Une faille détectée dans le WPS des Livebox 2 et Play

Créé le
min reading

Une faille a été découverte dans le WPS des Livebox 2 et Play. Ce WPS permet de transmettre la clé de sécurité du WiFi, même les mots de passe personnalisés. Une mauvaise nouvelle, sachant qu'une partie de la clé sert de mot de passe dans l'interface de configuration des Livebox.

Le protocole WPS (WiFi Protected Setup) permet de se connecter facilement sur les réseaux WiFi sans avoir à entrer la clé de sécurité (WEP, WPA ou WPA 2). Ce dernier envoie au système d'exploitation (OS) les informations nécessaires dont la clé. Pour l'activer, un bouton est nécessaire à appuyer. Ce principe a déjà été utilisé par Orange pour les associations des premières Livebox.

Hélas, des utilisateurs d'un forum spécialisé dans la découverte de failles WiFi en ont découvert une dans le WPS de certains appareils. La faille permet d'utiliser le WPS sans appuyer sur le bouton du modem-routeur en envoyant certains messages sur le réseau WiFi de l'appareil. Le modem-routeur envoie alors le nom du réseau WiFi et la clé de sécurité liée à ajouter aux paramètres de WiFi favoris pour les OS.

La faille avait d'abord été détectée sur des Livebox en Espagne (Livebox Fibra et Livebox Next). Elle fonctionne sur plusieurs modèles de modems-routeurs, notamment chez DLink ou Netgear, mais également sur la Livebox en France. Les modèles Livebox 2 et Livebox Play sont concernés par la faille WPS. Les Livebox concernées représentent une part importante des abonnés Orange. Si la Livebox 2 n'est plus mise à disposition, la Livebox Play est fournie avec les offres Livebox Zen et Sosh mobile+Livebox. La Livebox 4 ne semble pas concernée.

Les clés de sécurité permettent d'accéder autant au réseau WiFi privé des abonnés Orange mais également à l'interface de configuration de la Box. En effet, le mot de passe par défaut du compte 'admin' des Livebox utilise une partie de la clé de sécurité.

Orange a été informé du problème et travaille sur une résolution. Mais il faudra attendre un moment avant qu'une mise à jour soit développée et transmise aux Livebox touchées. Il est recommandé de désactiver le WPS des Livebox concernées. Il faut se rendre dans l'interface de la Livebox, puis choisir l'onglet Mon WiFi, choisir WiFi avancé dans le menu de gauche et cliquer sur Désactiver, si le WPS ne l'est pas déjà. Ensuite, il est recommandé de changer le mot de passe du compte administrateur et/ou de changer la clé de sécurité WiFi.