La semaine dernière, nous évoquions une faille ayant temporairement touché les livebox de l'opérateur Orange, désormais, c'est Bouygues qui admet qu'une partie de ses box affichaient une vulnérabilité critique pendant plusieurs semaines avant d'être finalement corrigée.
Depuis une Bbox Fast 5304, il était ainsi possible d'accéder au contenu de la clé raccordée depuis un navigateur, sans mot de passe et depuis n'importe quelle IP. Le problème intervient lorsque l'utilisateur désactive le Pare-Feu pour permettre d'utiliser la Bbox comme un serveur de stockage accessible pour toute la famille.
Sauf que dans la pratique, n'importe quel pirate pouvait lancer des recherches spécifiques depuis des moteurs de recherche pour localiser les Bbox concernées par la faille, et accéder aux données stockées localement. La faille n'aurait concerné qu'un seul modèle de Bbox, et Bouygues aurait réactivé les pare-feu à distance, tout en contactant ses abonnés pour les sensibiliser à la nécessité de se protéger des intrusions. Une mise à jour logicielle prochainement déployée devrait corriger définitivement la faille.