Orange Sans Guigne

ob1 deuil_national ob2

   Épluchons l'orange, retirons les pépins   

Merci de créer une discussion par problème personnel.

Vous n'êtes pas identifié(e).

Annonce

Cliquer sur les noms des catégories, pour replier/déplier celles-ci ...

Commercialisation des LivePlugs 500 Mbps par Orange ...

#1 16/08/2017 23:55:08

Phénix
Admin
avatar_2
Inscription : 28/08/2012
Messages : 4 005

Faille WPS PIN null

Bonsoir.

Depuis plusieurs jours, il y a un assez important bruit de fond sur Internet concernant la faille "WPS PIN null".
OSG a volontairement attendu que ce "buzz" se calme le temps d'y voir clair.

Le principe de cette faille est assez simple :
- Il faut que le WPS soit activé sur la box concernée.
- Il faut que cette box soit vulnérable.

Intérêt du WPS :
Le WPS est une fonctionnalité qui vous permet d'associer un nouvel équipement Wi-Fi (PC, tablette, smartphone, ...) à votre box.
Pour ce faire, le plus courant est d'appuyer sur un bouton sur la box pour autoriser l'association, puis lancer la connexion.
Il est également possible d'associer un équipement Wi-Fi à la box par la connaissance d'un code PIN d'association, mais c'est rarement utilisé.

La vulnérabilité :
La vulnérabilité consiste à envoyer (en respectant le protocole WPS) une tentative d'association avec code PIN vide à la box.
En retour, la requête, si elle est faite avec un outil conçu à cet usage, permet de récupérer la clé Wi-Fi utilisée pour la connexion Wi-Fi à la box.
Si une box est vulnérable, la réponse est très rapide, généralement de l'ordre de 3 secondes !!!
Cette vulnérabilité fonctionne que l'association par code PIN soit active ou non.

Les box concernées :
Sont concernées plusieurs box de FAI, notamment SFR, mais également Orange.
A l'heure où j'écris, je n'ai trouvé que des LiveBox 3 (Livebox Play).
Box SFR : non testées, mais plusieurs modèles sont vulnérables.
Les 2 LiveBox 2 Sagem que j'ai pu tester ne se sont pas révélé vulnérables.
LiveBox 2 ZTE : non testée.
LiveBox 4 : non testée.

Volontairement, je ne cite pas pour le moment mes sources, ni sur la vulnérabilité ni sur les outils utilisables, mais les résultats donnés par ces sources sont en phase avec ce que j'ai pu vérifier.

La faille est assez gênante chez Orange (je ne sais si c'est le cas chez d'autres FAI), car depuis quelques mois, la connexion à l'interface d'administration de la LiveBox est basée sur la connaissance de la clé Wi-Fi, qu'ont peut donc obtenir maintenant très facilement.
On peut se demander quelles seront les conséquences de cette faille par rapport à l'application de Hadopi ...

Suivi des FAI :
- FAI Orange :
Orange a annoncé (le 11/08) qu'un correctif allait être déployé de façon transparente, mais 5 jours après, rien ne se profile.
De plus, Orange ne communique pas sur le sujet, voire masque des discussion sur "communauté Orange" à ce sujet (Sosh semble moins filtrer, mais peut-être n'ai je pas tout vu).
- FAI SFR :
SFR a annoncé laconiquement qu'il allait voir s'il fallait y donner une suite neutral


Que pouvez vous faire ? :
Si vous n'avez pas besoin du Wi-Fi, le mieux est de le désactiver.
Si vous avez besoin du Wi-Fi, dans l'attente d'un correctif, le plus prudent est de désactiver le WPS sur votre box.
Sur les LiveBox, c'est assez simple :
° Connectez vous sur l'interface d'administration de votre LiveBox (http://livebox ou http://192.168.1.1 par défaut, avec comme mot de passe par défaut les 8 premiers caractères de la clé Wi-Fi de votre box).
° Onglet "mon WiFi".
° "WiFi Avancé" sur le menu de gauche.
  Chercher "WiFi Protected Setup (WPS) dans la partie basse, et le désactiver.
  Si vous étiez connecté en Wi-Fi, la communication va être momentanément coupée, cliquez à nouveau sur "WiFi Avancé" au bout d'une trentaine de secondes pour vérifier la désactivation.

Cette désactivation fera qu'il ne sera plus possible d'associer un équipement par le bouton d'association, mais c'est un moindre mal par rapport à une perte de contrôle sur votre box smile


Livebox-Play Fibre : LB3(FW SG30_sip-fr-6.4.18.1) + IHD92 (FW ?) (+ WE-Record)
Offre Sosh 4G : Samsung J3(6) Duos "no brand" (+ ViewPad7, HTC WildFireS,  Samsung Ace3)
On a déjà vu des choses qui ne sont jamais arrivées ...

Hors ligne

#2 19/08/2017 21:36:55

Phénix
Admin
avatar_2
Inscription : 28/08/2012
Messages : 4 005

Re : Faille WPS PIN null

Bonsoir.

Depuis hier ou aujourd'hui, Orange a commencé à désactiver automatiquement le WPS sur les LiveBox Play (LB3), les seules concernées par la faille, avec application forcée par un reboot de la LiveBox.
Cette modification est en principe temporaire, et devrait être suivie, d'ici quelques semaines, d'un firmware correctif.

Jusqu'à présent, il n'y a pas eu de communication officielle de la part d'Orange sur cette faille et son suivi.


Livebox-Play Fibre : LB3(FW SG30_sip-fr-6.4.18.1) + IHD92 (FW ?) (+ WE-Record)
Offre Sosh 4G : Samsung J3(6) Duos "no brand" (+ ViewPad7, HTC WildFireS,  Samsung Ace3)
On a déjà vu des choses qui ne sont jamais arrivées ...

Hors ligne

#3 27/08/2017 23:18:43

Phénix
Admin
avatar_2
Inscription : 28/08/2012
Messages : 4 005

Re : Faille WPS PIN null

Bonsoir.

Depuis le 20/08, j'ai réactivé le WPS sur ma LiveBox 3 (mon mot de passe admin n'est pas basé sur la clé par défaut, et la clé Wi-Fi est personnalisée en attendant le vrai correctif smile).
Et en une semaine, il n'y a pas eu de nouvelle désactivation du WPS par Orange.
Ca veut dire donc que l'utilisateur qui réactive le WPS sur sa LB3 peut la rendre vulnérable ...

peut, parce que, contrairement à ce que j'ai pu écrire auparavant, si l'option "générer un code PIN WPS de la Livebox" est activée,  il n'est pas possible, avec un code PIN "null", de récupérer la clé (j'étais pourtant certain que ça fonctionnait à la publication de la faille neutral).
Au bout de 3 tentatives de code PIN erroné ou null, la LiveBox se met en mode "AP locked", qui ne peut être débloqué que par une action sur la LiveBox :
- Désactivation/activation du Wi-Fi.
- Appui sur le bouton d'association.
- Reboot de la LiveBox (ce qui implique le changement du code PIN de la box).
Ce comportement de verrouillage est normal ...


Livebox-Play Fibre : LB3(FW SG30_sip-fr-6.4.18.1) + IHD92 (FW ?) (+ WE-Record)
Offre Sosh 4G : Samsung J3(6) Duos "no brand" (+ ViewPad7, HTC WildFireS,  Samsung Ace3)
On a déjà vu des choses qui ne sont jamais arrivées ...

Hors ligne

#4 29/08/2017 21:17:48

Phénix
Admin
avatar_2
Inscription : 28/08/2012
Messages : 4 005

Re : Faille WPS PIN null

Bonsoir.

Ce matin, ma LB3 a redémarré, suite à une mise à jour du firmware.
Avant : SG30_sip-fr-6.4.16.1
Après : SG30_sip-fr-6.4.18.1

Comme j'avais réactivé le WPS, je ne peux savoir si la mise à jour le réactive ou pas, mais la faille en cause a bien disparu ...

J'ai fait quelques tests, tout semble se comporter correctement.
J'ai juste un doute sur le fonctionnement précédent.
Là, j'ai remarqué que, si, dans l'ordre :
- on active le code PIN de la LiveBox,
- on appuie sur le bouton d'association (ou on le simule par l'interface Web),
- on ré-affiche le menu "WiFi Avancé",
on constate que le code PIN de la LiveBox est désactivé.

Ce n'est pas choquant, mais je n'avais pas remarqué ce comportement (peut-être n'avais-je pas tout vérifié ...).


Livebox-Play Fibre : LB3(FW SG30_sip-fr-6.4.18.1) + IHD92 (FW ?) (+ WE-Record)
Offre Sosh 4G : Samsung J3(6) Duos "no brand" (+ ViewPad7, HTC WildFireS,  Samsung Ace3)
On a déjà vu des choses qui ne sont jamais arrivées ...

Hors ligne

#5 11/09/2017 23:50:13

Phénix
Admin
avatar_2
Inscription : 28/08/2012
Messages : 4 005

Re : Faille WPS PIN null

Bonsoir.

Tout vient à point à qui sait attendre, dit-on ...

Ce soir, la page de mise à jour de la LiveBox Play a été modifiée (cf. "[Dossier] Evolutions des pages de l'assistance Orange").
Mais les apports de cette mise à jour n'ont pas été précisés (du moins, pas de façon transparente) smile


Livebox-Play Fibre : LB3(FW SG30_sip-fr-6.4.18.1) + IHD92 (FW ?) (+ WE-Record)
Offre Sosh 4G : Samsung J3(6) Duos "no brand" (+ ViewPad7, HTC WildFireS,  Samsung Ace3)
On a déjà vu des choses qui ne sont jamais arrivées ...

Hors ligne

Pied de page des forums