Une faille de sécurité « zero day » découverte sur des box SFR et Orange

Tech > SFR > Orange
Par Gael Brulin publié le 12 août 2017 à 14h45, modifié le 12 août 2017 à 14h47.

Un expert en sécurité a rendu publique une faille de sécurité "zero day" qui, si exploitée, peut permettre à des personnes malententionnées de s'introduire dans le réseau WiFi d'abonnés SFR et Orange.

En ayant eu recours à une version mise à jour du logiciel Reaver, un expert en sécurité est parvenu à révéler une faille de sécurité « zero day » sur un modèle de box de l’opérateur SFR. Une brèche permettant à pratiquement n’importe qui d’accéder à un réseau WiFi a priori protégé.

La faille est en fait visible au niveau de la fonction d’authentification WPS. Lorsque cette dernière est activée, elle rend quasi-systématique la connexion WiFi sur des appareils sur lesquels il n’est ainsi pas nécessaire d’entrer la clé de sécurité WPA. Même si le paramétrage peut aussi s’effectuer via un code PIN.

Box SFR et Orange : une faille via la fonction d’authentification WPS

01net.com rapporte que le spécialiste en sécurité Jérémy Martin s’est servi de la version 1.6.1 de son outil d’audit de sécurité pour envoyer un code PIN vide et ainsi simuler un appareillage. Et s’il a travaillé sur une box SFR NB6V, d’autres modèles de l’opérateur sont concernés puisque le site Zataz a réussi une démonstration semblable avec des Neufbox 4,6 et 6V.

Orange n’est pas épargné puisque l’expérience a été validée sur des Livebox 2 et 3. L’éditeur de Zataz indique avoir « récupéré en pleine nuit et très facilement une quantité importante de clefs WPA », et que selon lui, un nombre conséquent d’abonnés seraient touchés.

Orange : un « nombre très limité de Livebox » grand public concernées

Les opérateurs ont depuis fait savoir être au courant de cette brèche et que des efforts sont fournis pour la colmater au plus vite. Du côté d’Orange, on tente de minimiser sa portée : « Nous avons été informés d’une vulnérabilité qui permettrait de contourner l’authentification du WiFi (via WPS). Cette vulnérabilité ne concerne qu’un nombre très limité de Livebox chez nos clients grand public et seulement pour certaines configurations très spécifiques. Les équipes techniques d’Orange déploient actuellement un correctif. Ceci ne nécessite aucune intervention des clients ».

En attendant une mise à jour des firmwares, il est conseillé de désactiver la fonction WPS de sa box et de modifier sa clé WPA.

En savoir plus