Bienvenue sur ZATAZ

Actualité

Routeurs SpeedTouch 7G et NeufBox 4 vulnérables.

Publié le 10-10-2007 à 22:40:51 dans le thème Réseau - Sécurité

Pays : International - Auteur : Eric Romang

Pub : CA Anti-Spyware 2007 - Les logiciels espions sont notre cible avant que vous ne deveniez la leur!

Note des lecteurs: 2.6/5

Une vulnérabilité critique pourrait permettre à un internaute malveillant de prendre la main sur les routeurs du type Thomson Alcatel SpeedTouch 7G et NeufBox 4.

Adrian Pastor un chercheur en sécurité informatique, du groupe gnucitizen qui a déjà dévoilé les vulnérabilités Quicktime et PDF au mois de septembre (lire), a rapporté une vulnérabilité critique pour le routeur Internet BT Home Hub de British Telecom (lire).

Ce routeur permet bien sûr de se connecter à internet par le biais du Wifi (en IEEE 802.11g), mais supporte aussi la voix sur ip (VoIP), la téléphonie mobile UMA, la télévision par Internet et donnera la possibilité aux utilisateurs de ce routeur de rejoindre la communauté WIFI FON. Le nombre d'utilisateurs de ce routeur serait environ 2 Million au Royaume-Uni.

Mais sous les belles couleurs de ce routeur de British Telecom, se cache en fait une marque blanche du routeur Thomson/Alcatel SpeedTouch 7G, que l'on retrouve un peu partout en France (chez plusieurs fournisseurs d'accès, nous y reviendrons plus tard) et qui par conséquence est aussi vulnérable à cette vulnérabilité découverte par ce groupe de chercheur en sécurité informatique. D'autres produits Speedtouch seraient aussi vulnérables, mais aucune liste exacte des produits impactés n'est encore disponible.

Venons-en au fait, la vulnérabilité permet de couper complètement les accès wifi, de dérober la clé WEP de l'utilisateur final ou encore (le pire °-°) de prendre contrôle de façon distante de ce routeur, en y injectant une porte dérobée (backdoor).

D'autres possibilités de détournements peuvent être appliquées, comme par exemple le changement de la configuration VOIP, ou la déclaration d'une DMZ ouverte sur Internet dans laquelle on positionnera l'ordinateur cible, etc.). La technique utilisée pour exploiter la vulnérabilité n'est rien d'autre qu'une attaque par "Cross-site request forgery" (lire). Cette attaque est simple à mettre en oeuvre, il suffit d'inciter un internaute à cliquer, ou se rendre sur une page web malveillante pour qu'une tâche spécifique soit effectuée par son intermédiaire sur un site Internet, ou sur son réseau local. Et vu que le routeur possède une adresse IP par défaut, documentée, et accessible depuis le réseau local de l'internaute cible, la porte d'entrée est ouverte à tous.

D'ailleurs, pour en revenir aux fournisseurs d'accès français qui proposent aussi des routeurs ayant les mêmes fonctionnalitées, un internaute français (devloop) a découvert le même phénomène et la même vulnérabilité sur le routeur NeufBox 4. Quelques millions d'utilisateurs français sont aussi vulnérables et peuvent se retrouver à tous moment victimes de ce type d'attaque (lire).

Ci-dessous une petite démonstration vidéo de la vulnérabilité, et le tous sous un air de samba s'il-vous-plait.

Derniers contenus

Le Comité d´Entreprise de GoodYear Amiens fait dans le phishing !

Exclu : Une page dédié à la banque Halifax cachée à l´insu du plein grès du Comité d'Entreprise du fabricant de pneu GoodYear, à Amiens.

DailyMotion HS: Fait trop chaud

Une panne de courant plonge plusieurs centaines de sites Internet Français dans le noir dont Dailymotion, le portail vidéo.

Interpol, nouveau membre du FIRST

La police internationale intègre le cercle du Forum of Incident Response and Security Teams, FIRST.

Fête nationale à la sauce guerre électronique

Un internaute souhaitait lancer une attaque informatique lors de la fête nationale américaine du 4 juillet. Il passera son Independance Day entre quatre murs.

Nouvelles arrestations chez wawa mania

Mercredi matin, les forces de l´ordre française auraient sonné chez de nouveaux administrateurs et uploaders du site Wawa Mania.

Sécurité et mobilité

Périphériques de stockage amovibles : une menace réelle pour la sécurité des informations en entreprises. Une tribune d´Alexei Lesnykh, Responsable du Développement International et de la Stratégie Produit de DeviceLock.

Interoute Internet Barometer

Un widget vous permet de suive en temps réel les attaques informatiques en cours.

Usenet coupable de violation de la propriété intellectuelle

Les ayants droits américains font condamner Usenet. La justice estime que Usenet est directement coupable de violation de la propriété intellectuelle.

Vos réactions ( 0 )

Réagissez à ce contenu

Réagir

Vous devez vous identifier pour ajouter un commentaire.

Cliquer ici pour vous inscrire.

Derniers communiqués de presse

Un site pour sauver des vies

Le groupe de protection sociale Vauban Humanis lance le premier site de localisation de défibrillateurs en France.

La version bêta de BitDefender 2010 désormais disponible en français

BitDefender a le plaisir d´annoncer pour la première fois la disponibilité en langue française de la version bêta de sa solution de sécurité BitDefender Total Security 2010.

Interface de programmation RapiShare disponible

RapidShare donne l´accès à son interface de programmation d´applications. Celle-ci permettra aux développeurs privés et professionnels d´intégrer rapidement et facilement la technologie RapidShare dans leurs outils.

Forfaits vraiment illimités chez Virgin Mobile

Virgin Mobile révolutionne le marché et lance les premiers forfaits vraiment illimités.

Stars-buzz.com

Clara plume: P?tit plaisir à saisir

« J?ai juste envie de parler aux gens », dit Clara Plume. Et elle parle ! C?est d?ailleurs de la parole qu?elle vient : enfance à la fois classique et bohème, encouragée à écrire aussi naturellement qu?elle lit, et à s?exprimer aussi passionnément qu?elle écoute. Elle devient comédienne, monte des pièces, en écrit, les jette, [...]

Speech Debelle, le nouveau clip sur Stars-buzz

Better Days a été produit par Plutonic Lab pendant le séjour de Speech en Australie. Après plusieurs idées de featuring, elle s?est finalement décidée pour Micachu qui a su insuffler sa touche brit-pop unique au titre. Le résultat est dément. Le son est chaleureux, groovy, sensuel. Le beat funky contraste avec la profondeur de la contrebasse [...]

Marie Espinosa, la démarante

Marie Espinosa marquée par Jane Birkin et Françoise Hardy sortira son premier album à la rentrée chez Remark (ULM/Universal Music). Une galette suave baptisée « La démarrante » et qui annonce un son mélodieux. C’est du moins ce que nous a fait saliver de plaisir le premier single de la belle, « Charmante jeune fille [...]

Street Hero

Street Hero ? Saut sur un bus avec caméra embarquée ? Saut freestyle d?un immeuble sur des bus en caméra embarquée. A voir ! Des bus, un immeuble et un jeune sautillant Yamakazi à la sauce anglaise. Etonnant, c’est le buzz vidéo du moment. Soleil, fun et juillet, voilà une période ou l’on peut se lacher un peu [...]

Syndication RSS

ZATAZ mobile et PDA

PDA
Imode

A PROPOS CONTACT Graphisme par Exclusive Network
www.antivirus-enligne.com www.antispyware-gratuits.com www.firewall-gratuit.com
www.outilsgratuits.com www.antispam-gratuits.com www.antiphishing-gratuit.com www.virus-alerte.com