BBox et Dartybox présentent une faille de sécurité

Avec la loi HADOPI, les FAI doivent fournir les outils pour protéger le réseau WiFi fournis par leurs boitiers multiservices ("boxs"). Un forum spécialisé dans le sécurité du WiFi a détecté une faille dans les clés WPA de la BBox, la box de Bouygues Telecom, et une autre dans la Dartybox.

Dans un forum dédié au crack des clés WiFi, Crack-WPA.fr, l'administrateur M1ck3y annonce qu'une faille importante affecte les BBox de Bouygues Telecom. Avec l'aide d'un membre du forum qui a découvert la faille, il détaille le problème des BBox. En réalité, le problème vient de Thomson, le fournisseur des BBox et des Livebox. Thomson fournit une clé WPA (paraphrase) de base à partir du SSID suivant un algorithme découvert en 2008.

L'opérateur nous informe qu'ils se sont "rapproché de Thomson, constructeur de la BBox, afin d'analyser la situation". "Le protocole de la BBox (WPA/WPA 2) est équivalent à celui de toutes les box du marché. Nos clients peuvent renforcer la sécurité de leur BBox en changeant manuellement leur clé WPA". Bouygues Telecom promet qu'il "communiquera sur le sujet auprès de ses clients".

Le fil du forum Crack-WPA.fr a été relayé par Korben et nos confrères de PC Inpact. Nos confrères ont ainsi interviewé M1ck3y. Il révèle que Dartybox est également affecté par un défaut sur la double sécurisation du WiFi avec une clé WEP et  une autre avec une clé WPA. Une fois la clé WEP cassée, le pirate peut récupérer la clé WPA dans l'interface d'administration.

M1ck3y reconnait que la freebox, la neufbox et la livebox "assurent pas mal niveau sécurité actuellement (cela n'a pas toujours été le cas)".

Il est recommandé de changer la clé WEP ou WPA fournis avec la box mais également de changer le mot de passe de l'administration. Cela est autant valable pour les BBox et les Dartybox que les Neufbox, les AOLBox, les Club Internet Box, les C-Box, les Freebox, les Alicebox, les Budgetbox, les Cablebox, les Livebox et les modems-routeurs WiFi.