Livebox et box SFR : alerte à la faille WPS "PIN" pour pirater le réseau Wi-Fi - MàJ

Le par  |  22 commentaire(s)
alerte

Alerte rouge en plein mois d'août pour des abonnés Orange et SFR avec certaines box. La fonctionnalité WPS est une nouvelle fois impliquée dans une faille critique.

MàJ : SFR indique avoir pris connaissance de la vulnérabilité et fera le nécessaire pour la corriger après vérification. Orange évoque de son côté une vulnérabilité de contournement de l'authentification du Wi-Fi via WPS qui affecte un " nombre très limité " de Livebox grand public et pour " certaines configurations très spécifiques. " Un correctif est annoncé en cours de déploiement. Aucune intervention n'est nécessaire côté client.

-----

La technologie WPS (WiFi Protect Setup) et un bouton idoine sur les box d'accès Internet permettent d'associer facilement des appareils afin de leur permettre d'utiliser la connexion Wi-Fi du foyer. Moins sécurisée, une méthode avec code PIN peut également être prise en charge.

L'appairage se fait sans nul besoin de saisir une clé de sécurité WPA2. Via le forum Crack-wifi.com (qui n'est pas à sa première trouvaille), un hacker se présentant en tant que kcdtv a publié une preuve de concept pour prendre à défaut cette mécanique et parle d'un " crack de clé WPA via protocole WPS. "

Grâce à l'exploitation d'une faille 0-day jugée critique, un individu mal intentionné qui passe à proximité est ainsi susceptible d'être en capacité de dérober rapidement une clé WPA. Des box de SFR ainsi que certaines Livebox sont vulnérables. kcdtv assure avoir tenté en vain de prévenir qui de droit.

La vulnérabilité a été démontrée avec la distribution Kali Linux qui regroupe des outils pour les tests de sécurité et intrusion, et en l'occurrence Reaver qui implémente une attaque par force brute à l'encontre de WPS. Certaines box acceptent un code PIN null (ou vide) pour un appairage.

  

Le site spécialisé ZATAZ a confirmé une faille permettant de " passer outre l'authentification par le bouton WPS lancée par une box ", et donc pour intercepter une clé WPA. " Toutes les box ne sont pas concernées, mais nos tests valident la faille pour les Livebox 2 et 3 de chez Orange et Neufbox 4, 6 et 6V pour SFR ", écrit ZATAZ.

En plein mois d'août, voilà qui tombe mal pour une correction avec une mise à jour firmware. Dans l'attente, il est conseillé de désactiver le WPS, ce qui se fait simplement via la page d'administration de la box (http://192.168.1.1 dans le navigateur) et à la catégorie WiFi. Les plus inquiets en profiteront pour modifier leur clé de sécurité après la désactivation.

Des soucis de sécurité avec WPS… ce n'est pas la première fois et sans doute pas la dernière.

Complément d'information

Vos commentaires Page 1 / 3

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1976273
Ah bah bonjour la galère... Mais si on n'appuie pas sur le bouton WPS, y a pas de soucis si ?
Le #1976275
Bonjour Mr le juge, j'ai reçu un courrier Adopi pour soit disant piratage d'œuvres protégés. Or ma box est vulnérable à un piratage, donc malgré mes protection je suis incapable d'empêcher cela.

Au revoir Mr le juge !! et Fuck Adopi


Le #1976276
Safirion a écrit :

Ah bah bonjour la galère... Mais si on n'appuie pas sur le bouton WPS, y a pas de soucis si ?


c'est l'activation de l'option qui te rend vulnérable , pas l'utilisation du bouton en lui meme.

"En plein mois d'août, voilà qui tombe mal pour une correction avec une mise à jour firmware. Dans l'attente, il est conseillé de désactiver le WPS, ce qui se fait simplement via la page d'administration de la box (http://192.168.1.1 dans le navigateur) et à la catégorie WiFi. Les plus inquiets en profiteront pour modifier leur clé de sécurité après la désactivation."
Le #1976277
CoRsCiA a écrit :

Bonjour Mr le juge, j'ai reçu un courrier Adopi pour soit disant piratage d'œuvres protégés. Or ma box est vulnérable à un piratage, donc malgré mes protection je suis incapable d'empêcher cela.

Au revoir Mr le juge !! et Fuck Adopi




Ah mais monsieur, dans la loi Hadopi il est bien spécifié que vous devez sécuriser votre accès internet. D'ailleurs dans la loi, il est prévu, en cas de défaut de sécurisation de votre ligne, une amende de 4500€, oui oui. Alors vous payez par chèque ou CB? Ou vous préférez attendre que l'amende soit majorée?
Le #1976279
Sauf que là le défaut de sécurisation est dû à un problème de sécurité dans le matériel de l'opérateur. Pas un défaut de sécurisation de réseau causé par négligence de l'utilisateur. A mon avis c'est défendable
Le #1976282
iochy30 a écrit :

Sauf que là le défaut de sécurisation est dû à un problème de sécurité dans le matériel de l'opérateur. Pas un défaut de sécurisation de réseau causé par négligence de l'utilisateur. A mon avis c'est défendable


De toute façon‚ ça concerne qui Hadopi en 2017 ?
Le #1976283
alucardx77 a écrit :

iochy30 a écrit :

Sauf que là le défaut de sécurisation est dû à un problème de sécurité dans le matériel de l'opérateur. Pas un défaut de sécurisation de réseau causé par négligence de l'utilisateur. A mon avis c'est défendable


De toute façon‚ ça concerne qui Hadopi en 2017 ?


Autant que depuis 2009, à savoir personne... http://www.clubic.com/antivirus-securite-informatique/virus-hacker-piratage/piratage-informatique/actualite-823592-hadopi-72-condamnations-7-ans.html
Le #1976285
iochy30 a écrit :

Sauf que là le défaut de sécurisation est dû à un problème de sécurité dans le matériel de l'opérateur. Pas un défaut de sécurisation de réseau causé par négligence de l'utilisateur. A mon avis c'est défendable


Sauf que l'absurdité de la loi Hadopi fait que même si l'on sait qu'il est impossible de sécuriser un réseau Wifi (Le WPA2 étant hackable même si ça prend beaucoup de temps), tu seras quand même accusé de défaut de sécurisation de la ligne.
Le #1976289
Kiriito a écrit :

alucardx77 a écrit :

iochy30 a écrit :

Sauf que là le défaut de sécurisation est dû à un problème de sécurité dans le matériel de l'opérateur. Pas un défaut de sécurisation de réseau causé par négligence de l'utilisateur. A mon avis c'est défendable


De toute façon‚ ça concerne qui Hadopi en 2017 ?


Autant que depuis 2009, à savoir personne... http://www.clubic.com/antivirus-securite-informatique/virus-hacker-piratage/piratage-informatique/actualite-823592-hadopi-72-condamnations-7-ans.html


Pas mieux voyelle ! À part un pauvre con qui a servi d'exemple pour justifier les subventions de l'état.
Le #1976291
Chez SFR la faille a de beaux jours devant elle.
Avec une mise à jour tous les deux ans...

Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]