Bon quand je vois une news j'aime bien tester par moi-même. Le forum crack-wifi a publié une news quelques jours pour nous dire que certaines box françaises étaient vulnérables et que n'importe qui pouvait s'y connecter.
Qu'en est-il vraiment ?
WPS, encore
WPS est un système pour éviter de saisir une clé WPA longue à saisir. Il peut fonctionner :
- avec un code PIN
- avec un bouton physique sur la box (PBC : push button configuration)
Ces 2 méthodes sont toutes les deux risquées et pour cette raison le WPS est à bannir. Le code PIN est facilement trouvable en théorie mais en pratique certaines box sont équipées de protection et le brutforce peut durer plus ou moins longtemps.
Quand au bouton WPS il suffit de laisser tourner un script en permanence pour s'accrocher à toutes les box du quartier dès que quelqu'un appuiera sur le bouton d'association WPS. Magique non ?
Quelle faille ?
La faille concerne le mode WPS et son bouton physique, pas le code PIN. Néanmoins le membre "kcdtv" s'est rendu compte qu'en envoyer un code PIN vide certaines box acceptaient de retourner la clé WPA. Pourtant le mode PIN n'est pas actif, c'est donc bien un bug de firmware.
Il est nécessaire d'utiliser des sources modifiées de l'outil populaire reaver puis de le recompiler pour utiliser un PIN vide :
https://www.youtube.com/watch?v=nzh-iJGXBXQ
A l'origine cette faille a été sur des routeurs irlandais, puis espagnols de l'opérateur Jazztel (déjà une faille en 2015 ) par crack-wifi :
Mais en vrai, ça marche ?
Oui, probablement. La seule question que je me pose est sur le nombre de bornes WiFi concernées. Seuls quelques modèles sont touchés, et probablement avec des versions de firmware bien particulières.
D'après mes essais pour l'instant aucune box touchée dans mon entourage, ce qui veut dire deux chose : soit je n'ai vraiment pas de chance, soit cela touche pas un nombre important de box. Pourtant j'avais bien une box dans la liste de box censées être impactées.
MàJ 11/08/2017 : j'ai finalement trouvé une box en NEUF (00:17:33) sur laquelle ça marche (NB4-SER-r2) :
[+] Switching wlan0mon to channel 11 [+] Waiting for beacon from 00:17:33:xx:xx:xx [+] Associated with 00:17:33:xx:xx:xx (ESSID: NEUF_xxxx) [+] Trying pin "" [+] Sending EAPOL START request [+] Received identity request [+] Sending identity response [+] Received M1 message [+] Sending M2 message [+] Received M3 message [+] Sending M4 message [+] Received M5 message [+] Sending M6 message [+] Received M7 message [+] Sending WSC NACK [+] Sending WSC NACK [+] Pin cracked in 5 seconds [+] WPS PIN: '' [+] WPA PSK: '*****************' [+] AP SSID: 'NEUF_xxxx' [*] String pin was specified, nothing to save.
Ainsi que :
- Routeur CastleNet cbv38z4 (Numericable)
- Livebox 3 (Orange)
Conclusion
Quoi qu'il en soit, cela montre une fois de plus que de sous-traiter la conception d'une box et de son firmware n'est pas top... injecter le logo de la marque ne suffit pas. Citons l'exemple de Free qui conçoit entièrement le firmware de ces box (excepté la 4K) et à qui ce genre de mésaventure a très peu de chance d'arriver. En revanche quand de nombreux opérateurs utilisent la même base matérielle dans leur box quand une faille est trouvée l'information se répand très vite.
A minima désactivez WPS totalement et au maxima virez donc cette box opérateur pour y mettre votre propre routeur, pourquoi pas sous Tomato, j'ai un R7000 à la maison et il va très bien (merci pour lui).
D'après Zataz :
"nos tests valident la faille pour les Livebox 2 et 3 de chez Orange et Neufbox 4, 6 et 6V pour SFR"
Si jamais vous arrivez à utiliser la faille sur votre propre box laissez-moi un petit commentaire en précisant le firmware/modèle/opérateur.
Auteur : Mr Xhark
Fondateur du blog et passionné par les nouvelles techno, suivez-moi sur twitter
2 commentaires
Ça marche sur mes voisins qui ont une Livebox et une sfr...
Et vu que le mot de passe de l'interface d'administration c'est la clé. ..ben voilà quoi
merci pour l'info, j'ai désactivé le WPS.
une petite coquille dans l'article (ne pas publier ce commentaire, merci) : "irlandais" & pas "irelandais"