Comblée en urgence début août par Orange et SFR, une faille du standard WPS relatif aux réseaux Wi-Fi sur certaines box est connue publiquement depuis juin 2015 sur un autre modèle. SFR nous confirme remplacer le matériel de certains clients.
Le week-end du 12 août, Orange et SFR mettaient à jour, en urgence, certaines de leurs box Internet. Les correctifs visaient à colmater une faille du standard WPS relatif aux réseaux Wi-Fi, diffusée sur le forum Crack-Wifi quelques jours plus tôt. Mais plusieurs internautes ont réussi à reproduire la manœuvre dans les jours précédant la correction, laissant la porte ouverte à une exploitation.
Selon certains, des Neufbox v4, v5 et v6 seraient touchées, ainsi que des Livebox 2 et 3. Si Orange n'a pas encore répondu à nos questions, refusant de détailler les modèles concernés, SFR a pu nous en dire un peu plus. Ainsi, nous avons pu avoir la confirmation que des Neufbox v4 et v6 sont concernées, sur « un peu plus de 400 clients ».
Une vulnérabilité déjà identifiée en 2015
Pour rappel, cette vulnérabilité exploite le WPS, le standard de connexion simplifiée au Wi-Fi des box. Plusieurs modes sont proposés, dont l'entrée d'un code PIN (plus court que le mot de passe du réseau sans fil) ou l'appui sur un bouton physique du routeur. Le problème est que, sur les modèles ciblés, l'activation de ce second mode ne désactive pas l'accès par code PIN. Dans certains cas, il permet ainsi d'obtenir rapidement le mot de passe Wi-Fi en envoyant un code PIN vide.
Car certains constructeurs et opérateurs laissent une telle valeur par défaut sur des box envoyées aux clients. En activant le mode « pousse bouton », ils pensent mécaniquement désactiver l'entrée par PIN. Or, comme le prouve le logiciel Reaver (qui teste à la chaine des mots de passe WPS), il reste en fait activé dans certains cas. Depuis la version 1.6b du logiciel, publiée fin juin, un utilisateur peut entrer une valeur arbitraire, donc un PIN vide.
À la publication de cette nouvelle version, la faille a d'abord été trouvée sur une box de l'opérateur espagnol Jazztel, filiale du français Orange. « Nos équipes de veille sécurité n’étaient pas au courant avant ce jeudi 10 août » nous certifie pourtant l'opérateur. Il nous affirme par ailleurs qu'aucune intervention client n'est nécessaire et que les clés WPA des box affectées ne sont pas changées par son correctif.
Mais en réalité, la faille n'était pas nouvelle. Elle avait déjà été trouvée en juin 2015, comme le précise le billet d'annonce de la mise à jour de Reaver deux ans plus tard. À l'époque, il s'agissait d'une modification isolée de l'outil, par un internaute testant la sécurité du routeur Sagem HG658c. Tout y est : le code PIN vide entré via Reaver et un appareil configuré en WPS via le mode « pousse bouton », renvoyant tout de même la clé WPA à la requête avec code vide.
SFR remplace certaines box de clients touchés
Nous avons contacté l'auteur de ces découvertes, en juin sur une box Jazztel et en août pour Orange et SFR, sans réponse à nos questions pour le moment. Il n'est pas encore sûr que les opérateurs aient été contactés individuellement avant la publication des vulnérabilités depuis juin 2017.
Un expert des box opérateurs, interrogé, s'étonne pour sa part de trouver une telle faille chez deux groupes télécom, exploitant des puces réseau différentes. Il estime que, si reproduire le problème sur les box incriminées demande une configuration logicielle et du matériel très précis, le problème aurait dû être connu bien avant.
Pour sa part, SFR a contacté des clients concernés. « Cette vulnérabilité a pu permettre par le détournement de votre clé d'authentification personnelle un accès non autorisé à votre réseau Wi-Fi et par là-même aux données personnelles (données nominatives, photographies, fichier…) de vos répertoires et espaces partagés non protégés par un mot de passe » constate l'entreprise.
La société affirme avoir désactivé le WPS à distance, via son correctif du 12 août, et leur promet de changer leur box pour un modèle plus récent. Interrogé, l'opérateur ne nous a pas précisé quel modèle est fourni en remplacement, ni pourquoi préférer changer le matériel que d'opter pour une mise à jour.
Commentaires (17)
#1
Ce n’est pas si étonnant: si la puce wifi était identique, c’est très souvent la stack entière du fournisseur qui est utilisé (i.e. driver WiFi + démon(s) pour gérer le WPS)
Il suffit d’ajouter à cela une doc défaillante/floue pour que les équipes d’intégration se soient aussi fait piégées.
#2
En l’occurrence, elles semblent bien provenir de fabricants différents, d’où la question.
#3
Qu’en pense Hadopi ?
#4
Je suis en NB4 et je n’ai rien reçu de la part de SFR.
#5
albanel proposait d’utiliser open office, mais ils n’ont pas upgrade en Libre Office, c’est normal alors d’avoir de tel failles :o
#6
#7
soit un peu plus de 400 clients
" /> z’ont oublié le “K” derrière je pense…
Bah voyons tout le monde y croit…
#8
Non, je ne pense pas qu’ils remplaceraient 400.000 box, sauf contrainte absolue, qui ferait très mal au budget. Je pense qu’ils remplacent un vieux modèle de box, sur laquelle il n’y a plus de mise à jour de firmware, qui ne concerne plus que 400 clients, et donc cela revient moins cher de la remplacer que de payer un nouveau développement.
#9
#10
L’article laisse planer le doute sur le fournisseur de la box ou de la pile Wifi.
Il est tout à fait possible aussi que la faille soit dans un framework opensource :)
#11
Je trolle un peu trop gras, on vient de faire installer la fibre SFR au bureau (c’est les seuls dispo) et on a un petit 850mo/s donc c’est honnête
#12
je sais pas si ils ont toujours autant de client, mais ils viennent d’en perdre un à cause de leurs conneries sur les portables… (par ailleurs rien à redire sur la prestation fibre) Et oui à force de faire des offres jumelées net+portable, quand y’en a un qui chie et ben on change les deux…
#13
850 milli octets/s ? parce que 850 mega octets/s ça paraît gros
" />
#14
Comme dit hier, je ne me trompe jamais.
Mais il se pourrait que mon clavier ai écrit Mo/s à la place de Mbp/s.
Je tape tellement vite qu’il ne souvient pas forcément de ce que j’ai fais donc il improvise.
Sur ce, ca serait bien que j’aille dormir ^^’
#15
#16
J’espère que c’est pas ça qui a mis en rade ma livebox fibre car je n’ai jamais regardé les options de la dite box et si par malheur c’est activé par défaut…
#17