(modifié le 4 septembre 2017 à 17:24)





Il y a quelques jours je vous parlais de la faille WPS impactant des box de plusieurs opérateurs français : Orange et SFR/Numericable.

Je vous propose aujourd'hui de vérifier que votre propre box ne soit pas touchée par cette faille de sécurité.

Préambule

Je vous rappelle que vous pouvez uniquement tester l'exploit jusqu'au bout sur votre propre box, vous n'avez en en aucun cas le droit de le faire sur une box ne vous appartenant pas. Dans le cas contraire vous risquez gros.

boxon.sh

C'est "kcdtv" du forum crack-wifi qui propose un outil permettant de lister les box touchées par la faille de sécurité.

Il s'agit d'un script bash qui nécessite une distribution sous GNU/Linux (Kali, Parrot, etc) et une carte supporte le mode monitor : AWUS036H, AWUS036NHA par exemple chez Alfa Network. Cela nécessite donc du matériel et un peu de compétence.

Le script et les instructions d'utilisation sont disponibles sur un topic crack-wifi.

Techniquement le script se base sur wash en mode verbeux (format json) et vérifie si une ou plusieurs box font partie de la liste des box faillibles. Car oui c'est surprenant mais dans les trames d'annonce WPS donne un gros paquet d'info, dont le modèle de la box... Cela veut dire que ce n'est pas forcément exhaustif et ce n'est qu'un outil visuel pour faciliter les choses.

Concernant les Livebox ce que j'ai pu constater c'est que celles dont les 4 derniers caractères du SSID sont identiques aux 4 derniers caractères de l'adresse MAC sont impactées. Leur nom est en majuscule mais parfois il n'y a que des chiffres dont non probant.

Et le patch ?

Orange serait en train de travailler sur le déploiement d'un patch de sécurité sur les Livebox Play 3. Un paradoxe puisque les vieilles Livebox 2 ne sont pas impactées... Cela doit être chaud chez Orange en plein mois d'Août avec les congés.

SFR y travaillerait également :

Bjr Sylvestre ! Nous avons connaissance de cet article et faisons le nécessaire pour le corriger si le problème évoqué était avéré. Pierre — SFR (@SFR) August 11, 2017

J'ai pu voir que le modem CastleNet cbv38z4 était impacté chez SFR/Numericable.

A l'heure actuelle la faille est présente.

Corriger la brèche est une chose, mais qui va changer la clé WPA désormais dans la nature ? surtout qu'en cas de reset de la box c'est celle-ci qui va revenir systématiquement, bonjour l'angoisse.

Comme si cela ne suffisait pas, chez Orange quand on va sur le webmail.orange.fr sont affichés en clair : nom, prénom et email. Je sais qu'à une époque Orange connectait même directement l'abonné au webmail.

Sans parler du mot de passe admin par défaut correspondant aux 8 premiers caractères de la clé WPA, c'est indiqué comme tel sur la page de login...

Comme d'habitude : simplicité rime avec problème de sécurité. Désactivez WPS purement et simplement, depuis le temps qu'on vous le dit.

Orange devrait s'inspirer de Free qui n'a jamais proposé WPS et qui affiche le mot de passe admin de la box sur l'écran de la freebox quand il est perdu.

En bref : si madame michue reçoit une lettre de la Hadopi, pourra-t-on lui reprocher un défaut de sécurisation ?