Deux noms de domaine qui étaient utilisés par des produits TP-Link pour configurer ses produits ne lui appartiennent plus. Si cela ne change rien pour les clients, le risque est que des personnes mal intentionnées mettent en place des sites piégés.
Depuis quelques jours, TP-Link est au centre d'une drôle d'affaire. Amitay Dan, le PDG de Cybermoon, explique en effet sur Seclists.org que la société aurait « oublié » de renouveler des noms de domaine utilisés pour configurer certains de ses produits, ce qui pourrait avoir de fâcheuses conséquences pour certains.
Des noms de domaine dans la nature
Pour configurer un routeur ou un répéteur Wi-Fi de TP-Link lors d’une première utilisation, il faut le brancher, s'y connecter avec une machine et saisir l'adresse d'un site web qui est indiqué sur l'étiquette du produit. Selon les cas, cela peut-être tplinklogin.net ou tplinkextender.net par exemple.
Le fait de ne plus posséder les noms de domaine en question ne change rien à cette situation. En effet, une fois connecté sur le routeur/répéteur (qui n'a pas besoin d'être relié à Internet), ce dernier intercepte la demande et redirige automatiquement l'utilisateur sur sa page de configuration, même si les noms de domaine n'appartiennent plus à TP-Link. Nous avons pu le vérifier avec un répéteur Wi-Fi 802.11n TL-WA850RE, y compris après une restauration des paramètres d'usine. Une situation confirmée par nos confrères de ComputerWorld qui arrivent au même résultat avec un routeur de la marque.
Un risque si vous n'êtes pas connecté via un produit TP-Link
Quel est vraiment le problème du coup ? Aucun pour les utilisateurs connectés à un produit TP-Link qui intercepte ces adresses, mais la situation est bien différente dans le cas contraire : tplinklogin.net et tplinkextender.net ne sont alors pas captés à la volée par le routeur/répéteur, et l'utilisateur arrive donc sur un site détenu par une tierce partie. Pour le moment il ne s'agit que de pages parking sans conséquence (réservées mais presque vides). Dans les deux cas, il est possible de déposer une offre afin de racheter les noms de domaine.
Des personnes pourraient cependant s'en servir à l'avenir pour des campagnes de phishing, en imitant une interface de chez TP-Link par exemple ; il serait alors possible de récupérer des informations comme des identifiants. On peut également imaginer la mise en place d'un site piégé, les utilisateurs pensant arriver sur un domaine géré par le fabricant puisque c'est l'adresse écrite sur leur l'étiquette de leur produit.
Des manuels mis à jour (pas tous), mais cela ne résout pas le problème
Selon Amitay Dan, TP-Link ne compte pas racheter les noms de domaine pour l'instant (le prix de vente n'est d'ailleurs pas donné), mais il précise que « la société a décidé de faire des corrections mineures », sans plus de détails. Sur Twitter, il indique que le constructeur « souhaite mettre à jour ses manuels, mais que cela ne réglera pas le problème tant qu'ils ne contrôleront pas » les noms de domaine.
On peut en effet remarquer que le guide d'utilisation de notre répéteur Wi-Fi indique désormais qu'il faut se connecter à l'adresse tplinkrepeater.net (qui est toujours contrôlé par TP-Link), alors que son étiquette et d'anciennes versions du manuel indiquent tplinkextender.net (qui n'appartient plus à TP-Link). Sur le site de TP-Link on trouve d'ailleurs encore des traces de ces adresses dans certains documents (celui-ci par exemple).
Dans un dernier Tweet, Amitay Day indique que TP-Link a cessé toute communication avec lui. La société ne semble pas non plus avoir fait de déclaration publique liée à cette situation. De notre côté, nous avons contacté le constructeur pour savoir si d’autres mesures étaient envisagées et attendons un retour.
