Bouygues Telecom va corriger une faille de sécurité sur sa Bbox Sagem ADSL


Nicolas Deffrenne, un diplômé de la licence CDAISI Ethical Hacking de l'université de Valenciennes Maubeuge, a mis à jour fin juillet un problème de sécurité touchant sa Bbox Sagem ADSL (modèle "Fast3504") : sa clé USB branchée sur un port de sa box était accessible en lecture sans aucune limitation par le biais d'un navigateur, sans aucun mot de passe à renseigner et avec n'importe quelle adresse IP.


La Bbox faisant office de routeur chez la plupart des utilisateurs, elle laissait donc un accès ouvert à leurs disques dur externes et autres appareils connectés comme la TV, l'ordinateur, la tablette ou encore le smartphone. N'importe quel pirate, s'il connaissait l'IP de la Bbox d'une personne et s'y connectait via le port 8888, pouvait librement lire et copier tous les fichiers présents sur les supports de stockage connectés au modem de sa victime.


Relativisons cependant cette faille de sécurité... Car pour être exploitable, il faut en effet que la fonction firewall de la Bbox ait préalablement été désactivée par son propriétaire. Par défaut, le firewall est systématiquement actif. Rappelons également que seule la Bbox ADSL "classique" de marque Sagem et de type "Fast3504" est concernée.


Alertée, l'équipe sécurité de Bouygues Telecom a immédiatement pris la chose au sérieux et déclaré : "Nous avons procédé ces derniers jours à l'identification des clients concernés par la perméabilité [...] Afin de limiter l'exposition au risque de l'accès à des données personnelles, nous avons opéré une réactivation à distance de la fonction firewall de l'ensemble des Bbox ciblées [...] Nous maintiendrons dans l'intervalle une surveillance sur la désactivation du firewall des Bbox".


Les clients susceptibles d'être concernés par cette faille seront contactés dans les prochains jours par l'opérateur qui attirera leur attention sur l'importance de la fonction firewall de leur Bbox pour la sécurité de leurs données. Dans un second temps, un nouveau firmware sera prochainement déployé pour corriger définitivement ce problème.

Source : 01net.
Mis à jour le