La semaine dernière, nous évoquions une faille ayant temporairement touché les livebox de l'opérateur Orange, désormais, c'est Bouygues qui admet qu'une partie de ses box affichaient une vulnérabilité critique pendant plusieurs semaines avant d'être finalement corrigée.

Bbox  C'est un diplômé en licence professionnelle de sécurité informatique CDAISI ( Ethical Hacking ) de l'Universisté Valenciennes Mauberge qui a découvert la faille et attiré l'attention de Bouygues sur le sujet. Nicolas Deffrenne effectuait ainsi quelques tests sur sa Bbox lorsqu'il découvre que la clé USB connectée à son boitier internet est accessible sans aucune limitation.

Depuis une Bbox Fast 5304, il était ainsi possible d'accéder au contenu de la clé raccordée depuis un navigateur, sans mot de passe et depuis n'importe quelle IP. Le problème intervient lorsque l'utilisateur désactive le Pare-Feu pour permettre d'utiliser la Bbox comme un serveur de stockage accessible pour toute la famille.

Sauf que dans la pratique, n'importe quel pirate pouvait lancer des recherches spécifiques depuis des moteurs de recherche pour localiser les Bbox concernées par la faille, et accéder aux données stockées localement. La faille n'aurait concerné qu'un seul modèle de Bbox, et Bouygues aurait réactivé les pare-feu à distance, tout en contactant ses abonnés pour les sensibiliser à la nécessité de se protéger des intrusions. Une mise à jour logicielle prochainement déployée devrait corriger définitivement la faille.

Source : 01Net