Le wifi Bbox est piratable aisément

33

Malgré son gros succès commercial, l’offre Bbox de Bouygues Telecom n’est pas tout à fait exempte de défauts. En témoigne cette faille de taille concernant le wifi, découverte par un internaute…

Les vieux de la vieille se souviennent que le wifi généré par les Cbox de feu-Club Internet souffraient d’un gros problème. En effet, celles-ci reposaient sur un système de clés WEP générées par défaut à partir de l’identifiant du modem. Or, l’algorithme de génération de cette clé était suffisamment mal conçu pour être cassé en moins de deux. Dès lors, il était possible de retrouver la clé WEP par défaut à partir de l’identifiant précisé dans l’ESSID du réseau wifi…

En langage clair pour tout le monde : à l’aide d’un simple petit logiciel et du nom du réseau wifi émanant d’une Cbox, on pouvait trouver sa clé WEP et donc y pénétrer sans le moindre souci, le tout en une fraction de seconde.

Il semblerait que le problème soit exactement le même avec les Bbox de Bouygues Telecom, et pour cause ; l’équipementier des deux modems est le même (Thomson), le système de génération de clés (WPA cette fois) est le même et la faille reste inchangée ! Il a suffi d’une simple adaptation de code à M1ck3y pour transposer la vieille méthode Club Internet aux réseaux actuels de Bouygues Telecom.

En partant des six derniers caractères du nom du réseau wifi (ex. : Bbox-01ABCD) et à l’aide du logiciel BBkeys de M1ck3y, vous pouvez immédiatement trouver la clé WPA du réseau. Et ainsi y pénétrer à votre guise.

Il est heureusement possible pour les détenteurs d’une Bbox de changer la clé générée par défaut, même si cette option n’est pas mise en avant et est totalement inconnue du grand public. Suite à la découverte de cette faille de grande ampleur, il est conseillé à tout détenteur de Bbox de changer manuellement sa clé WPA au plus vite.

Source : Korben

Merci à Jérôme !

Partager

A propos de l'auteur

[Responsable de la rédaction]
Sévit également sur Café Gaming et Point de vue social.

33 commentaires

  1. Que ce soit la BBox ou n'importe quel autre FAI, l'erreur est humaine (même si là elle est vraiment niaise). Mais surtout, dans ce cas là, si un intrus télécharge depuis la BBox de madame Michu, Albanel elle en pense quoi ? - la faute au FAI pour ne pas avoir proposé une sécurité suffisante ? - la faute au propriétaire de l'abonnement qui n'a pas changé sa clef WPA parce qu'il ne lit pas les news IT tous les matins ? My 2 cents.

  2. nouknouk a écrit :
    Mais surtout, dans ce cas là, si un intrus télécharge depuis la BBox de madame Michu, Albanel elle en pense quoi ?
    Albanel a été lourdée il y a quelques mois, tout le monde se fout de ce qu'elle pense !!

  3. Ben pour la Livebox c'est pas très compliqué non plus de pirater la clef wep ... Quand Hadopi va être apliqué (ésperons que non) les sécurités des box vont etre mené à rude épreuve et le recours en justice quasi nul. Allez expliquer à un juge qui ne sait meme pas ce qu'est du Peer to Peer que quelqu'un vous à craquer la sécurité de votre box ... grands moments de solitude en pérspective croyez moi ...

  4. suredj a écrit :
    Ben pour la Livebox c'est pas très compliqué non plus de pirater la clef wep ...
    Le WPA est nettement plus complexe à pirater. Là, quand il y a moyen de trouver la clé en une seconde chrono, c'est vraiment très gênant... d'autant plus quand il s'agit d'une faille connue que Thomson n'a pas jugé bon de corriger !

  5. Je parlais bien de la clef WEP en non WPA ;) Et pour la faille de chez Thomson c'est clair que c'est vraiment une faute grave de leurs part d'autant plus qu'elle est bien connue des technophiles (la faille).

  6. nouknouk a écrit :
    - la faute au propriétaire de l'abonnement qui n'a pas changé sa clef WPA parce qu'il ne lit pas les news IT tous les matins ?
    Défaut de sécurisation de sa connexion : 1500€ d'amende si problème non corrigé après un 1er signalement : http://www.numerama.com/magazine/13252-Hadopi-2-une-amende-de-1500-euros-en-cas-de-defaut-de-securisation.html

  7. suredj a écrit :
    Ben pour la Livebox c'est pas très compliqué non plus de pirater la clef wep ...
    Par contre la protection supplémentaire qui consiste à devoir appuyer sur le bouton en face arrière pour créer la première association ne se contourne pas facilement :

  8. yoann007 a écrit :
    Ben pour la Livebox c'est pas très compliqué non plus de pirater la clef wep ...
    Le WPA est nettement plus complexe à pirater. Là, quand il y a moyen de trouver la clé en une seconde chrono, c'est vraiment très gênant... d'autant plus quand il s'agit d'une faille connue que Thomson n'a pas jugé bon de corriger !
    Pas d'accord, ça n'est pas une faille, le constructeur n'y est pour rien: il propose une clé par défaut, c'est une clé par défaut elle vaut comme telle . C'est au fournisseur d'accès de conseiller son client et de l'informer sur ses responsabilités et la gestion de sa clé de cryptage, et de son accès internet en général. Si le constructeur voulait vraiment être tranquille, il ne mettrait pas de clé par défaut ..... comme certains le font avec raison: il faut tout de même responsabiliser un minimum les clients . Ils ferment bien leur porte d'appartement à clef et font poser des alarmes , alors pourquoi pas sur leur connexion internet, qu'il ne faut leur laisser confondre avec la télévision .

  9. kubes a écrit :
    Ben pour la Livebox c'est pas très compliqué non plus de pirater la clef wep ...
    Par contre la protection supplémentaire qui consiste à devoir appuyer sur le bouton en face arrière pour créer la première association ne se contourne pas facilement :
    Sisi ;)

  10. Réagir sur le forum