Une faille de sécurité sur les Bbox de Bouygues
Les Bbox de Bouygues sont victimes d'une faille de sécurité. Elle permet aux individus malveillants d'utiliser facilement la connexion Internet d'une Bbox à l'insu de son propriétaire.
Une faille Thomson reprise par Bouygues
Détectée par un lecteur du blog de Korben, cette faille intervient à la source matérielle de la box. En effet, il ne s'agit ni plus ni moins que d'un routeur Thomson SpeedTouch connu pour un bug de sécurité. Kevin Devine, hacker de son état, avait créé un algorithme pour générer des clés WPA et ainsi exploiter la faille de sécurité du SpeedTouch. Lors de l'intégration dans ses Bbox, Bouygues Télécom n'avait pas comblé la faille.
Bkeys, le couteau Suisse pour casser la Bbox
En pratique, la clé de cryptage WPA (suffisante, en général) est liée au nom du réseau Wifi de la Bbox (ESSID). Aussi, il suffit de reprendre le code de Kevin Devine pour l'adapter au cas de la Bbox. Le lecteur de Korben l'a réalisé. Nommé Bkeys, ce programme permet de révéler la clé WPA d'une Bbox à partir de son ESSID. Il est à noter que cette manipulation ne fonctionne que si l'utilisateur a conservé la clé fournie par défaut avec sa Bbox.
La solution : changer manuellement sa clé WPA
À ce sujet, Bouygues Télécom a déclaré qu'il préviendrait très prochainement ses abonnés. Jouant la langue de bois, l'opérateur et FAI rappelle simplement que ses "clients peuvent renforcer la sécurité de leur Bbox en changeant manuellement leur clé WPA". Bouygues Telecom communiquera prochainement sur le sujet auprès de ses clients."
Ce souci de sécurité intervient d'ailleurs en même temps que le vote d'Hadopi. La loi contre le piratage oblige bien tous les internautes à protéger leurs connexions à Internet. Dans le cas où la protection est mauvaise et qu'il en incombe au FAI qu'advient-il ?
- Que valent les films restaurés en Blu-Ray ?
- Le Sénat adopte Hadopi 2
- Parti Pirate : premier test, première surprise
- L'iPhone sert aussi à trouver les toilettes
- Les documents Google bientôt visibles par tous ?
- Google Books refroidi par la justice américaine
- Faut-il craquer pour la PS3 Slim ?
- L'info incontournable de la semaine
- Blog Buzz : People of Walmart
- Hadopi opérationnelle début 2010 ?
- 10 ans après : nos sites préférés
- Le procès Clearstream en direct sur Twitter
- Google Chrome s'invite dans IE8
- Picasa 3.5 aime la reconnaissance faciale
- Numéricable : du faux triple play à 19,90 €
- Gmail en push sur iPhone avec Exchange
- Un peu de café avec votre Windows 7 ?
- Google Sidewiki : le commentaire universel appliqué au Web
- Twitter victime d'une attaque de phishing et de vers
""BB n'avait pas combler la faille""
pas comblé
Attention Korben ne fait que reprendre les infos données par l'auteur du logiciel. L'origine de l'info viens de là: crack_wpa.fr. L'auteur de ce logiciel explique comment il a trouvé la faille (M1ck3y). Il pourrait être utile de pointer vers la source de l'info.
La moindre des choses serait de mettre à jour le firmware de la box très rapidement ou, si cela n'a pas été prévu par les géniaux ingénieurs de Bouygtel, de proposer un échange standard... J'en connais qui vont commencer à serrer les fesses sur leur fauteuil en cuir.
Juste pour Correcteur09 : Il faut relire ce qu'on ecrit avant de poster des Co......ies.
"BB n'avait pas comblé" est bien la bonne ecriture.
A CdtmcKoy,
Correcteur09 avait bien lu. L'article a été mis à jour car il y avait bien "comblER" à 14h11 lorsque j'ai posté mon commentaire. Donc si je peux me permettre: Il faut être sûr de ce que l'on écrit avant de poster" ;-).
Merci CdtmcKoy
La correction a été faite après mon poste.
Donc il ne me semble pas avoir dit une connerie.
A bon entendeur
et plus simple, si j'ai tout compris, on change le SSID pour dire "lewifi de toto" on n'a plus le problème
Bravo Bouygues ... pour reprendre un routeur aussi agé que le speedtouch, sans avoir cherché à supprimer ses problèmes !