Vous en avez assez de voir les modems Orange Livebox dans les foyers, avec lesquels l’opérateur vend l’ADSL et la fibre en France. Le problème, c’est qu’on a découvert que ces routeurs ont une très grosse faille de sécurité, affectant 19 500 unités dans notre pays.
Une faille du routeur Orange Livebox
Un chercheur en sécurité a découvert ce week-end le nouveau “bug” avec lequel Orange a étranglé Noël. Ces routeurs, en particulier le modèle Arcadyan LIVEBOX ARV7519RW22-A-LT VR9 1.2, ne sont pas cyber-sécurisés car ils exposent des informations utilisateur telles que le mot de passe et le SSID, c’est-à-dire le nom du réseau mobile du routeur.
La vulnérabilité trouvée (CVE-2018-20377, déjà analysée par le National Institute of Standards and Technology) peut être exploitée par un cybercriminel, qui peut obtenir sans effort le mot de passe et le SSID du réseau interne. Pour des raisons pratiques, un cybercriminel peut même usurper l’identité de l’utilisateur, puisqu’il a le contrôle total de l’appareil, y compris des données sensibles telles que le numéro de téléphone, ou répandre des “logiciels malveillants” sur Internet. Même si le routeur est installé dans une maison intelligente, il peut désactiver le système de sécurité de la maison. Dans le cas des entreprises, c’est encore pire : toute la technologie interne de l’entreprise est en danger.
La plupart des modems affectés par cette erreur de sécurité sont sur le réseau Orange en Espagne. Pour l’instant, les pirates ont libre accès au réseau de l’opérateur et, bien que la société ait déjà signalé qu’elle est au courant du problème, qui a été signalé en 2012 pour la première fois, il n’existe actuellement aucune solution.
Merci pour cette notification. Nous nous occupons de votre cas.
&mdash ; Orange-CERT-CC (@OrangeCertCC) 23 décembre 2018
Il est toujours pratique, pour des raisons de sécurité, que les utilisateurs, lors de la configuration de leur réseau, changent leurs identifiants originaux pour d’autres mots de passe forts. Selon Troy Mursch, l’enquêteur de sécurité qui a signalé le cas, Orange a publié une mise à jour du firmware pour corriger l’erreur mais uniquement pour la version 00.96.00.00.96.613E. Les versions qui restent vulnérables sont : 00.96.00.00.96.96.613, 00.96.00.96.96.609ES, 00.96.321S et 00.96.217.