Une faille a été découverte par un membre du Mouvement Offensive Hacker sur les anciennes Livebox Inventel. Roy’S-Tr@que développe actuellement un firewall. À cette fin, il a bidouillé sa box afin d’en faire un vrai modem, pas seulement un routeur.
Depuis des lustres, la communauté sait que ces modèles contiennent des pages cachées où sont accessibles des fonctionnalités supplémentaires.
http://192.168.1.1/adsl.html
http://configuration.adsl/brdgoff.html
http://192.168.1.1/testinfo.html
http://192.168.1.1/logadsl.cmd
http://192.168.1.1/get_getnetworkconf.cgi
Il est en effet possible de downgrader sous GNU/Linux le firmware de cette box, c’est-à-dire flasher une version plus ancienne de son logiciel pilote. Ceci permet alors de la débrider et en faire ensuite un « vrai » modem en mode bridge. C’est dans ce contexte que la faille a été découverte. En ayant besoin de récupérer ses identifiants de connexion et en observant la structure des fichiers de ce modem, le hacker est tombé sur le trou.
« Je n’avais pas mon mot de passe de connexion ADSL sous la main pour redémarrer la box exigée par la remise à zéro du firmware 3.0, nous décrit Roy’S-Tr@que. Du coup j’ai regardé l’ensemble des pages administrateur et remarqué que la page principale fait appel à des frames (browser). Sous Firefox, enrichi du plug-in Firebug, d’un clic sur le bouton droit, j’inspecte les éléments où se trouvent les identifiant et mot de passe. C’est là que je constate que le mot de passe n’est pas chiffré ».
En fait, en regardant sur les pages dédiées, l’identifiant de connexion et le mot de passe n’apparaissaient que sur un simple formulaire qui masque le mot de passe. Certes, la page avec le login a un mode de passe caché par une série d’étoiles. Mais ce secret n’existe plus quand on observe les coulisses…
Cela signifie en théorie que dans un foyer, une personne peut récupérer ces données confidentielles au nez et à la barbe de l’abonné. Mais il y a pire : quand on scanne des plages d’adresses IP bien spécifiques à ces abonnements, on peut retrouver quantité de Livebox sur son écran puisqu’Orange associe les mêmes identifiants à toutes les box (admin/admin). L’usager distant peut alors – sous certaines circonstances – entrer et reproduire la même démarche pour récupérer les login et mot de passe de l’abonné victime.
Contacté, Orange nous confirme sans mal que « la possibilité de downgrader est une information connue du public depuis longtemps et effectivement la documentation est riche. Nous avons toujours souligné que c’est l’utilisateur lui-même qui, avec ses droits administrateurs, a accès à ses propres données personnelles. Orange a toujours communiqué sur la nécessité de personnaliser ses mots de passe par défaut ».
Et pour la faille exploitée à distance ? « Ce n’est pas si simple. Il faut réunir un très grand nombre de critères pour que ce soit possible à distance. Il faudrait par exemple que l’utilisateur ait activé l’accès distant et ce n’est possible que pour ancienne génération de LIvebox Inventel. On est dans un cas avec beaucoup de « si » pour que ce soit possible. C’est un modèle de Livebox en fin de vie qui va l’être forcément encore plus avec le renouvellement du parc. ». En attendant cette nouvelle Box, s’ils ne l’ont pas fait, les utilisateurs de ces vieux modèles sont invités à changer le mot de passe permettant d’accéder à la page de configuration.
Sources : PCInpact, MOH