Imaginez, vous êtes en train de surfer en famille quand, pendant ce temps, un voisin siphonne l’intégralité de vos photos, de vos factures, de votre vie privée 2.0. C’est ce qui aurait pu arriver à certains clients de l’opérateur Bouygues Télécom, propriétaire d’une Bbox Fast 3504.
L’accès était d’une simplicité biblique. Il suffisait au malveillant de trouver l’ip de connexion de son voisin (bref, un jeu d’enfant, ndlr) et de rajouter le port 8888 à la connexion. Bilan, si le boitier était équipé d’une clé USB, d’un disque dur, voir d’un NAS, l’individu pouvait à loisir consulter les informations stockées. Les consulter et les copier sans aucune restriction, demande d’identification, mot de passe.
La faille aurait pu être plus dramatique
J’ai pu constater qu’en exploitant certains moteurs de recherche, il était possible de trouver en France des Bbox Fast 3504 accessible avec la méthode mise à jour par un étudiant français, Nicolas Deffrenne, diplômé de la licence CDAISI Ethical Hacking de l’université de Valenciennes Maubeuge. En cherchant un peu, et en 5 minutes, je remontais plusieurs dizaines de Bbox faillibles partout en France. Comme l’explique 01net.com qui a révélé la faille, Bouygues Télécom a très rapidement pris en compte le protocole d’alerte de zataz. Mise à jour de sécurité et contrôle des Bbox ont déjà été mis en place. Une lettre d’information, diffusée à la rentrée, permettra aux clients de renforcer leur sécurité.
0 commentaires:
Enregistrer un commentaire