Quand certaines Bbox livraient un peu trop d'informations

Quand certaines Bbox livraient un peu trop d’informations

Avec le pare-feu d'Open Office, cela ne serait jamais arrivé !

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

05/03/2015 4 minutes
51

Quand certaines Bbox livraient un peu trop d'informations

Il y a trois semaines, nous étions alertés sur le fait que l'interface d'administration de certaines Bbox était librement accessible sur Internet. Des informations comme le numéro de téléphone, le nom du réseau Wi-Fi, le type de chiffrement étaient ainsi disponibles. Alerté par nos soins, Bouygues Telecom a déployé un patch et promet un nouveau firmware.

Sur Internet, la sécurité des utilisateurs est régulièrement remise en question avec l'annonce de failles plus ou moins complexes à exploiter (Heartbleed, POODLE ou encore FREAK par exemple). Mais parfois les choses sont beaucoup plus simples et il suffit d'une adresse IP pour accéder à des informations qui devraient rester confidentielles. C'est ce qu'il s'est récemment passé sur des Bbox de Bouygues Telecom.

L'interface d'administration de certaines Bbox accessible à n'importe qui sur Internet

Comme nous l'a signalé un lecteur (merci Guillaume), il suffisait d'une simple recherche sur le moteur Shodan pour trouver l'adresse IP de très nombreuses Bbox. Problème, dans certains cas il suffisait de l'entrer dans son navigateur pour accéder à l'interface d'administration, sans aucune demande de mot de passe :

Bbox fuite parfeuBbox fuite parfeu

Des informations comme le ou les numéros de téléphone, l'adresse MAC, le numéro de série de la Bbox, le nom du réseau Wi-Fi, le type de chiffrement utilisé ainsi que la liste de tous les équipements connectés à la Bbox (avec leur adresse IP et leur nom sur le réseau local) étaient ainsi librement accessibles. On pouvait également désactiver le Wi-Fi et redémarrer la Bbox par exemple. D'après nos constatations, le service de prise en main à distance était désactivé et le pare-feu de la box était bien configuré sur « mode standard » (celui qui est utilisé par défaut) sur les différentes Bbox auxquelles nous avons pu nous connecter.

Pour accéder aux paramètres réseau avancés, la Bbox demande bien un login et un mot de passe (admin/admin par défaut), comme précisé sur la page de connexion (voir la capture ci-dessous). Mais une couche de protection supplémentaire empêche de se connecter, même si l'utilisateur n'a pas changé son mot de passe et qu'il s'agit donc de admin/admin, un point que nous a confirmé Bouygues Telecom. Du coup impossible d'accéder à la table NAT, mot de passe Wi-Fi et serveur DHCP par exemple.

Bbox fuite données ParfeuBbox fuite données Parfeu

Bouygues confirme le problème et indique que « certains pare-feu ne fonctionnent pas »

Dès que nous avons eu connaissance de cette faille de sécurité, nous avons bien évidemment contacté le fournisseur d'accès. Quelques heures plus tard, son service presse nous répondait et confirmait l'existence d'un problème en indiquant que le souci avait été détecté par ses équipes trois jours plus tôt : « certains pare-feu ne fonctionnaient pas ». Selon FAI, « quelques centaines de box » étaient concernées, toutes disposant d'une même version matérielle, sans plus de détails sur ce point.

Bouygues Telecom ajoute que « cela ne permet pas de rentrer dans le réseau » de ses clients. Et si nous n'avons effectivement accès à l'interface d'administration de la Bbox, nous ne pouvons pour autant pas récupérer des données sur le réseau local.

Quoi qu'il en soit, lorsque le fournisseur d'accès a répondu à nos questions, durant les vacances scolaires de février, il nous a précisé que la majorité des Bbox concernée était patchée, « mais pas toutes ». Nous avons donc décidé d'attendre que ce soit le cas avant de publier cette information, l'interface d'administration de plusieurs Bbox étant à ce moment-là encore accessibles d'une simple recherche dans Shodan. De son côté, l'opérateur nous précisait qu'il continuait à déployer son correctif.

Un patch a été déployé, un nouveau firmware est en préparation

Deux semaines après que nous ayons remonté ce problème à Bouygues Telecom, le service presse de l'opérateur revenait vers nous pour nous indiquer qu'il avait « la confirmation que toutes les box connectées sur le réseau étaient OK suite à la distribution d’un patch » ajoutant qu'il continue « la surveillance pour rattraper les éventuelles quelques dernières qui auraient été hors ligne pendant les vacances ».

De notre côté, nous avons pu constater qu'aucune Bbox n'était plus trouvable dans Shodan. Sachez enfin que le prochain firmware des Bbox « empêchera le problème de se produire sur de nouvelles box ».

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

L'interface d'administration de certaines Bbox accessible à n'importe qui sur Internet

Bouygues confirme le problème et indique que « certains pare-feu ne fonctionnent pas »

Un patch a été déployé, un nouveau firmware est en préparation

Commentaires (51)


<img data-src=" /> énorme <img data-src=" />



je connaissais pas Shodan du coup ^^


&nbsp; Ça me rappelle les anciennes BBox qui permettaient de récupérer le mot de passe à partir du nom par défaut du hotspot.


<img data-src=" />&nbsp;la faille de sécurité de fou&nbsp;<img data-src=" /><img data-src=" /><img data-src=" />


cela dit quelque soit le fai, le bon vieux admin/admin par défaut est pratique, quand on a des connaissances/famille/amis qui ont pb de wifi <img data-src=" />



mais l’accès à distance open bar, c’est nouveau, prometteur !








jb18v a écrit :



cela dit quelque soit le fai, le bon vieux admin/admin par défaut est pratique, quand on a des connaissances/famille/amis qui ont pb de wifi <img data-src=" />



mais l’accès à distance open bar, c’est nouveau, prometteur !





Rien de nouveau pour moi, j’avais déjà constaté ça en configurant l’accès à mon NAS, qui du coup masque désormais ma box.



Surtout avec Orange qui il y a quelques années avait réinitialisé à admin/admin l’ensemble des LiveBox… Y compris celles où l’utilisateur avait pris soin de changer le mot de passe…








Poppu78 a écrit :



Surtout avec Orange qui il y a quelques années avait réinitialisé à admin/admin l’ensemble des LiveBox… Y compris celles où l’utilisateur avait pris soin de changer le mot de passe…





ah je l’ignorais <img data-src=" />



free avait une faille similaire ( voir plus grave ) avec le free-wifi à une époque.



si la personne n’avait pas payez sa facture, la page freewifi t’invitait à payer la facture et te connectait directement sans aucun mot de passe à l’interface avec toutes les infos qui vont bien. c’était en 2012, je suppose que ça a était patché depuis.


shodan liste encore des bbox (sur réseau NC), on a toujours accès à l’interface publique

le “patch” semble juste être un nouveau passwd par défaut …


Sauf que ça n’a rien à voir.



Sur ces vieilles Bbox, le sous-traitant avait fourni un soft qui par construction contenait la faiblesse

(C’était bien une feature, donc).



Du coup, Bouygues a décidé que trop sous-traiter avait quelques inconvénients et a repris pas mal de choses en main (et aussi très certainement black-listé le sous-traitant).



Et maintenant, Bouygues avoue que ce dont il est question est un bug.



Question to myself: Comment une spécificité hardware peut lever ce bug ?


Perso ayant toujours fw les ports de la box sur mon serveur@domicile, aucune problématique même si elle était affecté… mais ca ne concerne qu’un très faible % de personne comme moi…


C’est plus de la faille à ce niveau là <img data-src=" />


Ha ben c’est balo; ma bbox sensation ne se met jamais à jour

Obliger de faire un hard reset

Par contre si tu n’actives pas le service de prise en main à distance comment ont il fait pour pouvoir se connecter avec juste une adresse ip

Par défaut cette fonctionnalité n’est pas activée


Bon… &nbsp;j’avais pas vraiment tilté sur le problème, qui existe depuis des mois cela dit.

M’en suis aperçu en arrivant chez BT l’an dernier.



Le gars qui se connecte sur la mienne va voir que j’ai un routeur au cul de al box et une tv connectée ^^



Finalement, le plus chiant c’est le tel, vu que j’ai demandé le LR :/



&nbsp;





tiny_naxos a écrit :



C’est plus de la faille à ce niveau là <img data-src=" />





Is not à bug, it’s à feature !









alphacos a écrit :



Ha ben c’est balo; ma bbox sensation ne se met jamais à jour

Obliger de faire un hard reset

Par contre si tu n’actives pas le service de prise en main à distance comment ont il fait pour pouvoir se connecter avec juste une adresse ip

Par défaut cette fonctionnalité n’est pas activée





La prise en main et la conneion sur l’interface de la box sont deux choses différentes.

La connexion à distance c’est pour pouvoir te connecter avec ton comtpe admin/admin.



Les infos qui sont dispo dans la capture sont dispo sans prise en main, directement à la connexion de l’adresse IP.



Justement, c’est ça le bug

&nbsp;

Par contre, je ne sais pas comment ça se fait:

Ou bien la «fonctionnalité» s’est activée toute seule sans regarder le paramètre, ou bien le paramètre a eu des crampes et qu’il s’est bougé tout seul sans rien demander à personne, je ne sais pas quelle hypothèse est la bonne.


Bouybouy parle de parefeu… Mais, avant tout, pourquoi c’est en écoute sur l’ip publique leur interface ?








YesWeekEnd a écrit :



Bouybouy parle de parefeu… Mais, avant tout, pourquoi c’est en écoute sur l’ip publique leur interface ?





+1… et surtout, pourquoi les infos sont dispo sans connexion avec le compte admin (ou un autre) &nbsp;?





Avec le pare-feu d’Open Office, cela ne serait jamais arrivé !&nbsp;



Albanel… &lt;3


Ha tiens, je connaissais pas shodan, “merci” NXI <img data-src=" />


Je viens de lire cet article.&nbsp;Ça fait vraiment peur, pouvoir accéder à la gestion d’un barrage hydroélectrique ou d’une station épuration d’un simple clic <img data-src=" /> <img data-src=" /> Manquerait plus qu’il y ai des centrales nucléaires et là ça serait vraiment hyper dangereux <img data-src=" />


C’était plus drôle quand on accédait aux caméras de sécurité via une recherche sur Google <img data-src=" />

Je suis même tombé sur une caméra motorisée (PTZ) qui filmait un jardin… et j’ai pu effectivement déplacer l’angle de vue <img data-src=" />








Inny a écrit :



Ça me rappelle les anciennes BBox qui permettaient de récupérer le mot de passe à partir du nom par défaut du hotspot.





C’était des box d’un constructeur français, qui avaient des clef WIFI dont la passphrase était connue. Donc n’importe quel logiciel de hack avec bibliothèque pouvait trouver la clef ULTRA rapidement à partir du nom du réseau WIFI.



Pour les centrales, j’espère que le réseau d’ordi interne est fermé, sans lien physique avec l’extérieur.



Dans l’usine où j’ai travaillé, le système de pilotage était sur des vieux coucou avec un système proprio (et sans ports USB), et il y avait un PC sous XP sans port USB avec accès à l’intranet, dédié à cela.








renaud07 a écrit :



Je viens de lire cet article. Ça fait vraiment peur, pouvoir accéder à la gestion d’un barrage hydroélectrique ou d’une station épuration d’un simple clic <img data-src=" /> <img data-src=" /> Manquerait plus qu’il y ai des centrales nucléaires et là ça serait vraiment hyper dangereux <img data-src=" />





Un scriptkiddie non-qualifié qui arrive à accéder aux serveurs de contrôle d’un barrage mal sécurisé pourrait tuer des milliers d’êtres vivants s’il le voulait (ou plus probablement par ignorance), rien qu’en ouvrant au max les vannes. Ce serait déjà assez grave comme ça rien qu’avec un barrage.



Je ne sais pas si les livebox sont accessibles de l’extérieur (faudrait que je teste), mais mon voisin qui a son wifi sans protection a aussi laissé le compte admin/admin sur sa livebox, du coup je peux toujours voir dessus…



Sympa le coup des mots de passe usine tous identiques…


Je n’ai pas nommé le constructeur mais je connais son nom.



À noter qu’on peut dire que la passphrase était connue parce qu’elle était calculée (de manière simple) à partir d’un élément de la box (je ne me souviens plus si c’était l’adresse MAC ou bien le SSID «sortie de l’emballage»)


Les box sont de vrais nids à failles c’est bien connu des pirates, que se soit Bbox ou autres. Il suffit la plupart du temps d’une petite recherche Google avec le modèle de la boiboite et la version du&nbsp;firmware pour trouver des failles aisément exploitables.



&nbsp;Les FAI semblent s’en moquer&nbsp;<img data-src=" />


C’est ptet dur de géolocaliser une IP mais trouver un numéro de téléphone dans l’annuaire ca l’est moins, or celui ci apparait ! :(


Bouygues Telecom ajoute que « cela ne permet pas de rentrer dans le réseau » de ses clients.”



C”est sûr ! M’enfin avec le nombre d’informations que l’on a obtenu, c’est tout de suite beaucoup plus simple que de rentrer dans un réseau dont on ne connaît rien…



<img data-src=" />



<img data-src=" />


Si il avait fais une box de bonne qualité et fiable ça m’aurait surpris mais là….. c’est juste normal !


j’ai open office comme parefeu donc je suis protégé ?


Dailleurs cest faux non?



Car si tu as accès au mdp wifi via l’administration, tu peux donc te co au réseau pour accéder au réseau du client, déplacement a son adresse necessaire


<img data-src=" /> La faille, c’est Martin qui n’est pas passé de vie à trépas ! <img data-src=" />


/nelson



HA! HA!



/nelson


Je viens de faire une recherche sur Shodan, et le premier résultat m’amène sur une Bbox ayant toujours cette faille …


Shodan, j’ai appris à connaitre à force de voir leurs robots se pointer sur mes serveurs <img data-src=" />



Du coup, c’est super pratique comme outil pour savoir ce qui se cache derrière une adresse IP ou un nom de domaine


Tu découvres les routeurs ? <img data-src=" /><img data-src=" />








matroska a écrit :



Bouygues Telecom ajoute que « cela ne permet pas de rentrer dans le réseau » de ses clients.”



C”est sûr ! M’enfin avec le nombre d’informations que l’on a obtenu, c’est tout de suite beaucoup plus simple que de rentrer dans un réseau dont on ne connaît rien…



<img data-src=" />



<img data-src=" />





C’était surtout faux avant le passage du patch, puisqu’avec la main sur le routeur(mdp/pass), tu vas où tu veux.









psn00ps a écrit :



Tu découvres les routeurs ? <img data-src=" /><img data-src=" />





Explique ta réponse et en quoi elle vaut le ton de la raillerie.



Si y’a pas d’autre filtre ouep sans soucis.



Si tu as masqué le SSID et/ou mis un filtrage mac c’est un peu mieux, bien que la bbox mette à dispo les mac avec les IP et le nom réseau des équipements connectés :/


<img data-src=" />

&nbsp;Labanel for ever… J’ai adoré le sous-titre


Un patch a été déployé&nbsp;Listen 192.168.0.1 80 ça ne suffisait pas ? :x


Attention quand meme au informations de shodan. Il peut afficher des informations ancienne.

Mais c sur qu’ils faut etre vigilant.


J’ai eu ma BBox réinitialisé il y a une semaine (SSID par defaut, etc) suite au changement automatique fait par Bouygues entre l’offre Sensation d’origine et maintenant l’offre 20€ + option Sensation 6€ (gain de 10€ sans rien demander).



Ils en ont peut-être profité pour mettre à jour.

&nbsp;


Ca date d’il y a 4 ans quand même ;)

Je n’arrive pas à retrouver l’article nextinpact sur le sujet mais j’en ai retrouvé la trace chez Korben.








Poppu78 a écrit :



Ca date d’il y a 4 ans quand même ;)

Je n’arrive pas à retrouver l’article nextinpact sur le sujet mais j’en ai retrouvé la trace chez Korben.



<img data-src=" />









Poil a écrit :



Un patch a été déployé&nbsp;Listen 192.168.0.1 80 ça ne suffisait pas ? :x





Dépend s’il le pb est un port en écoute sur wan avec redirection sur lan ou si il s’agit d’un bind pourrave de l’interface direct sur wan.

&nbsp;

Etant donné que bouybouy explique cela en disant que “certains parefeu ne fonctionnent pas” (en admettant qu’ils vulgarisent l’ensemble des fonctions réseaux de leur box par le mot “parefeu”), pour moi ça pue le bind pourrave…









YesWeekEnd a écrit :



Dépend s’il le pb est un port en écoute sur wan avec redirection sur lan ou si il s’agit d’un bind pourrave de l’interface direct sur wan. &nbsp;





Si tu veux permettre l’administration distante, donc une connexion depuis le wan, tu ne fais pas 36 bind.

&nbsp;Tu listen sur 0:0:0:0:* et tu bloques la connexion extérieure par un pare-feu.

Pare-feu qui ne fonctionne pas dans le cas de ces modem-routeurs.

Fin du sujet sensationnaliste.









psn00ps a écrit :



Si tu veux permettre l’administration distante, donc une connexion depuis le wan, tu ne fais pas 36 bind.

&nbsp;Tu listen sur 0:0:0:0:* et tu bloques la connexion extérieure par un pare-feu.

Pare-feu qui ne fonctionne pas dans le cas de ces modem-routeurs.

Fin du sujet sensationnaliste.





C’est juste pire…



Heu, c’est de la non-assistance à euthanasie, non?

Vous auriez pu faire rebooter toutes les bbox MiamiamiamiCocaïncocaine (https://kickass.to/usearch/saez%20miami/ ), jusqu’à la disparition de la marque, c’eut été charitable.

Maintenant, ils vont devoir agoniser lentement <img data-src=" />