Voila qui devrait intéresser les propriétaires de certains modèles de box Orange, SFR et Numericable. Un internaute du forum Crack-Wifi.com a découvert qu'il était possible de récupérer le Wifi (WPA) des box des deux opérateurs en détournant le système d'authentification WPS mal configuré par défaut.
La fonction WPS est un standard visant à simplifier la phase de configuration des réseaux sans-fil. Il permet de connecter un appareil au Wifi sans renseigner de clé numérique en l'appairant via un bouton disposé sur la façade de la box. Cette fonction est mal protégée dans le code source des box incriminées et accepte que n'importe quel appareil se connecte à l'aide d'un code pin vide, dit "null".
L'internaute à l'origine de la découverte assure avoir alerté les opérateurs de l'existence de la faille. Orange et SFR n'auraient pas répondu à ses sollicitations. Il a mis en ligne une vidéo sur le forum Crack-WiFi pour faire la démonstration de la faille et pousser les opérateurs à sécuriser leurs appareils.
Le forum Crack-WiFi a dressé la liste des appareils concernés. On y trouve les Livebox 2 et 3 de Sagem, les box SFR Neufbox 4 (NB4-FXC-r1),6 (NB6V-FXC-r0) et 6V (NB6V-FXC-r1) ou encore les box Numericable Netgear. La liste est mise à jour régulièrement par les membres du forum.
Contacté par RTL.fr, Orange a indiqué être informé de l'existence de la faille et travailler à sa résolution. Selon l'opérateur, la vulnérabilité n'affecte qu'un nombre limité de Livebox. Un correctif sera déployé très prochainement qui ne nécessitera aucune intervention des clients. SFR n'a pas donné suite à nos sollicitations.
Si vous utilisez l'une de ces box, le plus prudent est de désactiver la fonction WPS en attendant que les opérateurs mettent en ligne une mise à jour corrigeant la faille. Il faut pour cela se connecter à la page d'administration de votre box (en tapant 192.168.1.1 dans la barre d'url de votre navigateur) et se rendre les paramètres associés au Wifi pour désactiver l'option.
Il est également conseillé de modifier la clé WPA (la clé numérique à renseigner pour se connecter au WiFi) en optant pour une douzaine de caractères au minimum mêlant lettres, majuscules, minuscules, chiffres et caractères spéciaux.