Les mots de passe fournis par défaut par les Bbox de Bouygues Telecom pour protéger l'accès sans fil de l'abonné peuvent être facilement devinés si l'utilisateur n'a pas jugé utile de modifier le nom du réseau WiFi, ou le mot de passe fourni par son FAI. Une "négligence" très répandue qui pourrait alors coûter cher devant l'Hadopi. Mise à jour : Contacté par Numerama, Bouygues Telecom nous a fait savoir son intention de communiquer prochainement auprès de ses clients sur le problème.

Lorsqu’ils auront à juger d’un abonné de Bouygues Telecom dont l’accès à Internet a été utilisé pour pirater des contenus, les juges devront-ils considérer que le fait de ne pas avoir modifié le mot de passe par défaut proposé par leur FAI constitue une « négligence caractérisée » passible d’une amende de 1500 euros et/ou de la suspension de l’accès à Internet ? La question n’est pas vaine, puisqu’elle est le fondement idéologique de la loi Hadopi, quoi qu’essaye de faire croire son rapporteur Frank Riester.

Sur son blog, Korben nous apprend que les Bbox de Bouygues Telecom ont une faille qui permet de deviner facilement le mot de passe du réseau WiFi utilisé par un abonné, y compris dans le cas d’une protection WPA réputée suffisante pour éviter le piratage de l’accès. Les boîtiers ADSL de l’opérateur sont en effet basés sur des routeurs Thomson Speedtouch, dont le générateur de clés WPA a un tout petit problème de rien du tout. En exploitant un bug, des hackers ont en effet trouvé un lien entre la clé WPA proposée par défaut à l’utilisateur et le nom du réseau WiFi (ESSID) généré par le même boîtier Thomson, du type « Bbox-1234AB » – où les 6 derniers caractères varient d’un boîtier à l’autre.

Par un simple algorithme, il est possible de retrouver la clé WPA correspondant au ESSID de la Bbox, et donc d’utiliser la connexion à Internet du boîtier à l’insu de son propriétaire. Un bug que n’a pas corrigé Bouygues sur la Bbox, alors qu’il était déjà connu sur les routeurs Thomson Speedtouch.

L’utilisateur qui se voit proposé un mot de passe unique par sa Bbox et ne juge pas utile de le changer (ou de changer l’ESSID de son réseau) peut donc voir facilement sa connexion à Internet piratée par son voisin, à l’aide d’un simple logiciel générateur de clés.

Mais comment, s’il est convoqué par un tribunal ou reçoit une ordonnance pénale, l’abonné peut-il démontrer qu’un voisin a exploité cette faille ? Comment peut-il simplement avoir connaissance de l’existence d’une telle faille, face à un juge qui se basera sur les relevés d’adresses IP censés faire foi ? Ou comment, inversement, le juge peut-il démontrer que l’abonné n’avait pas modifié son mot de passe ou le nom de son réseau WiFi ?

Un cas pratique qui montre bien l’incongruité de la loi Hadopi, et son inapplicabilité.

Partager sur les réseaux sociaux

Articles liés