Il y a trois semaines, nous étions alertés sur le fait que l'interface d'administration de certaines Bbox était librement accessible sur Internet. Des informations comme le numéro de téléphone, le nom du réseau Wi-Fi, le type de chiffrement étaient ainsi disponibles. Alerté par nos soins, Bouygues Telecom a déployé un patch et promet un nouveau firmware.
Sur Internet, la sécurité des utilisateurs est régulièrement remise en question avec l'annonce de failles plus ou moins complexes à exploiter (Heartbleed, POODLE ou encore FREAK par exemple). Mais parfois les choses sont beaucoup plus simples et il suffit d'une adresse IP pour accéder à des informations qui devraient rester confidentielles. C'est ce qu'il s'est récemment passé sur des Bbox de Bouygues Telecom.
L'interface d'administration de certaines Bbox accessible à n'importe qui sur Internet
Comme nous l'a signalé un lecteur (merci Guillaume), il suffisait d'une simple recherche sur le moteur Shodan pour trouver l'adresse IP de très nombreuses Bbox. Problème, dans certains cas il suffisait de l'entrer dans son navigateur pour accéder à l'interface d'administration, sans aucune demande de mot de passe :
Des informations comme le ou les numéros de téléphone, l'adresse MAC, le numéro de série de la Bbox, le nom du réseau Wi-Fi, le type de chiffrement utilisé ainsi que la liste de tous les équipements connectés à la Bbox (avec leur adresse IP et leur nom sur le réseau local) étaient ainsi librement accessibles. On pouvait également désactiver le Wi-Fi et redémarrer la Bbox par exemple. D'après nos constatations, le service de prise en main à distance était désactivé et le pare-feu de la box était bien configuré sur « mode standard » (celui qui est utilisé par défaut) sur les différentes Bbox auxquelles nous avons pu nous connecter.
Pour accéder aux paramètres réseau avancés, la Bbox demande bien un login et un mot de passe (admin/admin par défaut), comme précisé sur la page de connexion (voir la capture ci-dessous). Mais une couche de protection supplémentaire empêche de se connecter, même si l'utilisateur n'a pas changé son mot de passe et qu'il s'agit donc de admin/admin, un point que nous a confirmé Bouygues Telecom. Du coup impossible d'accéder à la table NAT, mot de passe Wi-Fi et serveur DHCP par exemple.
Bouygues confirme le problème et indique que « certains pare-feu ne fonctionnent pas »
Dès que nous avons eu connaissance de cette faille de sécurité, nous avons bien évidemment contacté le fournisseur d'accès. Quelques heures plus tard, son service presse nous répondait et confirmait l'existence d'un problème en indiquant que le souci avait été détecté par ses équipes trois jours plus tôt : « certains pare-feu ne fonctionnaient pas ». Selon FAI, « quelques centaines de box » étaient concernées, toutes disposant d'une même version matérielle, sans plus de détails sur ce point.
Bouygues Telecom ajoute que « cela ne permet pas de rentrer dans le réseau » de ses clients. Et si nous n'avons effectivement accès à l'interface d'administration de la Bbox, nous ne pouvons pour autant pas récupérer des données sur le réseau local.
Quoi qu'il en soit, lorsque le fournisseur d'accès a répondu à nos questions, durant les vacances scolaires de février, il nous a précisé que la majorité des Bbox concernée était patchée, « mais pas toutes ». Nous avons donc décidé d'attendre que ce soit le cas avant de publier cette information, l'interface d'administration de plusieurs Bbox étant à ce moment-là encore accessibles d'une simple recherche dans Shodan. De son côté, l'opérateur nous précisait qu'il continuait à déployer son correctif.
Un patch a été déployé, un nouveau firmware est en préparation
Deux semaines après que nous ayons remonté ce problème à Bouygues Telecom, le service presse de l'opérateur revenait vers nous pour nous indiquer qu'il avait « la confirmation que toutes les box connectées sur le réseau étaient OK suite à la distribution d’un patch » ajoutant qu'il continue « la surveillance pour rattraper les éventuelles quelques dernières qui auraient été hors ligne pendant les vacances ».
De notre côté, nous avons pu constater qu'aucune Bbox n'était plus trouvable dans Shodan. Sachez enfin que le prochain firmware des Bbox « empêchera le problème de se produire sur de nouvelles box ».
Commentaires (51)
je connaissais pas Shodan du coup ^^
Ça me rappelle les anciennes BBox qui permettaient de récupérer le mot de passe à partir du nom par défaut du hotspot.
cela dit quelque soit le fai, le bon vieux admin/admin par défaut est pratique, quand on a des connaissances/famille/amis qui ont pb de wifi
" />
mais l’accès à distance open bar, c’est nouveau, prometteur !
Surtout avec Orange qui il y a quelques années avait réinitialisé à admin/admin l’ensemble des LiveBox… Y compris celles où l’utilisateur avait pris soin de changer le mot de passe…
free avait une faille similaire ( voir plus grave ) avec le free-wifi à une époque.
si la personne n’avait pas payez sa facture, la page freewifi t’invitait à payer la facture et te connectait directement sans aucun mot de passe à l’interface avec toutes les infos qui vont bien. c’était en 2012, je suppose que ça a était patché depuis.
shodan liste encore des bbox (sur réseau NC), on a toujours accès à l’interface publique
le “patch” semble juste être un nouveau passwd par défaut …
Sauf que ça n’a rien à voir.
Sur ces vieilles Bbox, le sous-traitant avait fourni un soft qui par construction contenait la faiblesse
(C’était bien une feature, donc).
Du coup, Bouygues a décidé que trop sous-traiter avait quelques inconvénients et a repris pas mal de choses en main (et aussi très certainement black-listé le sous-traitant).
Et maintenant, Bouygues avoue que ce dont il est question est un bug.
Question to myself: Comment une spécificité hardware peut lever ce bug ?
Perso ayant toujours fw les ports de la box sur mon serveur@domicile, aucune problématique même si elle était affecté… mais ca ne concerne qu’un très faible % de personne comme moi…
C’est plus de la faille à ce niveau là
" />
Ha ben c’est balo; ma bbox sensation ne se met jamais à jour
Obliger de faire un hard reset
Par contre si tu n’actives pas le service de prise en main à distance comment ont il fait pour pouvoir se connecter avec juste une adresse ip
Par défaut cette fonctionnalité n’est pas activée
Bon… j’avais pas vraiment tilté sur le problème, qui existe depuis des mois cela dit.
M’en suis aperçu en arrivant chez BT l’an dernier.
Le gars qui se connecte sur la mienne va voir que j’ai un routeur au cul de al box et une tv connectée ^^
Finalement, le plus chiant c’est le tel, vu que j’ai demandé le LR :/
Justement, c’est ça le bug
Par contre, je ne sais pas comment ça se fait:
Ou bien la «fonctionnalité» s’est activée toute seule sans regarder le paramètre, ou bien le paramètre a eu des crampes et qu’il s’est bougé tout seul sans rien demander à personne, je ne sais pas quelle hypothèse est la bonne.
Bouybouy parle de parefeu… Mais, avant tout, pourquoi c’est en écoute sur l’ip publique leur interface ?
Avec le pare-feu d’Open Office, cela ne serait jamais arrivé !
Albanel… <3
Ha tiens, je connaissais pas shodan, “merci” NXI
" />
Je viens de lire cet article. Ça fait vraiment peur, pouvoir accéder à la gestion d’un barrage hydroélectrique ou d’une station épuration d’un simple clic
" /> 
" /> Manquerait plus qu’il y ai des centrales nucléaires et là ça serait vraiment hyper dangereux 
" />
C’était plus drôle quand on accédait aux caméras de sécurité via une recherche sur Google
" /> 
" />
Je suis même tombé sur une caméra motorisée (PTZ) qui filmait un jardin… et j’ai pu effectivement déplacer l’angle de vue
Pour les centrales, j’espère que le réseau d’ordi interne est fermé, sans lien physique avec l’extérieur.
Dans l’usine où j’ai travaillé, le système de pilotage était sur des vieux coucou avec un système proprio (et sans ports USB), et il y avait un PC sous XP sans port USB avec accès à l’intranet, dédié à cela.
Je ne sais pas si les livebox sont accessibles de l’extérieur (faudrait que je teste), mais mon voisin qui a son wifi sans protection a aussi laissé le compte admin/admin sur sa livebox, du coup je peux toujours voir dessus…
Sympa le coup des mots de passe usine tous identiques…
Je n’ai pas nommé le constructeur mais je connais son nom.
À noter qu’on peut dire que la passphrase était connue parce qu’elle était calculée (de manière simple) à partir d’un élément de la box (je ne me souviens plus si c’était l’adresse MAC ou bien le SSID «sortie de l’emballage»)
Les box sont de vrais nids à failles c’est bien connu des pirates, que se soit Bbox ou autres. Il suffit la plupart du temps d’une petite recherche Google avec le modèle de la boiboite et la version du firmware pour trouver des failles aisément exploitables.
" />
Les FAI semblent s’en moquer
C’est ptet dur de géolocaliser une IP mais trouver un numéro de téléphone dans l’annuaire ca l’est moins, or celui ci apparait ! :(
“Bouygues Telecom ajoute que « cela ne permet pas de rentrer dans le réseau » de ses clients.”
" />
" />
C”est sûr ! M’enfin avec le nombre d’informations que l’on a obtenu, c’est tout de suite beaucoup plus simple que de rentrer dans un réseau dont on ne connaît rien…
Si il avait fais une box de bonne qualité et fiable ça m’aurait surpris mais là….. c’est juste normal !
j’ai open office comme parefeu donc je suis protégé ?
Dailleurs cest faux non?
Car si tu as accès au mdp wifi via l’administration, tu peux donc te co au réseau pour accéder au réseau du client, déplacement a son adresse necessaire
/nelson
HA! HA!
/nelson
Je viens de faire une recherche sur Shodan, et le premier résultat m’amène sur une Bbox ayant toujours cette faille …
Shodan, j’ai appris à connaitre à force de voir leurs robots se pointer sur mes serveurs
" />
Du coup, c’est super pratique comme outil pour savoir ce qui se cache derrière une adresse IP ou un nom de domaine
Tu découvres les routeurs ?
" />
" />
Si y’a pas d’autre filtre ouep sans soucis.
Si tu as masqué le SSID et/ou mis un filtrage mac c’est un peu mieux, bien que la bbox mette à dispo les mac avec les IP et le nom réseau des équipements connectés :/
Labanel for ever… J’ai adoré le sous-titre
Un patch a été déployé Listen 192.168.0.1 80 ça ne suffisait pas ? :x
Attention quand meme au informations de shodan. Il peut afficher des informations ancienne.
Mais c sur qu’ils faut etre vigilant.
J’ai eu ma BBox réinitialisé il y a une semaine (SSID par defaut, etc) suite au changement automatique fait par Bouygues entre l’offre Sensation d’origine et maintenant l’offre 20€ + option Sensation 6€ (gain de 10€ sans rien demander).
Ils en ont peut-être profité pour mettre à jour.
Ca date d’il y a 4 ans quand même ;)
Je n’arrive pas à retrouver l’article nextinpact sur le sujet mais j’en ai retrouvé la trace chez Korben.
Heu, c’est de la non-assistance à euthanasie, non?
" />
Vous auriez pu faire rebooter toutes les bbox MiamiamiamiCocaïncocaine (https://kickass.to/usearch/saez%20miami/ ), jusqu’à la disparition de la marque, c’eut été charitable.
Maintenant, ils vont devoir agoniser lentement