Bbox Fast 3504 : Bouygues Télécom corrige une sérieuse vulnérabilité

1
219

Depuis leur sortie, certaines Bbox de Bouygues Télécom ont été victimes d’une vulnérabilité jugée sévère, qui permettait à une personne malintentionnée d’accéder à des données stockées sur un support amovible qui leur était attaché… par Internet, et sans avoir à entrer le moindre mot de passe.

Il s’agit en fait de l’ensemble des Bbox Fast 3504 distribuées par Bouygues Télécom. L’accès est d’une simplicité enfantine : il suffit à la personne malintentionnée de trouver l’adresse IP de connexion de sa cible potentielle et de se connecter sur le port 8888 via l’URL dans un simple navigateur Web. Bilan, si le boitier était équipé d’un périphérique amovible (clé USB, disque dur ou NAS), le pirate accède alors à loisir aux informations personnelles stockées sur ces supports. Il peut les consulter et les copier sans aucune restriction, ni demande d’identification ou mot de passe.

bbox-vulnerabilite

La vulnérabilité a été découverte fin juillet par Nicolas Deffrenne, un diplômé de la licence CDAISI Ethical Hacking de l’université de Valenciennes Maubeuge. A noter que dans le cas où le firewall intégré par défaut à la Box est actif, la faille n’est pas exploitable. Voila donc une solution temporaire de protection pour ceux qui sont touchés.

Rapidement alerté, Bouygues a été très réactif concernant l’alerte. « Nous avons procédé ces derniers jours à l’identification des clients concernés par la perméabilité »,souligne l’équipe sécurité de Bouygues Télécom, « Afin de limiter l’exposition au risque de l’accès à des données personnelles, nous avons opéré une réactivation à distance de la fonction firewall de l’ensemble des Bboxs ciblées ». Une communication vers les clients potentiellement concernés par ce risque doit être réalisée d’ici quelques jours afin d’attirer leur attention sur l’importance de la fonction firewall dans la protection de leur réseau privé et de leurs équipements branchés sur la Bbox.
 
La correction définitive interviendra dans un deuxième temps avec la prochaine mise à jour du logiciel de ces Bbox. « Nous maintiendrons dans l’intervalle une surveillance sur la désactivation du firewall des Bbox » indique par ailleurs Bouygues Telecom.

 

Source : 01Net

Les commentaires sont fermés.