publié le 11/08/2017 à 16:39

Voila qui devrait intéresser les propriétaires de certains modèles de box Orange, SFR et Numericable. Un internaute du forum Crack-Wifi.com a découvert qu'il était possible de récupérer le Wifi (WPA) des box des deux opérateurs en détournant le système d'authentification WPS mal configuré par défaut.



La fonction WPS est un standard visant à simplifier la phase de configuration des réseaux sans-fil. Il permet de connecter un appareil au Wifi sans renseigner de clé numérique en l'appairant via un bouton disposé sur la façade de la box. Cette fonction est mal protégée dans le code source des box incriminées et accepte que n'importe quel appareil se connecte à l'aide d'un code pin vide, dit "null".

Quelles sont les box concernées ?

L'internaute à l'origine de la découverte assure avoir alerté les opérateurs de l'existence de la faille. Orange et SFR n'auraient pas répondu à ses sollicitations. Il a mis en ligne une vidéo sur le forum Crack-WiFi pour faire la démonstration de la faille et pousser les opérateurs à sécuriser leurs appareils.

> Hacking box SFR with reaver 1.6.1 and PIN "null"

Le forum Crack-WiFi a dressé la liste des appareils concernés. On y trouve les Livebox 2 et 3 de Sagem, les box SFR Neufbox 4 (NB4-FXC-r1),6 (NB6V-FXC-r0) et 6V (NB6V-FXC-r1) ou encore les box Numericable Netgear. La liste est mis à jour régulièrement par les membres du forum.



Contacté par RTL.fr, Orange a indiqué être informé de l'existence de la faille et travailler à sa résolution. SFR n'a pas donné suite à nos sollicitations.

Comment se protéger de la faille ?

Si vous utilisé l'une de ces box, le plus prudent est de désactiver la fonction WPS en attendant que les opérateurs mettent en ligne une mise à jour corrigeant la faille. Il faut pour cela se connecter à la page d'administration de votre box (en tapant 192.168.1.1 dans la barre d'url de votre navigateur) et se rendre les paramètres associés au Wifi pour désactiver l'option.



Il est également conseillé de modifier la clé WPA (la clé numérique à renseigner pour se connecter au WiFi) en optant pour une douzaine de caractères au minimum mêlant lettres, majuscules, minuscules, chiffres et caractères spéciaux.