Août 17
15
Faille de sécurité WPS critique sur les Livebox et box SFR
L’information est partie d’un important forum francophone dédié à la sécurité informatique et au Wifi: 0day SFR et Orange « pin null ».
L’exploitation d’une faille dans l’implémentation du WPS permet de récupérer la passphrase Wifi WPA sur plusieurs modèles de box SFR et Orange. L’opération réalisée avec la version 1.6.1 de Reaver (un outil de pentesting permettant d’attaquer les PINs WPS) ne prend que quelques secondes.
La vulnérabilité, dite faille du PIN null car elle consiste à envoyer une valeur de PIN WPS vide afin de récupérer la clé, est exploitable sur une vingtaine de modèles de box, et la liste ne cesse de se développer:
Des scripts automatisant l’exploitation de la faille sont déja disponibles:
Inutile de préciser que la vulnérabilité concerne potentiellement plusieurs millions de box en place au vu du nombre de modèles de box vulnérables. Le problème, bien que majeur, semble pris à la légère par les FAI qui montrent une fois encore leur incapacité à fournir un réseau sécurisé à leurs clients.
Orange minimise le problème en déclarant: « Cette vulnérabilité ne concerne qu’un nombre très limité de Livebox chez nos clients grand public et seulement pour certaines configurations très spécifiques ». C’est bien sur faux, puisque de nombreux modèles de box sont affectées, et que le seul cas ou la configuration de la box permet d’éviter la faille est lorsque le WPS a été désactivé, ce que 99% des clients ne font pas spontanément. Orange assure également: « Les équipes techniques d’Orange déploient actuellement un correctif ». En réalité, il s’agit là aussi de noyer le poisson, puisque aucune mise à jour n’a été constatée par les utilisateurs sur les box affectées.
De son coté, SFR fait l’autruche et ne confirme pas ouvertement l’existence du problème:
Autant dire qu’à ce rythme, la faille risque bien de ne pas etre patchée avant plusieurs semaines. Dans le doute, si vous voulez éviter tout risque d’intrusion sur votre réseau, il faut vous rendre dans l’interface d’administration de votre box et désactiver le WPS, tout simplement. Cette règle est valable pour tous les FAI et tous les modèles de box, WPS ayant déja posé de nombreux problèmes de sécurité.
A lire également
Continuez votre lecture sur des sujets similaires en consultant les articles suivants :
j’ai une livebox play, le correctif a-t-il été déployé sur ma box ?
Merci