Arcadio Abonné
Avatar de ArcadioArcadio- 30/08/17 à 18:43:04

soit un peu plus de 400 clients
Bah voyons tout le monde y croit... :non: z'ont oublié le "K" derrière je pense...

Édité par Arcadio le 30/08/2017 à 18:44
Avatar de alain_p Abonné
Avatar de alain_palain_p- 30/08/17 à 19:38:30

Non, je ne pense pas qu'ils remplaceraient 400.000 box, sauf  contrainte absolue, qui ferait très mal au budget. Je pense qu'ils remplacent un vieux modèle de box, sur laquelle il n'y a plus de mise à jour de firmware, qui ne concerne plus que 400 clients, et donc cela revient moins cher de la remplacer que de payer un nouveau développement.

Avatar de choukky INpactien
Avatar de choukkychoukky- 31/08/17 à 06:24:49

Arcadio a écrit :

soit un peu plus de 400 clients
Bah voyons tout le monde y croit... :non: z'ont oublié le "K" derrière je pense...

:troll: Tu crois qu'ils ont encore autant de clients chez SFR ? :troll:

Avatar de murlock Abonné
Avatar de murlockmurlock- 31/08/17 à 08:09:40

L'article laisse planer le doute sur le fournisseur de la box ou de la pile Wifi.

Il est tout à fait possible aussi que la faille soit dans un framework opensource :)

Il n'est plus possible de commenter cette actualité.
Page 1 / 2