De nombreuses personnes s’inquiétant d’une faille de sécurité découverte il y a quelques jours sur les box Orange et SFR, nous publions un rapide état des lieux sur cette possibilité de hacking.
Craquer un mot de passe WiFi en quelques secondes
Les faits ont fuité dans la presse il y a quelques jours car un jeune expert en sécurité ayant découvert une faille avait prévenu les deux opérateurs d’une faille de sécurité permettant de contourner un mot de passe et de le reformater. Jérémy Martin (c’est son nom) n’ayant pas eu de réponse dans la journée à tout bonnement rendu la faille publique sur le forum Crack-WiFi.
Une bien curieuse manière de vouloir améliorer la sécurité de la part de ce dernier, car généralement il faut un certain temps pour vérifier la véracité des faits, effectuer des tests pour comprendre les versions touchées, localiser le problème, mettre au point un correctif et biens d’autres étapes qui comptent en plus des communications entre différentes acteurs ou services, ce qui prend du temps…
Exiger une réponse le jour même en plein mois d’août semble un peu exagéré, mais bon… Le mal est fait la faille a été rendue publique et donc les hackers ou plaisantins avaient un crack intéressant à se mettre sous la dent pour contourner les mots de passe WiFi d’une partie des box SFR et Orange.
Un problème géré par les opérateurs Orange et SFR
Dans un premier temps, il avait été conseillé aux utilisateurs de désactiver le WPS sur les machines et de changer de mot de passe, car la faille zero day fonctionnait lorsque le WPS était activé, ce qui est généralement le cas par défaut sur les box. Orange a communiqué quelques heures plus tard pour indiquer : « Nous avons été informé d’une vulnérabilité qui permettrait de contourner l’authentification du WiFi (via WPS). Cette vulnérabilité ne concerne qu’un nombre très limité de Livebox chez nos clients grand public et seulement pour certaines configurations très spécifiques. Les équipes techniques d’Orange déploient actuellement un correctif. Ceci ne nécessite aucune intervention des clients ».
SFR a également informé qu’une mise à jour serait déployée pour les box concernées, car l’opérateur indique qu’un faible pourcentage est concerné, en fonction d’une configuration bien spécifique. Les choses sont donc rentrées dans l’ordre et plus de peur que de mal, vos voisins ne pourront donc pas craquer votre mot de passe WiFi de cette façon.
Vidéo de la technique de Jérémy Martin pour craquer un mot de passe en quelques secondes
Dernière mise à jour le 8 mai 2019