Petite surprise ce week-end pour les abonnés Orange munis d'une Livebox 2. Le fournisseur d'accès a en effet débuté le déploiement d'une mise à jour de firmware sur son parc sans nouveauté apparente. Sans nouveauté apparente, vraiment ? Pas tout à fait... A l'instar d'un certain Apple, Orange déploie une mise à jour dont le seul but apparent est de bloquer un exploit de ses dernières Livebox 2.
Des développeurs espagnols ont en effet mis au point une application permettant de déverrouiller un ensemble de fonctionnalités avancées sur les Livebox 2. Il s'agit du Livebox 2 Unlocker. Si ce programme ne vise nullement à craquer la box d'Orange, il active des fonctions habituellement indisponibles en rapport avec le VPN ou les options de sauvegarde par exemple. Il permet aussi de modifier des paramètres réseau poussés au niveau du DHCP, du routage TV ou encore d'agir sur les services de téléphonie et de WiFi pour ne citer que quelques unes des possibilités. L'application s'utilise en WiFi (via le WiFi de la Livebox 2) et est bien entendu destinée aux utilisateurs avancés.
Visiblement... l'application n'est pas du goût d'Orange ! A tel point que le fournisseur se fend exceptionnellement d'une mise à jour hors cycle pour modifier les paramètres d'accès à Telnet de la box et ainsi empêcher le fonctionnement du Livebox 2 Unlocker. C'est ainsi que les codes d'accès traditionnels à Telnet (root/1234) ne fonctionnent plus.
Estampillée 6814AE (pour la version SIP et 681494 pour la version H323), cette mise à jour fait l'actualité car la démarche d'Orange est chagrinante. En effet, il est difficile de ne pas épingler l'opérateur pour cette mise à jour qui vise simplement à protéger ses intérêts, du moins en apparence, et dont le temps de développement a été éclair. A peine moins d'un mois depuis la sortie du Livebox 2 Unlocker ! Cela ne serait pas gênant s'il ne fallait pas de très longs mois voir parfois des années (on se souvient de la Livebox Mini) à Orange pour corriger ses firmwares de Livebox dans le but de corriger des bugs fonctionnels. Et en temps normal le FAI nous explique que cette lenteur est due à la taille du parc, aux nécessaires tests de fiabilité et à la mise à disposition progressive de la mise à jour pour ne pas impacter tout son réseau. A moins bien sûr que le Livebox 2 Unlocker soit l'illustration d'une autre faille nettement plus grave que l'accès Telnet et qu'Orange la colmate dans l'urgence sans mot dire.
Contacté par nos soins Orange indique que la mise à jour déployée ce week-end fait partie du cycle habituel de développement des fonctionnalités de la Livebox. A la réponse de savoir si cette mise à jour concerne uniquement le blocage du logiciel Livebox 2 Unlocker, la réponse fut :
« Oui et non. La protection des terminaux est un souci permanent chez Orange. Cette mise à jour empêche effectivement le fonctionnement d'applications illicites en circulation sur Internet ».
Et d'arguer sur la viabilité de la mesure mise en place pour bloquer le Livebox 2 Unlocker. Les codes sources du firmware étant sous licence GPL... le nouveau mot de passe devrait rapidement être connu s'il est inclus dans les sources puisqu'Orange a obligation de les publier. A moins qu'Orange ne compte modifier les mots de passe Telnet tous les trois mois ou que l'opérateur ait trouvé un moyen plus sûr de stocker ces identifiants.
A noter enfin que cette mise à jour est obligatoire, son installation pour les possesseurs de Livebox 2 se fera automatiquement. Et en prime après mise à jour le mot de passe de la console d'administration est réinitialisée à sa valeur par défaut : « admin ».
Télécharger Unlocker pour Windows.
Télécharger Cacaoweb pour Windows.