Comblée en urgence début août par Orange et SFR, une faille du standard WPS relatif aux réseaux Wi-Fi sur certaines box est connue publiquement depuis juin 2015 sur un autre modèle. SFR nous confirme remplacer le matériel de certains clients.

Le week-end du 12 août, Orange et SFR mettaient à jour, en urgence, certaines de leurs box Internet. Les correctifs visaient à colmater une faille du standard WPS relatif aux réseaux Wi-Fi, diffusée sur le forum Crack-Wifi quelques jours plus tôt. Mais plusieurs internautes ont réussi à reproduire la manœuvre dans les jours précédant la correction, laissant la porte ouverte à une exploitation.

Selon certains, des Neufbox v4, v5 et v6 seraient touchées, ainsi que des Livebox 2 et 3. Si Orange n'a pas encore répondu à nos questions, refusant de détailler les modèles concernés, SFR a pu nous en dire un peu plus. Ainsi, nous avons pu avoir la confirmation que des Neufbox v4 et v6 sont concernées, sur « un peu plus de 400 clients ». 

Une vulnérabilité déjà identifiée en 2015

Pour rappel, cette vulnérabilité exploite le WPS, le standard de connexion simplifiée au Wi-Fi des box. Plusieurs modes sont proposés, dont l'entrée d'un code PIN (plus court que le mot de passe du réseau sans fil) ou l'appui sur un bouton physique du routeur. Le problème est que, sur les modèles ciblés, l'activation de ce second mode ne désactive pas l'accès par code PIN. Dans certains cas, il permet ainsi d'obtenir rapidement le mot de passe Wi-Fi en envoyant un code PIN vide.

Car certains constructeurs et opérateurs laissent une telle valeur par défaut sur des box envoyées aux clients. En activant le mode « pousse bouton », ils pensent mécaniquement désactiver l'entrée par PIN. Or, comme le prouve le logiciel Reaver (qui teste à la chaine des mots de passe WPS), il reste en fait activé dans certains cas. Depuis la version 1.6b du logiciel, publiée fin juin, un utilisateur peut entrer une valeur arbitraire, donc un PIN vide.

À la publication de cette nouvelle version, la faille a d'abord été trouvée sur une box de l'opérateur espagnol Jazztel, filiale du français Orange. « Nos équipes de veille sécurité n’étaient pas au courant avant ce jeudi 10 août » nous certifie pourtant l'opérateur. Il nous affirme par ailleurs qu'aucune intervention client n'est nécessaire et que les clés WPA des box affectées ne sont pas changées par son correctif.

Mais en réalité, la faille n'était pas nouvelle. Elle avait déjà été trouvée en juin 2015, comme le précise le billet d'annonce de la mise à jour de Reaver deux ans plus tard. À l'époque, il s'agissait d'une modification isolée de l'outil, par un internaute testant la sécurité du routeur Sagem HG658c. Tout y est : le code PIN vide entré via Reaver et un appareil configuré en WPS via le mode « pousse bouton », renvoyant tout de même la clé WPA à la requête avec code vide.

SFR remplace certaines box de clients touchés

Nous avons contacté l'auteur de ces découvertes, en juin sur une box Jazztel et en août pour Orange et SFR, sans réponse à nos questions pour le moment. Il n'est pas encore sûr que les opérateurs aient été contactés individuellement avant la publication des vulnérabilités depuis juin 2017.

Un expert des box opérateurs, interrogé, s'étonne pour sa part de trouver une telle faille chez deux groupes télécom, exploitant des puces réseau différentes. Il estime que, si reproduire le problème sur les box incriminées demande une configuration logicielle et du matériel très précis, le problème aurait dû être connu bien avant.

Pour sa part, SFR a contacté des clients concernés. « Cette vulnérabilité a pu permettre par le détournement de votre clé d'authentification personnelle un accès non autorisé à votre réseau Wi-Fi et par là-même aux données personnelles (données nominatives, photographies, fichier…) de vos répertoires et espaces partagés non protégés par un mot de passe » constate l'entreprise.

La société affirme avoir désactivé le WPS à distance, via son correctif du 12 août, et leur promet de changer leur box pour un modèle plus récent. Interrogé, l'opérateur ne nous a pas précisé quel modèle est fourni en remplacement, ni pourquoi préférer changer le matériel que d'opter pour une mise à jour.