Une faille de sécurité sur les Bbox de Bouygues

Les Bbox de Bouygues sont victimes d’une faille de sécurité. Elle permet aux individus malveillants d’utiliser facilement la connexion Internet d’une Bbox à l’insu de son propriétaire.

Une faille Thomson reprise par Bouygues

Détectée par un lecteur du blog de Korben, cette faille intervient à la source matérielle de la box. En effet, il ne s’agit ni plus ni moins que d’un routeur Thomson SpeedTouch connu pour un bug de sécurité. Kevin Devine, hacker de son état, avait créé un algorithme pour générer des clés WPA et ainsi exploiter la faille de sécurité du SpeedTouch. Lors de l’intégration dans ses Bbox, Bouygues Télécom n’avait pas comblé la faille.

Bkeys, le couteau Suisse pour casser la Bbox

En pratique, la clé de cryptage WPA (suffisante, en général) est liée au nom du réseau Wifi de la Bbox (ESSID). Aussi, il suffit de reprendre le code de Kevin Devine pour l’adapter au cas de la Bbox. Le lecteur de Korben l’a réalisé. Nommé Bkeys, ce programme permet de révéler la clé WPA d’une Bbox à partir de son ESSID. Il est à noter que cette manipulation ne fonctionne que si l’utilisateur a conservé la clé fournie par défaut avec sa Bbox.

La solution : changer manuellement sa clé WPA

À ce sujet, Bouygues Télécom a déclaré qu’il préviendrait très prochainement ses abonnés. Jouant la langue de bois, l’opérateur et FAI rappelle simplement que ses « clients peuvent renforcer la sécurité de leur Bbox en changeant manuellement leur clé WPA ». Bouygues Telecom communiquera prochainement sur le sujet auprès de ses clients. »

Ce souci de sécurité intervient d’ailleurs en même temps que le vote d’Hadopi. La loi contre le piratage oblige bien tous les internautes à protéger leurs connexions à Internet. Dans le cas où la protection est mauvaise et qu’il en incombe au FAI qu’advient-il ?