Livebox, Box SFR : une énorme faille permet de cracker leur clé WiFi en quelques secondes !

 

Les Livebox Orange et Box SFR sont touchées par une énorme faille de sécurité qui permet de cracker leur clé WiFi en quelques secondes à peine. Le problème touche en fait la fonctionnalité WPS qui permet lorsqu'elle est activée d'appairer un ordinateur en appuyant simplement sur le bouton du routeur. Sur ces box la fonctionnalité est activée par défaut, mais configurée sans aucun PIN. Un hacker montre à quel point il est facile d'exploiter cette faille. 

livebox 4

Une faille de sécurité des Livebox et des Box SFR permet de cracker leur clé WiFi en quelques secondes. L'astuce, c'est que sur ces box la fonctionnalité WPS est activée par défaut, bien que configurée sans aucun PIN.  Le Wi-Fi Protected Setup (WPS) est un standard qui permet à des particuliers ayant peu de connaissances en termes de sécurité de connecter leur ordinateur avec une longue clé WPA sans avoir à la copier manuellement.

L'utilisateur qui veut ajouter un ordinateur ou un smartphone au réseau peut, au choix, en général, soit entrer un PIN sur le nouvel appareil. Soit appuyer sur un bouton physique qui se trouve sur la box. Ce qui permet alors à l'ordinateur de récupérer automatiquement la clé WiFi et de connecter l'ordinateur en quelques secondes.  A priori, l'absence de ce PIN empêche d'utiliser la fonctionnalité sans appuyer directement sur la box.

MAJ 14/08 : SFR a indiqué être au courant de la faille et travaille à sa correction déployée dans une prochaine mise à jour. Orange a également annoncé la sortie prochaine d'un correctif, et argumente que la faille concerne un “nombre très limité” de box grand public sous “certaines configurations spécifiques”.

Les Livebox et les Box SFR ont une énorme faille de sécurité qui permet de cracker le mot de passe WiFi !

Sauf qu'il est possible avec un programme spécial d'utiliser un code de PIN vide pour forcer ces box à s'appairer avec un ordinateur sans appuyer sur le bouton, et par la même occasion obtenir en clair la clé WiFi ! La manipulation nécessaire n'est pas à la portée de tout le monde. Il faut un minimum de connaissances, et utiliser l'outil reaver en ligne de commandes via la distribution Kali Linux (une distribution gratuite spécialement conçue pour tester la sécurité des systèmes).

Jérémy Martin, à l'origine de la découverte de la faille, a dans un premier temps contacté Orange et SFR pour leur signaler la faille, mais ces derniers n'ont pas réagi assez vite à son goût. Alors il a décidé quelques heures à peine plus tard de montrer la procédure dans une vidéo détaillée. Un délai soulignons-le hyper vache, et vraiment insuffisant. En général quand on découvre une faille on laisse a minima plusieurs semaines pour que les équipes techniques puissent réagir !

Du coup les opérateurs n'ont pas le choix, s'ils persistent à ne pas réagir, ils exposent des millions de clients à ce que leurs voisins pénètrent à leur insu sur leur réseau local.  Une mise à jour du firmware sera nécessaire pour empêcher la box d'accepter un PIN vide. Mais attendant qu'Orange et SFR réagissent, il est déjà possible de se protéger : pour cela il suffit d'aller dans les pages de configuration de votre box internet et de désactiver totalement la fonctionnalité WPS. Que vous risquez bien de ne pas regretter surtout si vous ne l'aviez jamais utilisée !



Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers articles !
orange stephane richard
5G : Orange et Free pourraient mutualiser leur réseau

Stéphane Richard, PDG d’Orange, affirme que les conditions sont réunies pour un accord de partage de réseau 5G avec Free. L’accord permettrait aux deux opérateurs d’accélérer leur déploiement, tout en faisant des économies.  Stéphane Richard l’a dévoilé en marge de…

Huawei Logo
5G : Huawei et ZTE sont exclus du réseau en Suède

La Suède vient de bannir Huawei et ZTE de son futur réseau 5G. D’ici le 1er janvier 2025, tous les équipements réseau fournis par les deux groupes chinois seront démantelés par mesure de sécurité nationale. La Chine a rapidement réagi à l’éviction…

5G
5G : près de 500 antennes sont déjà installées partout en France

Plus que quelques semaines avant l’arrivée de la 5G. Alors que les premiers forfaits et smartphones compatibles ont été annoncés, les opérateurs, Orange en tête, mènent des tests sur tout le territoire pour évaluer les possibilités du réseau. Après de…

Capture 7
Le patron de Free Xavier Niel dit stop aux smartphones subventionnés

Xavier Niel, le patron de Free, se bat depuis longtemps contre le système des smartphone subventionnés pratiqué par la concurrence. Il revient aujourd’hui à la charge dans une interview accordée au journal Les Echos. Pour lui, ce système de subvention…

5g
5G : tout ce qu’il faut savoir sur le réseau du futur

La 5G, on en entend parler de plus en plus. Ce réseau du futur, tous les industriels y croient. Il permettra de nous faire vivre dans un monde ultra-connecté où les voitures se déplaceront en toute autonomie. Entre autre.

Lille
5G : Lille dit stop au déploiement du réseau

La ville de Lille a décidé de se suspendre le déploiement de la 5G sur son territoire. Le conseil municipal estime en effet qui lui faut attendre de nouvelles études sur les dangers supposés du réseau pour se décider. Cédric…