Pendant des semaines, certaines Bbox de Bouygues Télécom ont été victimes d’une vulnérabilité sévère, qui permettait à une personne malintentionnée d’accéder à des données stockées sur un support qui leur était attaché… par Internet, et sans avoir à entrer de mot de passe.
Il y a quelques jours, on revenait sur l’infiltration d’un certain nombre de LiveBox d’Orange. Un pirate informatique avait trouvé le moyen d’accéder à l’administration des box, et à y modifier l’adresse DNS.Le nouveau cas que nous allons vous révéler touchait certaines box de Bouygues Télécom. C’est un diplômé de la licence CDAISI Ethical Hacking de l’université de Valenciennes Maubeuge qui a découvert le problème fin juillet. A l’occasion de tests sur sa Bbox, Nicolas Deffrenne s’est rendu compte que sa clé USB branchée sur un port du boitier Internet était accessible sans aucune limitation : il pouvait lire son contenu par le biais d’un navigateur, sans mot de passe et avec n’importe quelle IP.
Inquiétant pour la confidentialité des clients Bouygues, sachant que de nombreux utilisateurs exploitent leur Bbox comme un routeur entre leurs disques durs de stockage et les appareils connectés de la famille : TV, ordinateur, tablette, smartphone. Quoi de plus confortable en effet que de partager dans toute la maison ses photos, ses musiques et autres documents ?
Des disques entiers accessibles sans mot de passe !
Sauf qu’en regardant ce problème de connexion, 01net a découvert que le souci n’était pas isolé : toutes les Bbox Fast3504 étaient faillibles. Un pirate, un curieux ou un simple voisin pouvait se connecter aux box en entrant simplement leur adresse IP. Le malveillant n’avait plus ensuite qu’à rajouter à la fin de l’IP le code :8888 -le numéro du port d’accès à la Bbox- pour lire et copier toutes les informations se trouvant dans les supports de stockage branchés sur le modem. Aucune demande de mot de passe aux données privées n’était alors réclamée.
Une erreur de la part de Bouygues mais aussi de l’utilisateur un peu trop bidouilleur. On s’explique : la fonction firewall de la Bbox est activée par défaut, normalement. Sauf que des dizaines de clients ont débloqué cette sécurité à la main. C’est alors que les périphériques de stockage USB externes devenaient consultables. Un pirate n’avait plus qu’à utiliser certains moteurs de recherche pour référencer les possesseurs de Bbox Fast 3504 et se servir dans les clés USB et autres disques durs externes.
La réponse de Bouygues
Rapidement alerté, Bouygues a tout aussi rapidement pris en main l’alerte. « Nous avons procédé ces derniers jours à l’identification des clients concernés par la perméabilité », souligne l’équipe sécurité de Bouygues Télécom, « Afin de limiter l’exposition au risque de l’accès à des données personnelles, nous avons opéré une réactivation à distance de la fonction firewall de l’ensemble des Bboxs ciblées ». Une communication vers les clients potentiellement concernés par ce risque doit être réalisée d’ici quelques jours afin d’attirer leur attention sur l’importance de la fonction firewall dans la protection de leur réseau privé et de leurs équipements branchés sur la Bbox.
La correction définitive interviendra dans un deuxième temps avec la prochaine mise à jour du logiciel de ces Bbox. « Nous maintiendrons dans l’intervalle une surveillance sur la désactivation du firewall des Bboxs » indique par ailleurs Bouygues Telecom.
Encore un exemple qui démontre qu’en informatique, rien n’est infaillible… et que la première des failles reste le comportement des usagers.