Livebox, Box SFR : une énorme faille permet de cracker leur clé WiFi en quelques secondes !

Les Livebox Orange et Box SFR sont touchées par une énorme faille de sécurité qui permet de cracker leur clé WiFi en quelques secondes à peine. Le problème touche en fait la fonctionnalité WPS qui permet lorsqu’elle est activée d’appairer un ordinateur en appuyant simplement sur le bouton du routeur. Sur ces box la fonctionnalité est activée par défaut, mais configurée sans aucun PIN. Un hacker montre à quel point il est facile d’exploiter cette faille. 

livebox 4

Une faille de sécurité des Livebox et des Box SFR permet de cracker leur clé WiFi en quelques secondes. L’astuce, c’est que sur ces box la fonctionnalité WPS est activée par défaut, bien que configurée sans aucun PIN.  Le Wi-Fi Protected Setup (WPS) est un standard qui permet à des particuliers ayant peu de connaissances en termes de sécurité de connecter leur ordinateur avec une longue clé WPA sans avoir à la copier manuellement.

L’utilisateur qui veut ajouter un ordinateur ou un smartphone au réseau peut, au choix, en général, soit entrer un PIN sur le nouvel appareil. Soit appuyer sur un bouton physique qui se trouve sur la box. Ce qui permet alors à l’ordinateur de récupérer automatiquement la clé WiFi et de connecter l’ordinateur en quelques secondes.  A priori, l’absence de ce PIN empêche d’utiliser la fonctionnalité sans appuyer directement sur la box.

MAJ 14/08 : SFR a indiqué être au courant de la faille et travaille à sa correction déployée dans une prochaine mise à jour. Orange a également annoncé la sortie prochaine d’un correctif, et argumente que la faille concerne un « nombre très limité » de box grand public sous « certaines configurations spécifiques ».

Les Livebox et les Box SFR ont une énorme faille de sécurité qui permet de cracker le mot de passe WiFi !

Sauf qu’il est possible avec un programme spécial d’utiliser un code de PIN vide pour forcer ces box à s’appairer avec un ordinateur sans appuyer sur le bouton, et par la même occasion obtenir en clair la clé WiFi ! La manipulation nécessaire n’est pas à la portée de tout le monde. Il faut un minimum de connaissances, et utiliser l’outil reaver en ligne de commandes via la distribution Kali Linux (une distribution gratuite spécialement conçue pour tester la sécurité des systèmes).

Jérémy Martin, à l’origine de la découverte de la faille, a dans un premier temps contacté Orange et SFR pour leur signaler la faille, mais ces derniers n’ont pas réagi assez vite à son goût. Alors il a décidé quelques heures à peine plus tard de montrer la procédure dans une vidéo détaillée. Un délai soulignons-le hyper vache, et vraiment insuffisant. En général quand on découvre une faille on laisse a minima plusieurs semaines pour que les équipes techniques puissent réagir !

Du coup les opérateurs n’ont pas le choix, s’ils persistent à ne pas réagir, ils exposent des millions de clients à ce que leurs voisins pénètrent à leur insu sur leur réseau local.  Une mise à jour du firmware sera nécessaire pour empêcher la box d’accepter un PIN vide. Mais attendant qu’Orange et SFR réagissent, il est déjà possible de se protéger : pour cela il suffit d’aller dans les pages de configuration de votre box internet et de désactiver totalement la fonctionnalité WPS. Que vous risquez bien de ne pas regretter surtout si vous ne l’aviez jamais utilisée !

Réagissez à cet article !
  • Papounet UT

    Il ne s’agit pas d’une faille de sécurité puisqu’il faut être physiquement dans la pièce pour pouvoir utiliser le bouton WPS.

    Par un voisin merci d’avoir donner la marche à suivre.
    On dirait que vous avez un petit pois dans la tête.

    Il faut un minimum de connaissances, et utiliser l’outil reaver en ligne de commandes via la distribution Kali Linux (une distribution gratuite spécialement conçue pour tester la sécurité des systèmes).

    • Grabo20

      C’est un faille de sécurité.
      Justement car comme dit dans la vidéo, en théorie on est en mode « push button ».
      Ce n’est pas le cas, sans appuyer sur aucun bouton on peut utiliser l’outil reaver.

      Peut-être que l’article ne l’a pas décrit comme ça, mais j’ai pas envie de relire surtout vu le niveau d’écriture.

      • Oula monsieur ;) Ça me peine de voir que vous commentez sans même avoir lu l’article. Qui sait, vous seriez peut-être agréablement surpris par sa qualité ^^

    • gazgaz

      C’est toi qui a un vide intersidéral dans la tête plutôt, y’a pas besoin d’être présent dans la pièce justement. ^^

      Et Kali c’est abordable par des gamins de 15 ans facile donc bon. Suffit juste d’avoir la volonté de s’y mettre en regardant quelques tutos sur le net.

    • Sk. Stef

      @Papounet UT , toi t’as fais ma journée, elle me parait plus belle maintenant :-D

  • Dizirien

    Jérémy Martin, à l’origine de la découverte de la faille, a dans un
    premier temps contacté Orange et SFR pour leur signaler la faille, mais
    ces derniers n’ont pas réagi assez vite à son goût. Alors il a décidé
    quelques heures à peine plus tard de montrer la procédure dans une vidéo
    détaillée. Un délai soulignons-le hyper vache, et vraiment insuffisant.
    En général quand on découvre une faille on laisse a minima plusieurs
    semaines pour que les équipes techniques puissent réagir !

    avec un tel délai, j’appelle surtout cela volonté de nuire en se faisant passer pour un gentil hacker. un mec du genre à mettre le feu pour prouver que les pompiers manquent de matériel.

    • aRmata

      Mais j’espère que t’es pas sérieux? C’est un troll non?

      « En général quand on découvre une faille on laisse a minima plusieurs 
      semaines pour que les équipes techniques puissent réagir ! »

    • iAndroid

      C’est comme dans la vie, si tu ne mets pas les gens/sociétés devant le fait accompli alors tout le monde s’en fiche « ouais, c’est rien c’est pas grave, on verra ça plus tard éventuellement, etc » alors qu’en démontrant comment s’y prendre ben là ça fout la panique mais ça va obliger à en foutre quelques un au boulot plutôt que de rester à s’en battre les c.
      C’est le principe des « lanceurs d’alerte » qui doivent faire les choses à l’envers et porter à connaissance du grand public des choses qui ne vont pas parce s’ils contactent leur CE ou leur syndicat c’est souvent qu’ils s’en foutent « laisser tomber, va pas remuer la merde, qu’est-ce que ça peut te foutre ? » voilà où on en arrive.

  • chatdoc

    J’active le filtre Mac…. ai-je raison ?

Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
SFR : nouveau licenciement à la tête de l’opérateur !

Mais que se passe-t-il chez SFR ? Depuis quelques mois, l’opérateur au carré rouge pratique des licenciements à la pelle. C’est cette fois au tour de Henri Juin, le patron de SFR Business d’être remercié par l’opérateur, après seulement 4 mois d’exercice !

Orange Bank : le lancement aura lieu le 2 novembre !

Orange Bank sera lancé officiellement le 2 novembre d’après Stéphane Richard le PDG d’Orange qui l’a annoncé sur les réseaux sociaux. C’est un pari pour l’opérateur qui se lance dans une nouvelle activité, toutefois l’opérateur souhaitait être certain que le lancement se ferait sans accrocs.

7f1d31feed17a4dac922269e610ad42944444444444444444444444444