Sécurité : certaines Bbox susceptibles de laisser filer des données

Une faille de sécurité a été mise au jour par un étudiant français sur certains modèles de Bbox : si le pare-feu est désactivé, il est possible de consulter depuis l'extérieur le contenu d'une clé ou d'un disque dur relié au boîtier en USB.

Diplômé d'une formation consacrée à la lutte contre les intrusions informatiques (CDAISI Ethical Hacking), Nicolas Deffrenne a récemment découvert en manipulant sa Bbox que celle-ci recelait une vulnérabilité quelque peu dérangeante : à partir du moment où l'adresse IP de la box était connue, il devenait possible d'accéder depuis l'extérieur aux périphériques de stockage reliés à cette dernière en USB, en spécifiant simplement à la fin de l'adresse le port 8888. La manipulation fonctionne a priori sur les Bbox F@st 3504, fournies par Sagem, si et seulement si l'utilisateur a manuellement désactivé le pare-feu intégré au firmware.

Contacté par notre confrère, l'opérateur a accusé réception de cette découverte et engagé une réponse rapide.«  Afin de limiter l'exposition au risque de l'accès à des données personnelles, nous avons opéré une réactivation à distance de la fonction firewall de l'ensemble des Bboxs ciblées », a ainsi déclaré le service sécurité de Bouygues Telecom à 01net. Il s'est par ailleurs engagé à communiquer sur le sujet auprès des clients concernés (de façon à les sensibiliser à l'importance du pare-feu) et à procéder à la correction de cette faille lors d'une mise à jour de la box, dans les prochaines semaines.