Dogan Presse Agence France | Actualite | Politique | Journal
 


SFR : la faille à un million (de box)

De mars à mai 2017, les box et les serveurs vitaux de l'opérateur pouvaient être contrôlés par des hackers. Les failles ont été corrigées.

Entre mars et mai 2017, un million d'abonnés de SFR (Altice) ont été exposés à des menaces importantes, parce que les serveurs et les box de l'opérateur étaient mal sécurisés. Deux séries de failles sont à distinguer. La première, détectée en mars et signalée début mai 2017, porte sur les box. Il suffit alors à un hacker de passer par un modem SFR câble* pour accéder à n'importe quelle autre box, simplement en entrant la bonne adresse IP (sorte de "plaque d'immatriculation" des équipements connectés).

Cette manipulation lui permet d'accéder à la page d'administration de la box ciblée, laquelle est protégée par un nom d'utilisateur et un mot de passe qui ne sont presque jamais changés par les clients : "admin". Et même avec un mot de passe modifié, un simple script permet de forcer l'entrée en quelques minutes. Une fois dans l'interface de la box, le pirate peut changer le mot de passe du Wifi, consulter des fichiers personnels et surtout piéger les sites visités par sa cible. En effet, le changement des serveurs de noms de domaine (DNS) dans l'interface, permet de renvoyer l'internaute vers un site maquillé, alors même qu'il tape l'adresse d'un site officiel dans son navigateur. C'est donc l'outil idéal pour créer un clone d'un site de banque – par exemple – et récupérer les données bancaires d'un internaute.

SFR : « Les problèmes ont été corrigés »

La seconde série de failles est signalée mi-mai à SFR. Cette fois, c'est encore plus grave : il est possible d'accéder au cœur du réseau SFR, aux serveurs contenant les données les plus sensibles. Un hacker peut par exemple entrer dans les serveurs contrôlant les mises à jour des box, et créer un réseau d'un million de modems contaminés, pour lancer des cyberattaques géantes. Il est aussi possible de consulter les messages vocaux d'abonnés aux services téléphoniques.

Contacté par Le Point, l'opérateur reconnaît l'existence des deux ­incidents. «  Les modifications nécessaires ont été engagées immédiatement, et les problèmes ont été corrigés dans les jours qui ont suivi  », explique SFR… qui n'a toutefois pas alerté ses clients. « La totalité du parc est protégée depuis », assure encore le service de presse, qui a refusé notre demande d'entretien avec l'équipe de sécurité ayant géré la crise.

Des incidents réguliers chez tous les opérateurs

Les deux incidents sont liés à des défauts de sécurisation des échanges entre les équipements du groupe SFR, notamment ceux connectés via l'ex-réseau Numericable. La fusion de Numericable et de SFR pourrait donc être à l'origine de ces failles. Après l'acquisition de SFR par le groupe de Patrick Drahi, deux réseaux totalement différents ont dû devenir compatibles en quelques mois. Non seulement tout n'a peut-être pas été sécurisé dans les règles de l'art, mais en plus, les "rustines" appliquées dans l'urgence n'ont peut-être pas été bien documentées... Ajoutez à cela de nombreux licenciements et départs dans les équipes, et vous obtenez le cocktail parfait pour générer des failles.

Toutefois, SFR ne doit pas être cloué au pilori : tous les experts le savent, il n'est pas rare que les opérateurs – comme d'autres grandes entreprises – se noient dans leur code informatique. «  Malheureusement, ce type d'incident se produit très régulièrement, et chez tous les opérateurs  », regrette Damien Bancal, ­fondateur du site spécialisé Zataz.com. Selon lui, chez les fournisseurs d'accès, une trentaine d'incidents de ce type sont recensés chaque ­année dans le monde. Sans compter tous ceux, probablement plus nombreux, qui ne sont pas connus...

Un expert a publié sur son blog (en anglais) des détails techniques sur les deux failles.

* Jusqu'à 2016, le câble a été commercialisé sous l'appellation "fibre" par SFR-Altice.

PAR GUERRIC PONCET


:

Photos de l'article

Video de l'article

Articles similaires

 

France

Politique

Economie

Jeunesse

Culture

Technologie

Cinema Guichet

  • Un Profil pour deux

    Un Profil pour deux

    vu 366 fois
    Comédie, Romance (1 h 40 min)
    Sortie le 12 avril 2017
    Réalisateur : St&eacut
  • Boule & Bill 2

    Boule & Bill 2

    vu 421 fois
    Comédie (1 h 20)
    Sortie le 12 avril 2017
    Réalisateur : Pascal Bourdiaux
  • Fast & Furious 8

    Fast & Furious 8

    vu 926 fois
    Action, Thriller (2 h 16)
    Sortie le 12 avril 2017
    Réalisateur : F. Gary Gray

Valence ville

Drome

SPORT

Sante

Vidéos les plus vues

Monde

LE TOP 6 DES ARTICLES