Plus de 19 000 Livebox Orange piratables

Un rapport publié par un chercheur en sécurité de Bad Packets Report a dévoilé l’existence d’une vulnérabilité dans les modems Livebox ADSL d’Orange. Ciblant principalement des appareils localisés en Espagne, certains modèles français sont cependant concernés.

Une faille liée aux modems Livebox ADSL d’Orange permet à des utilisateurs distants non authentifiés d’obtenir les mots de passe SSID et WiFi. (crédit : D.R.)

A Noël les cyberpirates ont aussi eu droit à leurs cadeaux. Un rapport publié le 23 décembre par Troy Mursch, chercheur en sécurité de Bad Packets Report, a montré un nombre anormalement élevé de demandes d’accès à des configurations systèmes via la requête GET /get_getnetworkconf.cgi. Après enquête, il s’est avéré que ce trafic ciblait les modems Livebox ADSL d’Orange. « Une faille existe dans ces modems permettant à des utilisateurs distants non authentifiés d’obtenir l’identifiant réseau (SSID) et les mots de passe WiFi  », peut-on lire dans le billet. En l’occurrence il s’agit de la vulnérabilité répertoriée en tant que CVE-2018-20377.

Troy Mursch a trouvé aussi que dans la plupart des cas, le mot de passe WiFi des modems était celui d’origine (admin/admin) et également celui utilisé pour l’administrer. « Cela permet à tout utilisateur distant d’accéder facilement au périphérique et de modifier de manière malveillante les paramètres du périphérique ou le micrologiciel. En outre, ils peuvent obtenir le numéro de téléphone lié au modem et effectuer d’autres exploits sérieux détaillés dans ce référentiel Github », indique le chercheur en sécurité.

Certains firmware Livebox épargnés

Cette vulnérabilité affecte 19 490 modems dont une très large majorité (19 482) en Espagne, mais également dans d’autres pays dont la France. A noter que les Livebox dotées d’une version de firmware 00.96.00.96.613E, 00.96.00.96.613, 00.96.00.96.609ES, 00.96.321S et 00.96.217 ne sont apparemment pas concernés par cette faille. Prévenu par Troy Mursch, le service d’alerte et de réponse (CERT) d’Orange s’est contenté d’un tweet particulièrement succinct : « Merci pour la notification. Nous traitons votre cas ».

chevron_left
chevron_right