Les Livebox Orange et Box SFR sont touchées par une énorme faille de sécurité qui permet de cracker leur clé WiFi en quelques secondes à peine. Le problème touche en fait la fonctionnalité WPS qui permet lorsqu'elle est activée d'appairer un ordinateur en appuyant simplement sur le bouton du routeur. Sur ces box la fonctionnalité est activée par défaut, mais configurée sans aucun PIN. Un hacker montre à quel point il est facile d'exploiter cette faille. 

Une faille de sécurité des Livebox et des Box SFR permet de cracker leur clé WiFi en quelques secondes. L'astuce, c'est que sur ces box la fonctionnalité WPS est activée par défaut, bien que configurée sans aucun PIN.  Le Wi-Fi Protected Setup (WPS) est un standard qui permet à des particuliers ayant peu de connaissances en termes de sécurité de connecter leur ordinateur avec une longue clé WPA sans avoir à la copier manuellement.

L'utilisateur qui veut ajouter un ordinateur ou un smartphone au réseau peut, au choix, en général, soit entrer un PIN sur le nouvel appareil. Soit appuyer sur un bouton physique qui se trouve sur la box. Ce qui permet alors à l'ordinateur de récupérer automatiquement la clé WiFi et de connecter l'ordinateur en quelques secondes.  A priori, l'absence de ce PIN empêche d'utiliser la fonctionnalité sans appuyer directement sur la box.

MAJ 14/08 : SFR a indiqué être au courant de la faille et travaille à sa correction déployée dans une prochaine mise à jour. Orange a également annoncé la sortie prochaine d'un correctif, et argumente que la faille concerne un “nombre très limité” de box grand public sous “certaines configurations spécifiques”.

Les Livebox et les Box SFR ont une énorme faille de sécurité qui permet de cracker le mot de passe WiFi !

Sauf qu'il est possible avec un programme spécial d'utiliser un code de PIN vide pour forcer ces box à s'appairer avec un ordinateur sans appuyer sur le bouton, et par la même occasion obtenir en clair la clé WiFi ! La manipulation nécessaire n'est pas à la portée de tout le monde. Il faut un minimum de connaissances, et utiliser l'outil reaver en ligne de commandes via la distribution Kali Linux (une distribution gratuite spécialement conçue pour tester la sécurité des systèmes).

Jérémy Martin, à l'origine de la découverte de la faille, a dans un premier temps contacté Orange et SFR pour leur signaler la faille, mais ces derniers n'ont pas réagi assez vite à son goût. Alors il a décidé quelques heures à peine plus tard de montrer la procédure dans une vidéo détaillée. Un délai soulignons-le hyper vache, et vraiment insuffisant. En général quand on découvre une faille on laisse a minima plusieurs semaines pour que les équipes techniques puissent réagir !

Du coup les opérateurs n'ont pas le choix, s'ils persistent à ne pas réagir, ils exposent des millions de clients à ce que leurs voisins pénètrent à leur insu sur leur réseau local.  Une mise à jour du firmware sera nécessaire pour empêcher la box d'accepter un PIN vide. Mais attendant qu'Orange et SFR réagissent, il est déjà possible de se protéger : pour cela il suffit d'aller dans les pages de configuration de votre box internet et de désactiver totalement la fonctionnalité WPS. Que vous risquez bien de ne pas regretter surtout si vous ne l'aviez jamais utilisée !