Des box Orange et SFR présenteraient une faille de sécurité : Un expert en sécurité a montré sur le forum crack-wifi qu’il serait possible de s’introduire sur le réseau Wi-Fi des box Orange et SFR en exploitant la fonction d’authentification WPS.

En effet, ce dernier a posté une vidéo montrant qu’il avait réussi à s’introduire dans le réseau Wi-FI d’une box SFR en quelques secondes grâce à la faille zero day qui touche la fonction WPS, fonction qui permet de connecter des appareils en Wi-Fi sans avoir besoin d’entrer une clé de sécurité WPA.

Or, selon certains internautes qui ont témoigné sur le forum, certaines box d’Orange seraient également touchées par cette faille.

Jérémy Martin, l’expert qui a montré cette faille a laissé quelques heures aux opérateurs pour corriger celle-ci puis a rendu publique la vulnérabilité sur les réseaux sociaux et a donc ensuite publié sa vidéo.

Pour pouvoir s’introduire dans le réseau Wi-Fi de la box par le WPS, sans avoir à appuyer sur le bouton WPS de celle-ci, il a donc utilisé le logiciel Reaver, qui est un outil d’audit de sécurité. Il a ensuite simulé un appairage en envoyant un code PIN vide à la box, pour enfin, pouvoir récupérer la clé WPA. Grâce à elle, on peut donc ensuite se connecter simplement au Wi-Fi. Une mauvaise configuration du firmware serait en cause. La meilleure solution pour éviter que quelqu’un s’introduise sur votre réseau reste donc pour le moment de désactiver la fonction WPS et de changer la clé WPA en cas de doute.

C’est une faille plutôt importante car un pirate qui s’introduit sur votre réseau peut ensuite facilement accéder à l’ensemble de vos appareils connectés à votre réseau. Ce n’est pas la première fois que le WPS montre ses failles de sécurité car depuis 2011, les failles de celle-ci font régulièrement parler d’elle sur GitHub.

L’expert qui a montré cette faille a donc utilisé la box NB6V de SFR mais les Livebox 2 et 3 d’ Orange et Neufbox 4,6 et 6V de SFR présenteraient également cette faille selon le site Zataz.

Contactés par le magazine 01net, Orange et SFR ont confirmé travailler sur cette faille. Un porte parole d’Orange leur a déclaré « Nous avons été informé d’une vulnérabilité qui permettrait de contourner l’authentification du WiFi (via WPS). Cette vulnérabilité ne concerne qu’un nombre très limité de Livebox chez nos clients grand public et seulement pour certaines configurations très spécifiques. Les équipes techniques d’Orange déploient actuellement un correctif. Ceci ne nécessite aucune intervention des clients ».