#1 11-08-2017 07:46:37

Giordano Bruno
Membre
Date d'inscription: 22-02-2017
Messages: 26

Faille de sécurité WIFI WPS sur Livebox

Bonjour à tous,

Il semblerait que les Livebox soient touchées par une faille de sécurité du WPS :
http://www.phonandroid.com/livebox-box- … ondes.html

Ma question s'il vous plait :

Si le WPS est désactivé et le WIFI Facile activé, la faille est-elle comblée ? Ou faut-il également désactiver le WIFI Facile ? (Sur Livebox 2 en ce qui me concerne)

Merci.
Bonne journée.

Hors ligne

 

#2 11-08-2017 10:39:47

shdf
Avant FONO j'avais une vie
Date d'inscription: 26-03-2012
Messages: 2352
Site web

Re: Faille de sécurité WIFI WPS sur Livebox

Bonjour,

Sur ces box la fonctionnalité est activée par défaut, mais configurée sans aucun PIN. Un hacker montre à quel point il est facile d’exploiter cette faille

Ben il suffit de mettre un code PIN...et le problème est réglée.
une news fortement exagérée je trouve...la faille existe OK mais lors de la mise en service de la box, ensuite avec le temps il y a fort à parier que la majorité des gens ont eu a utiliser le WPS et donc y mettre un code.

Dernière modification par shdf (11-08-2017 10:43:32)


Livebox 4 + Décodeur TV - Distance NRA: 301m - VDSL2 90mb/18mb.
Utilitaire info Livebox: Voir mon "Site web" à gauche. Autres outils: Voir la section logiciel.

Hors ligne

 

#3 11-08-2017 10:55:45

Giordano Bruno
Membre
Date d'inscription: 22-02-2017
Messages: 26

Re: Faille de sécurité WIFI WPS sur Livebox

[Modération: Inutile de citer le post précédent. Merci de relire les règles.]

Je n'ai pas lu la même chose que toi. Il me semble comprendre que le logiciel permet de faire accepter un code pin VIDE. Mais de toute façon, ce n'était pas ma question.

De plus, j'ai une box Orange depuis qu'elle est sortie, j'ai eu à utiliser le WPS et je n'ai jamais mis de code PIN. Mais je ne suis pas la majorité des gens big_smile

Je reformule ma question : quand le WPS est désactivé, faut-il aussi désactiver le WIFI facile pour que la box soit sécurisée ?

Merci.

Hors ligne

 

#4 11-08-2017 11:30:44

shdf
Avant FONO j'avais une vie
Date d'inscription: 26-03-2012
Messages: 2352
Site web

Re: Faille de sécurité WIFI WPS sur Livebox

Désolé je ne saurais répondre à la question car sur la livebox 4 je ne vois pas de "wifi facile"...et je pensais d'ailleurs que c'était une vulgarisation du "WPS"...

Je reviens sur l'article que je viens de relire une seconde fois et moi ce que je comprends c'est que l'énorme faille en question n'est autre que l'absence de code PIN par défaut.
Cette absence de code, lorsqu'on utilise des logiciels "normaux" empeche d'appairer les appareils, il est donc nécessaire de générer un code PIN pour effecturer l'appairage (soit en appuyant sur le bouton physique de la box, soit en l'inscrivant manuellement dans l'interface web de la box).

Les hackers disposent d'un logiciel qui contourne la règle qui est: "je n'accepte pas un code PIN vide". Et donc par ce fait arrivent a ce connecter aux BOX qui n'ont jamais eu de code pin généré. un vide c'est un null en informatique, et donc ils envoient comme code PIN le caractère null, et ca passe.

j'imagine donc que dans le prochain firmware d'orange il y aura par défaut un code PIN et/ou elle refusera les code PIN null.

Donc dans ce laps de temps, en attendant d'avoir une réponse à ta question, tu peux tout simplement mettre un code PIN dans le WPS et ainsi le garder activer, ou bien le désactiver.big_smile

EDIT:
Je vois que le lanceur d'alerte a fait des tests sur la box SFR, mais je le vois nul part parler de livebox ???

EDIT2:
http://www.crack-wifi.com/forum/topic-1 … tml#p82320
les livebox Play (LB 3) sont visiblement concernées.
les adresses MAC en 00:19:70 de type livebox 2 ne semblent pas affectés

Dernière modification par shdf (11-08-2017 11:59:34)


Livebox 4 + Décodeur TV - Distance NRA: 301m - VDSL2 90mb/18mb.
Utilitaire info Livebox: Voir mon "Site web" à gauche. Autres outils: Voir la section logiciel.

Hors ligne

 

#5 11-08-2017 12:02:04

Giordano Bruno
Membre
Date d'inscription: 22-02-2017
Messages: 26

Re: Faille de sécurité WIFI WPS sur Livebox

Merci infiniment SHDF pour tes recherches et tes précisions clin_oeil_2up
Me voilà rassuré et protégé.

P.S : Wifi facile et WPS sont bien deux choses distinctes dans le gestionnaire de la Livebox 2 (Leurs activation/désactivation respectives sont bien indépendantes l'une de l'autre)

Dernière modification par Giordano Bruno (11-08-2017 12:07:13)

Hors ligne

 

#6 11-08-2017 14:14:15

greg38
On est bien ici
Date d'inscription: 13-04-2009
Messages: 158

Re: Faille de sécurité WIFI WPS sur Livebox


http://www.speedtest.net/result/4978704166.png

Hors ligne

 

#7 11-08-2017 16:06:10

Gipeca
Modérateur
Lieu: Près de Dieppe, devant mon Mac
Date d'inscription: 09-06-2009
Messages: 20959
Site web

Re: Faille de sécurité WIFI WPS sur Livebox

Bonjour,

Pour plus de visibilité, et étant donné que l'info est récente, je transfère la discussion dans la rubrique "Dernières nouvelles".


https://i37.servimg.com/u/f37/18/84/50/99/14493410.gif     Livebox3   SG30_sip-fr-6.4.16.1    NRA: SNA76    Atténuation ADSL: 30dB    Synchro: 15,1 Mb/s

Hors ligne

 

#8 11-08-2017 17:37:20

JoeKer
Modérateur
Lieu: A l'Ouest à nouveau ...
Date d'inscription: 26-03-2008
Messages: 39788
Site web

Re: Faille de sécurité WIFI WPS sur Livebox

Bonsoir.

Je pense que toutes les Livebox (2, 3 et 4) sont concernées.

Dans le doute, et si vous n'en avez pas besoin, le mieux est de désactiver le Wi-Fi, ou au moins WPS ...


Livebox-Play Fibre : LB3(FW SG30_sip-fr-6.4.16.1) + IHD92 (40.12.61) + WE-Record|Offre Sosh 4G : Samsung J3(6) Duos "no brand" (+ ViewPad7, HTC WildFireS,  Samsung Ace3)
On a déjà vu des choses qui ne sont jamais arrivées ...

Hors ligne

 

#9 11-08-2017 18:30:58

Giordano Bruno
Membre
Date d'inscription: 22-02-2017
Messages: 26

Re: Faille de sécurité WIFI WPS sur Livebox

Gipeca a écrit:

Bonjour,

Pour plus de visibilité, et étant donné que l'info est récente, je transfère la discussion dans la rubrique "Dernières nouvelles".

Merci. J'ai cru que mon sujet avait été supprimé.
Et merci à tous pour les liens et les précisions.

Attendons-nous (espérons) à entendre/voir la box clignoter nuitamment d'ici peu.

Hors ligne

 

#10 11-08-2017 23:07:58

JoeKer
Modérateur
Lieu: A l'Ouest à nouveau ...
Date d'inscription: 26-03-2008
Messages: 39788
Site web

Re: Faille de sécurité WIFI WPS sur Livebox

J'ai fait quelques tests sur ma LB3 et ma vieille LB2 Sagem.
J'ai réussi à récupérer la clé Wi-Fi sur la LB3 (une fois seulement sur plusieurs exécutions du test), mais pas sur la LB2.
Que ce soit pour l'une ou pour l'autre, ma façon de l'interpréter est de dire que c'est possible, autant pour l'une que pour l'autre, mais que ce n'est pas aussi simple que dit dans l'exposé de la faille.
Je ne peux rien dire sur la LiveBox 4 ...

Sur la toile, l'info circule que Orange va déployer un correctif de façon transparente, mais à surveiller tout de même.
En effet, certains ont peut-être le souvenir d'un correctif (août 2011) déployé en urgence qui avait réinitialisé le mot de passe d'administration à "admin" pour tout le monde, ou d'un autre (2014 ou 2015 ?) un peu moins visible qui avait initialisé le même mot de passe aux 8 premiers caractères de la clé Wi-Fi, même si celui-ci avait été personnalisé.

Pour ma part, je signalerai la mise à jour sur ma LB3 (pour le moment, il n'y a rien de disponible).

Dans le doute, le minimum est toujours de désactiver le WPS sur la LiveBox (et là, je peux certifier que les outils en cause ne peuvent plus fonctionner), ou encore mieux, de désactiver le Wi-Fi s'il n'est pas nécessaire.


Livebox-Play Fibre : LB3(FW SG30_sip-fr-6.4.16.1) + IHD92 (40.12.61) + WE-Record|Offre Sosh 4G : Samsung J3(6) Duos "no brand" (+ ViewPad7, HTC WildFireS,  Samsung Ace3)
On a déjà vu des choses qui ne sont jamais arrivées ...

Hors ligne

 

#11 11-08-2017 23:15:32

shdf
Avant FONO j'avais une vie
Date d'inscription: 26-03-2012
Messages: 2352
Site web

Re: Faille de sécurité WIFI WPS sur Livebox

peux tu cofirmer que si un code PIN est rentré dans la livebox l'exploit ne marche pas ?


Livebox 4 + Décodeur TV - Distance NRA: 301m - VDSL2 90mb/18mb.
Utilitaire info Livebox: Voir mon "Site web" à gauche. Autres outils: Voir la section logiciel.

Hors ligne

 

#12 13-08-2017 02:08:57

JoeKer
Modérateur
Lieu: A l'Ouest à nouveau ...
Date d'inscription: 26-03-2008
Messages: 39788
Site web

Re: Faille de sécurité WIFI WPS sur Livebox

Bonjour.

Désolé, j'avais raté ta question.

Je ne puis certifier la réponse à 100%, mais je pense que, même avec un code PIN, l'exploit fonctionne ...

Malheureusement, je n'ai pas réussi à aller très loin dans l'exploit de mon côté (il y a plusieurs conditions à réunir, semble-t-il, que je n'ai réussi à réunir qu'une seule fois), mais l'outil utilisé me paraît inquiétant, car au pire, il sait faire du "brute force" sur le code PIN, ça demande seulement beaucoup plus de temps. Je ne suis pas certain qu'il puisse aller jusqu'au bout (de mon côté, je me suis retrouvé sur un verrouillage d'AP sur la LB3, verrouillage (blacklistage ?) qui ne sauterait, je pense, qu'avec le minimum d'un reboot, voire d'un "reset usine").

En tout cas, ce qui est publié semble drôlement déranger Orange.
Avec une recherche Google sur "Orange WPS" sur la semaine passée, j'obtiens deux liens sur "communauté orange" :
https://www.google.fr/url?sa=t&rct= … 8EBr-t6CQg
https://www.google.fr/url?sa=t&rct= … 5pUWti8QKA
Mais les liens finaux (https://communaute.orange.fr/t5/protége … -p/1350375 et
https://communaute.orange.fr/t5/ma-conn … -p/1350580) ont été mis hors de vue ...
Tous les liens "Orange" ne sont pas touchés, on trouve des choses chez Sosh


Mon conseil reste donc le même :
- Si possible, désactiver le Wi-Fi sur la LiveBox.
- Au minimum, désactiver le WPS sur la LiveBox, et ne le réactiver qu'au coup par coup (et donc très temporairement).
L'outil en question ne détecte que les points d'accès qui sont en WPS, ils ne sont détectables que lorsque le WPS est activé au moment du scan.

Une bonne solution de correction serait de n'activer le WPS que lorsqu'on active le bouton d'association, mais je ne suis pas certain que ça fonctionne bien (du moins dans l'esprit WPS).


Livebox-Play Fibre : LB3(FW SG30_sip-fr-6.4.16.1) + IHD92 (40.12.61) + WE-Record|Offre Sosh 4G : Samsung J3(6) Duos "no brand" (+ ViewPad7, HTC WildFireS,  Samsung Ace3)
On a déjà vu des choses qui ne sont jamais arrivées ...

Hors ligne

 

#13 14-08-2017 14:42:55

Giordano Bruno
Membre
Date d'inscription: 22-02-2017
Messages: 26

Re: Faille de sécurité WIFI WPS sur Livebox

JoeKer a écrit:

En tout cas, ce qui est publié semble drôlement déranger Orange.
Avec une recherche Google sur "Orange WPS" sur la semaine passée, j'obtiens deux liens sur "communauté orange" :
https://www.google.fr/url?sa=t&rct= … 8EBr-t6CQg
https://www.google.fr/url?sa=t&rct= … 5pUWti8QKA
Mais les liens finaux (https://communaute.orange.fr/t5/protége … -p/1350375 et
https://communaute.orange.fr/t5/ma-conn … -p/1350580) ont été mis hors de vue ...
Tous les liens "Orange" ne sont pas touchés, on trouve des choses chez Sosh

Bonjour à tous,

Tous ces liens pour moi sont inaccessibles ou les pages ont été supprimées.

Qu'en est-il du Wifi facile de ma Livebox 2 s'il vous plait ? Est-ce aussi une porte d'entrée alors que le WPS est désactivé ? Merci.

Bonne journée.

Hors ligne

 

#14 14-08-2017 18:00:07

lachose
On est bien ici
Lieu: les landes
Date d'inscription: 08-03-2010
Messages: 431

Re: Faille de sécurité WIFI WPS sur Livebox

bonjour a tous

il y a une faille c est sur , mais tout vos voisin ne sont pas des krachers ... ils ne vont pas vous pirater votre wifi .... ou alors vous n avez pas de chance ..... vous avec 100000 fois plus de chance de vous ramasser une vacherie en allant sur un  site que d avoir un voisin qui pirate votre wifi .......
ca , c est comme les failles sur win , des qu elles sont decouvertes et annoncees les pirates cherchent d autres failles non decouvertes .......

que la force soit avec vous


Lorsque le sage montre la lune , l idiot regarde le doigt ( confucius )

Hors ligne

 

#15 14-08-2017 18:11:33

Giordano Bruno
Membre
Date d'inscription: 22-02-2017
Messages: 26

Re: Faille de sécurité WIFI WPS sur Livebox

lachose a écrit:

bonjour a tous

il y a une faille c est sur ,

Merci de me le confirmer big_smile


mais tout vos voisin ne sont pas des krachers ... ils ne vont pas vous pirater votre wifi .... ou alors vous n avez pas de chance ..... vous avec 100000 fois plus de chance de vous ramasser une vacherie en allant sur un  site que d avoir un voisin qui pirate votre wifi .......

Je n'ai pas envisagé un instant qu'un de mes voisins me pirate big_smile


ca , c est comme les failles sur win , des qu elles sont decouvertes et annoncees les pirates cherchent d autres failles non decouvertes .......

Parce qu'elles sont corrigées par l'éditeur big_smile


Lorsque le sage montre la lune , l idiot regarde le doigt ( confucius )

Confucius aurait dit « le sot », certainement pas « l'idiot » big_smile
Ceci étant, merci pour vos très précieux conseils.

Hors ligne

 

#16 14-08-2017 19:07:54

JoeKer
Modérateur
Lieu: A l'Ouest à nouveau ...
Date d'inscription: 26-03-2008
Messages: 39788
Site web

Re: Faille de sécurité WIFI WPS sur Livebox

Bonsoir.

Déjà, je confirme que la faille du code PIN vide fonctionne même que l'option 'PIN' soit activée ou pas (vérifié sur ma LB3).
Donc, la solution minimale est de désactiver le WPS.

@lachose : Oui, les probabilités sont faibles, mais quand le mot de passe d'admin de la box est constitué des 8 premiers caractères de la clé Wi-Fi, ça change l'impact potentiel ...


@Giordano Bruno : Ghizmo38 avait expliqué le Wi-Fi "facile" dans le message en lien.
Apparemment, inutilisable sans le CD d'install.
Je ne suis pas certain que le "Wi-fi facile" fonctionne encore ...


Livebox-Play Fibre : LB3(FW SG30_sip-fr-6.4.16.1) + IHD92 (40.12.61) + WE-Record|Offre Sosh 4G : Samsung J3(6) Duos "no brand" (+ ViewPad7, HTC WildFireS,  Samsung Ace3)
On a déjà vu des choses qui ne sont jamais arrivées ...

Hors ligne

 

#17 14-08-2017 20:23:06

lachose
On est bien ici
Lieu: les landes
Date d'inscription: 08-03-2010
Messages: 431

Re: Faille de sécurité WIFI WPS sur Livebox

bonsoir

@Giordano Bruno : toutes les failles win ne sont pas corrigees .... c est ce qu ils vous disent mais la realite est tout autre , la  fermeture d une faille en ouvre souvent 1 a 2 autres ...... voila pourquoi il y a autant de mises a jour ....

et pour la pensee de confucius , cela depend comment nous le traduisons .... il y a le sot , l idiot et meme l imbecile .....




@JoeKer : de toutes facon , suffit d avoir un ordi dedié au piratage , et d avoir les logs de craquage en force brut , et tres peu de MDP resistent .... la nouvelle technique est de faire une phrase comme MDP ... et la cela devient hyper dur a peter .....

Dernière modification par lachose (14-08-2017 20:52:51)


Lorsque le sage montre la lune , l idiot regarde le doigt ( confucius )

Hors ligne

 

#18 15-08-2017 12:51:18

JoeKer
Modérateur
Lieu: A l'Ouest à nouveau ...
Date d'inscription: 26-03-2008
Messages: 39788
Site web

Re: Faille de sécurité WIFI WPS sur Livebox

Bonjour.

la nouvelle technique est de faire une phrase comme MDP ... et la cela devient hyper dur a peter

Ah oui, très dur : Avec la faille du PIN null, ça se fait en 3 secondes ...


Livebox-Play Fibre : LB3(FW SG30_sip-fr-6.4.16.1) + IHD92 (40.12.61) + WE-Record|Offre Sosh 4G : Samsung J3(6) Duos "no brand" (+ ViewPad7, HTC WildFireS,  Samsung Ace3)
On a déjà vu des choses qui ne sont jamais arrivées ...

Hors ligne

 

#19 15-08-2017 13:13:54

lachose
On est bien ici
Lieu: les landes
Date d'inscription: 08-03-2010
Messages: 431

Re: Faille de sécurité WIFI WPS sur Livebox

bonjour


@JoeKer

le code pin est a combien de caracteres ?

Dernière modification par lachose (15-08-2017 13:14:59)


Lorsque le sage montre la lune , l idiot regarde le doigt ( confucius )

Hors ligne

 

#20 15-08-2017 13:30:02

shdf
Avant FONO j'avais une vie
Date d'inscription: 26-03-2012
Messages: 2352
Site web

Re: Faille de sécurité WIFI WPS sur Livebox

d'apres ce que pense joeker, tu peux avoir un code pin qui serait de 500 caractères que ca ne changerait rien puisqu'il suffit d'envoyer un null en réponse et ca passe.

Moi au début je pensais que dans la mesure ou on a pas de code pin (donc null) le fait d"envoyer null faisait une réponse valide (null = null donc c'est ok).

Dernière modification par shdf (15-08-2017 13:31:57)


Livebox 4 + Décodeur TV - Distance NRA: 301m - VDSL2 90mb/18mb.
Utilitaire info Livebox: Voir mon "Site web" à gauche. Autres outils: Voir la section logiciel.

Hors ligne

 

#21 15-08-2017 13:44:08

lachose
On est bien ici
Lieu: les landes
Date d'inscription: 08-03-2010
Messages: 431

Re: Faille de sécurité WIFI WPS sur Livebox

bonjour

@shdf

tout a fait .... mais comme il faut vraiment avoir certaines connaissances pour pirater , il ne faut pas trop s inquieter .... il y a bien plus grave ...... et sans pirater la wifi ...... tout ce qui peut etre vu au travers de win ......


Lorsque le sage montre la lune , l idiot regarde le doigt ( confucius )

Hors ligne

 

#22 15-08-2017 17:15:14

JoeKer
Modérateur
Lieu: A l'Ouest à nouveau ...
Date d'inscription: 26-03-2008
Messages: 39788
Site web

Re: Faille de sécurité WIFI WPS sur Livebox

Le code PIN WPS est normalement de 8 caractères, je ne sais pas ce que ça donnerait avec plus ...

La clé WPA peut être longue,  compliquée, tout ce qu'on veut, elle se craque très vite avec cette faille.

@lachose : Il n'est pas toujours nécessaire d'avoir les connaissances pour pirater (que ce soit le Wi-Fi ou autre chose, on trouve les outils sur le Net, et c'est le cas pour la faille objet de cette discussion ...
Si tu veux parler des vulnérabilités de Windows, libre à toi, mais ouvre une autre discussion dans ce cas smile


Livebox-Play Fibre : LB3(FW SG30_sip-fr-6.4.16.1) + IHD92 (40.12.61) + WE-Record|Offre Sosh 4G : Samsung J3(6) Duos "no brand" (+ ViewPad7, HTC WildFireS,  Samsung Ace3)
On a déjà vu des choses qui ne sont jamais arrivées ...

Hors ligne

 

#23 15-08-2017 17:29:40

lachose
On est bien ici
Lieu: les landes
Date d'inscription: 08-03-2010
Messages: 431

Re: Faille de sécurité WIFI WPS sur Livebox

@JoeKer

j aimerais bien avoir  quelques adresses , mais qui soient en toute securite pour obtenir ces outils ..... de sorte que je puisse les tester comme je fais depuis quelques annees

merci d avance

Dernière modification par lachose (15-08-2017 17:35:18)


Lorsque le sage montre la lune , l idiot regarde le doigt ( confucius )

Hors ligne

 

#24 16-08-2017 01:42:37

JoeKer
Modérateur
Lieu: A l'Ouest à nouveau ...
Date d'inscription: 26-03-2008
Messages: 39788
Site web

Re: Faille de sécurité WIFI WPS sur Livebox

Bonjour.

Disons que c'est hors sujet ...


Livebox-Play Fibre : LB3(FW SG30_sip-fr-6.4.16.1) + IHD92 (40.12.61) + WE-Record|Offre Sosh 4G : Samsung J3(6) Duos "no brand" (+ ViewPad7, HTC WildFireS,  Samsung Ace3)
On a déjà vu des choses qui ne sont jamais arrivées ...

Hors ligne

 

#25 16-08-2017 08:09:05

Giordano Bruno
Membre
Date d'inscription: 22-02-2017
Messages: 26

Re: Faille de sécurité WIFI WPS sur Livebox

JoeKer a écrit:

Bonsoir.

@Giordano Bruno : Ghizmo38 avait expliqué le Wi-Fi "facile" dans le message en lien.
Apparemment, inutilisable sans le CD d'install.
Je ne suis pas certain que le "Wi-fi facile" fonctionne encore ...

Le Wifi facile fonctionne parfaitement sur ma Livebox 2 et est constamment activé. C'est ainsi que j'appaire tous mes périphériques nécessitant une connexion WIFI et c'est ainsi que je les utilise. Et ils sont très nombreux.

Ma question initiale, qui a suscité de ma part la création de ce sujet, reste donc posée et entière : Qu'en est-il du Wifi facile et de cette faille de sécurité sur ma Livebox 2 s'il vous plait ? Merci

Je constate par ailleurs qu'Orange semble adopter la méthode gouvernementale en matière d'œufs : la politique de l'autruche ...

Par ailleurs, pour répondre une bonne fois pour toute à lachose sans créer un nouveau message ni un nouveau sujet, alors qu'ici ce n'est pas la question, pour ce qui est des failles de sécurité de Windows, quand elles sont connues et divulguées elles sont corrigées quand c'est possible. Que Windows maintienne ses propres portes d'entrées par derrière (backdoors), ce n'est pas nouveau et c'est parfaitement connu (entre autre à des fins de maintenance), sans tomber dans le complotisme idiot. Si quelqu'un n'aime pas Windows, il a le choix d'un autre OS. Fin de la parenthèse hors sujet.

Pour conclure sur la sécurité en général et la sécurité sur Orange, je recommande à tout le monde de s'abonner à : http://www.cert.ssi.gouv.fr/

Intéressant de noter que je ne trouve rien sur le Wifi et le WPS d'Orange. Mais j'ai peut-être mal lu.


Bonne journée à tous.

P.S : je mets en gras ce qui est dans le sujet.

Dernière modification par Giordano Bruno (16-08-2017 08:11:26)

Hors ligne

 

Powered by PunBB
© Copyright 2002–2008 PunBB