Bouygues Telecom : le WiFi des Bbox facilement piratable (MAJ)

Guillaume Champeau - publié le Lundi 21 Septembre 2009 à 11h56 - posté dans Télécoms

Les mots de passe fournis par défaut par les Bbox de Bouygues Telecom pour protéger l'accès sans fil de l'abonné peuvent être facilement devinés si l'utilisateur n'a pas jugé utile de modifier le nom du réseau WiFi, ou le mot de passe fourni par son FAI. Une "négligence" très répandue qui pourrait alors coûter cher devant l'Hadopi.

Mise à jour : Contacté par Numerama, Bouygues Telecom nous a fait savoir son intention de communiquer prochainement auprès de ses clients sur le problème.

Lorsqu'ils auront à juger d'un abonné de Bouygues Telecom dont l'accès à Internet a été utilisé pour pirater des contenus, les juges devront-ils considérer que le fait de ne pas avoir modifié le mot de passe par défaut proposé par leur FAI constitue une "négligence caractérisée" passible d'une amende de 1500 euros et/ou de la suspension de l'accès à Internet ? La question n'est pas vaine, puisqu'elle est le fondement idéologique de la loi Hadopi, quoi qu'essaye de faire croire son rapporteur Frank Riester.

Sur son blog, Korben nous apprend que les Bbox de Bouygues Telecom ont une faille qui permet de deviner facilement le mot de passe du réseau WiFi utilisé par un abonné, y compris dans le cas d'une protection WPA réputée suffisante pour éviter le piratage de l'accès. Les boîtiers ADSL de l'opérateur sont en effet basés sur des routeurs Thomson Speedtouch, dont le générateur de clés WPA a un tout petit problème de rien du tout. En exploitant un bug, des hackers ont en effet trouvé un lien entre la clé WPA proposée par défaut à l'utilisateur et le nom du réseau WiFi (ESSID) généré par le même boîtier Thomson, du type "Bbox-1234AB" - où les 6 derniers caractères varient d'un boîtier à l'autre.

Par un simple algorithme, il est possible de retrouver la clé WPA correspondant au ESSID de la Bbox, et donc d'utiliser la connexion à Internet du boîtier à l'insu de son propriétaire. Un bug que n'a pas corrigé Bouygues sur la Bbox, alors qu'il était déjà connu sur les routeurs Thomson Speedtouch.

L'utilisateur qui se voit proposé un mot de passe unique par sa Bbox et ne juge pas utile de le changer (ou de changer l'ESSID de son réseau) peut donc voir facilement sa connexion à Internet piratée par son voisin, à l'aide d'un simple logiciel générateur de clés.

Mais comment, s'il est convoqué par un tribunal ou reçoit une ordonnance pénale, l'abonné peut-il démontrer qu'un voisin a exploité cette faille ? Comment peut-il simplement avoir connaissance de l'existence d'une telle faille, face à un juge qui se basera sur les relevés d'adresses IP censés faire foi ? Ou comment, inversement, le juge peut-il démontrer que l'abonné n'avait pas modifié son mot de passe ou le nom de son réseau WiFi ?

Un cas pratique qui montre bien l'incongruité de la loi Hadopi, et son inapplicabilité.
Publié par Guillaume Champeau, le 21 Septembre 2009 à 11h56
 
 
41
Commentaires à propos de «Bouygues Telecom : le WiFi des Bbox facilement piratable (MAJ)»
 

1
2
3
Sans commentaire....
heuresement que la pub comparative est très réglementée.

J'imagine le prochain slogan de chez free:
"m'en fous je suis chez free ... pas chez les maçons"
Free boys versus Bouygues Brothers. Les french providers of France, in France and for frenchs who pay. En attendant les maçons ont déjà piqué 10 000 clients aux free boys ....
Pov' madame michu qui va même pas comprendre pourquoi elle paye une amende
Puisque ce problème est connu et documenté chez Bouygues Telecom, l'abonné ne pourra-t'il pas se retourner contre eux pour défaut d'information auprès de ces clients ?
Puisque ce problème est connu et documenté chez Bouygues Telecom, l'abonné ne pourra-t'il pas se retourner contre eux pour défaut d'information auprès de ces clients ?

Pour "négligence caractérisée", je trouverai ça beaucoup plus drôle
Moi je préfère être gitan et avoir de la qualité après c'est votre choix.
On le DL où le soft ?
bbox : internet de maçon
Free boys versus Bouygues Brothers. Les french providers of France, in France and for frenchs who pay. En attendant les maçons ont déjà piqué 10 000 clients aux free boys ....

En même temps c'est pas con d'essayer de récupérer des clients avant que les comptes soit suspendu par hadopi
Free boys versus Bouygues Brothers. Les french providers of France, in France and for frenchs who pay. En attendant les maçons ont déjà piqué 10 000 clients aux free boys ....

En même temps c'est pas con d'essayer de récupérer des clients avant que les comptes soit suspendu par hadopi
Tu a peut être raison, pour se protéger d'hadopi il faudra peut être abandonner les providers français.
le probleme existe aussi chez les autres FAI non?
"par un simple algorithme" ou "par un algorithme simple" ? Pour casser une clé, il faut forcement un algorithme, même si c'est un algorithme de force brute. Donc je suppose qu'il utilise un algorithme (très) simple.
j ai l'impression qu'il y a une cabale contre bouygues, je préfere un bouygues qui propére que FRee.
j'espere que Free va disparaitre tres prochainement, il ne mérite que ça et nous sommes bcq à le penser notamment dans les hautes spéres de l'état.
VIDEOCLUB, le 21/09/2009 - 14:08
j ai l'impression qu'il y a une cabale contre bouygues, je préfere un bouygues qui propére que FRee.j'espere que Free va disparaitre tres prochainement, il ne mérite que ça et nous sommes bcq à le penser notamment dans les hautes spéres de l'état.
C'est sur que c'est tellement mieux que trois opérateurs mafieux puisse continuer indéfiniment à s'entendre comme larrons en foire pour nous racketter !
Sur une SFR/Neuf Box, pour une amie, ils avaient mis comme clé son numéro de téléphone par défaut... plus facile à retenir en effet pour l'utilisateur lambda lorsqu'il appelle le SAV pour configurer son pc...
Son n° de Tel... encore plus facile à trouver par votre voisin, dans l'annuaire. Pas besoin de keygen ! :)
Question dans le même genre : La box n'étant que louée par le titulaire de la ligne (dans la plupart des cas), qu'en est-il de la modification des paramètres par l'abonné ? Est-il normal qu'on reporte sur le client les failles du professionnel.

En plus, l'installation d'un logiciel sur le PC n'empêchera jamais de pirater le Wifi d'une box !
je préfere un bouygues qui propére que FRee.
j'espere que Free va disparaitre tres prochainement, il ne mérite que ça
pour quelles raisons ? :)
Générer une clé WPA à partir du SSID, faut être sacrément con quand même. Pourtant les générateurs de nombres aléatoires, c'est pas ce qui manque...
VIDEOCLUB, le 21/09/2009 - 14:05
le probleme existe aussi chez les autres FAI non?

Non car ils n'ont pas été assez cons pour créer la clef par défaut à partir d'un Essid public avec un générateur aléatoire connu.

Sinon les dartybox sont aussi intéressantes au niveau de la sécurité.

1
2
3
A LA UNE
LES + COMMENTÉS
> Tous les articles
Télécharger
Quick Zip
Compression et décompression - Décompression et fonctions multi-fichiers
 
Juice (iPodder)
Lecteur audio et vidéo - Du podcasting pour les nuls
 
BitDefender Antivirus
Antivirus - Antivirus de dernière génération
 
Sysmetrix
Diagnostic - Vos informations systèmes en temps réel
 
Yahoo! Music Jukebox
Recommandation musicale - Lecteur multi-fonctionnel avec recommandations
 
Septembre 2009
 
Lu Ma Me Je Ve Sa Di
31 1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 1 2 3 4
5 6 7 8 9 10 11
Matoumba
EntrepreNantes
Numerama est un site du réseau PressTIC