Orange : les mots de passe Wi-Fi de 19 490 Livebox volés suite à une faille de sécurité
Les Livebox d'Orange comportent une importante faille de sécurité, révèle une enquête. Grâce à cette faille, un pirate peut facilement récupérer le mot de passe Wi-Fi du modem et déployer une attaque sur tous vos appareils. Les modèles concernés sont situés en France et en Espagne. L'opérateur historique a rapidement décidé de lancer une enquête.
D'après une enquête de Troy Mursch, expert en sécurité pour Bad Packets Report, le mot de passe de 19 490 Livebox a fuité sans chiffrement sur la toile. 2 018 appareils sont toujours vulnérables à une attaque informatique de grand ampleur, met en garde le rapport.
Une grave faille de sécurité repérée dans les Livebox, Orange lance une enquête
Selon Troy Mursch, le pirate derrière cette attaque a exploité une faille de sécurité datant de 2012 (CVE-2018-20377). Grâce à elle, il est parvenu à récupérer à distance le mot de passe SSID et Wi-Fi des box visées. La plupart des appareils concernés avaient conservé le même mot de passe Wi-Fi que celui d'origine. Comme toujours, on vous conseille donc de changer ce mot de passe dès que possible.
Lire aussi : Livebox, Box SFR – une énorme faille permet de cracker leur clé WiFi en quelques secondes !
Une fois qu'il a récupéré le mot de passe, le pirate peut potentiellement s'en servir pour lancer une attaque sur tous les appareils connectés au réseau Wi-Fi : enceintes connectées, smartphones, Smart TV ou ordinateurs. “Il peut aussi obtenir le numéro de téléphone lié au modem” estime l'expert.
L'homme à l'origine de l'attaque réside en Espagne, assure le rapport. De même, la plupart des modems touchés sont localisés dans la péninsule ibérique, à proximité de la position estimée du hacker. Certaines Livebox françaises sont aussi concernées.
Dès leur découverte, les équipes de Bad Packets ont alerté l'Orange CERT, “la structure opérationnelle chargée de gérer les incidents de sécurité informatique pouvant impacter les activités du Groupe”. Sur Twitter, l'opérateur a rapidement assuré qu'une enquête venait d'être lancée.
Thanks for the notification. We're handling your case.
— Orange-CERT-CC (@OrangeCertCC) December 23, 2018
