Une faille de sécurité couverte par SFR (Altice) en mars 2017

Alors que les internautes se rassuraient tout juste en apprenant que les box internet n’étaient pas vulnérables à la faille nommée Kracks, ils viennent d’apprendre l’existence d’une nouvelle faille de sécurité. Depuis colmatée, elle a pu poser problème à plus d’un million d’abonnés SFR (Atlice) entre mars et mai 2017.

Pour exploiter une faille de sécurité, à chacun sa méthode.

Deux méthodes permettaient d’exploiter cette brèche. La première permettait aux hackers d'accéder, par l’intermédiaire d’un câble modem SFR, à une autre box en rentrant simplement l’adresse IP correspondante. Il suffisait alors de forcer le script sur la page d’identification pour accéder à l’interface de la box des usagers. En modifiant le protocole DNS, ils pouvaient alors créer des sites maquillés afin de tromper l’utilisateur et de recueillir ses informations de connexion.

La deuxième menace était encore plus dangereuse. Celle-ci offrait un accès à l’infrastructure des réseaux Altice, afin de contaminer une, puis autant de box que souhaité. Cette méthode permettait non seulement de lancer des cyberattaques conséquentes, mais également d’accéder au service de messagerie vocale des usagers. Si la menace est, depuis juin 2017, écartée, ces failles de sécurité facilement exploitables posent question.

Une brèche de sécurité dans le code des box SFR Altice.

Une menace révélée parmi tant d’autres tues

Altice est parvenu à remédier à la situation en colmater les failles incriminées, sans toutefois prévenir ses utilisateurs. La vulnérabilité du système daterait de la fusion entre Numéricable et le réseau SFR. Devant l’impératif de temps, les ingénieurs informatique ont du rapidement fondre deux réseaux en un. Malheureusement , les manœuvres impliquées ont vu plusieurs failles naître de cette fusion.

Il n’est toutefois pas rare que de telles brèches de sécurité soient déclarées par des fournisseurs d’accès. La rédaction du Point qui a révélé cette affaire, a interrogé le fondateur du site de sécurité Zataz. Selon Damien Bancal, une trentaine de failles semblables à celles-ci sont recensées chaque année par les pairs de Altice. Peu toutefois parviennent aux oreilles du public, les fournisseurs d’accès préférant régler ces failles en interne avant d’informer le public. Pour les curieux, un document en anglais disponible sur ce blog permettra de mieux comprendre les enjeux techniques de ces deux brèches de sécurité.