Actualité

 

Routeurs SpeedTouch 7G et NeufBox 4 vulnérables.

Publié le 10-10-2007 à 22:40:51 dans le thème Réseau - Sécurité

Pays : International - Auteur : Eric Romang


Pub : CA Anti-Virus 2007 - Protection exhaustive contre l’intrusion de virus!


Note des lecteurs: 2.6/5

Une vulnérabilité critique pourrait permettre à un internaute malveillant de prendre la main sur les routeurs du type Thomson Alcatel SpeedTouch 7G et NeufBox 4.

Adrian Pastor un chercheur en sécurité informatique, du groupe gnucitizen qui a déjà dévoilé les vulnérabilités Quicktime et PDF au mois de septembre (lire), a rapporté une vulnérabilité critique pour le routeur Internet BT Home Hub de British Telecom (lire).

Ce routeur permet bien sûr de se connecter à internet par le biais du Wifi (en IEEE 802.11g), mais supporte aussi la voix sur ip (VoIP), la téléphonie mobile UMA, la télévision par Internet et donnera la possibilité aux utilisateurs de ce routeur de rejoindre la communauté WIFI FON. Le nombre d'utilisateurs de ce routeur serait environ 2 Million au Royaume-Uni.

Mais sous les belles couleurs de ce routeur de British Telecom, se cache en fait une marque blanche du routeur Thomson/Alcatel SpeedTouch 7G, que l'on retrouve un peu partout en France (chez plusieurs fournisseurs d'accès, nous y reviendrons plus tard) et qui par conséquence est aussi vulnérable à cette vulnérabilité découverte par ce groupe de chercheur en sécurité informatique. D'autres produits Speedtouch seraient aussi vulnérables, mais aucune liste exacte des produits impactés n'est encore disponible.

Venons-en au fait, la vulnérabilité permet de couper complètement les accès wifi, de dérober la clé WEP de l'utilisateur final ou encore (le pire °-°) de prendre contrôle de façon distante de ce routeur, en y injectant une porte dérobée (backdoor).

D'autres possibilités de détournements peuvent être appliquées, comme par exemple le changement de la configuration VOIP, ou la déclaration d'une DMZ ouverte sur Internet dans laquelle on positionnera l'ordinateur cible, etc.). La technique utilisée pour exploiter la vulnérabilité n'est rien d'autre qu'une attaque par "Cross-site request forgery" (lire). Cette attaque est simple à mettre en oeuvre, il suffit d'inciter un internaute à cliquer, ou se rendre sur une page web malveillante pour qu'une tâche spécifique soit effectuée par son intermédiaire sur un site Internet, ou sur son réseau local. Et vu que le routeur possède une adresse IP par défaut, documentée, et accessible depuis le réseau local de l'internaute cible, la porte d'entrée est ouverte à tous.

D'ailleurs, pour en revenir aux fournisseurs d'accès français qui proposent aussi des routeurs ayant les mêmes fonctionnalitées, un internaute français (devloop) a découvert le même phénomène et la même vulnérabilité sur le routeur NeufBox 4. Quelques millions d'utilisateurs français sont aussi vulnérables et peuvent se retrouver à tous moment victimes de ce type d'attaque (lire).

Ci-dessous une petite démonstration vidéo de la vulnérabilité, et le tous sous un air de samba s'il-vous-plait.


 

Conseiller cet article Réagir RSS ZATAZ Partager cet article sur Wikio Partager cet article sur Scoopeo Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur Fuzz Partager cet article sur del.icio.us Envoyer cet article sur Blogmarks

Derniers contenus

Phishing à l´encontre de la Caisse d´Allocations Familiales

30-01-2010 à 18:08 - 3 commentaire(s)

Exclusif : Prudence, depuis samedi après-midi, un pirate tente de mettre la main sur les identifiants de connexion à la Caisse d´Allocations Familiales.

Cocoonez high–tech

30-01-2010 à 14:30 - 0 commentaire(s)

Oreillerbaladeur et couverture USB pour rester au chaud tout en étant branché ! A découvrir aussi le 1e réseau en 3D dédié à l´art.

Censure du Net: rassurants amendements en commission

28-01-2010 à 11:54 - 0 commentaire(s)

La Quadrature du Net se rassure de l´adoption à l´unanimité en Commission des Lois d´amendements à la loi LOPPSI déposés par le député Tardy.

Les casseroles made in HADOPI

28-01-2010 à 09:02 - 0 commentaire(s)

Chose promise chose due : mobilisation de l'armée numérique pour le lancement de l'opération Casseroles Day (C-DAY).

Nouveau phishing à l´encontre des clients de la Caisse d´Épargne

28-01-2010 à 08:21 - 0 commentaire(s)

Voilà un pirate qui a de la suite dans les idées. Septième attaques à l´encontre des clients de la Caisse d´Épargne.

L´exploit pour hacker la PS3 diffusé sur Internet

27-01-2010 à 15:37 - 0 commentaire(s)

GeoHot, l´auteur du premier véritable crack de la Playstation 3 de Sony diffuse le code qui permet cet exploit technique.

Jouer gratuitement au poker

26-01-2010 à 16:09 - 0 commentaire(s)

Pour rester informé en permanence des dernières offres de poker en ligne, Pokerlistings est le guide le plus actualisé du web.

Do you speak spammeur ?

26-01-2010 à 15:44 - 0 commentaire(s)

Les spammeurs ciblent désormais leurs destinataires en fonction de leur langue et de leur pays d´origine.

Sur le même thème : Réseau - Sécurité

Moi y a vendre bonne arnaque

Prudence, des annonces eBay vous proposent d´acquérir des ordinateurs portables pour 52 euros... Arnaque comprise!

Chercheurs d’emplois – gare aux offres frauduleuses!

Quand les pirates informatiques créent de fausses offres d’emploi : vigilance!

Les joueurs de NCSoft ciblés par un phishing

Pendant que Google râle sur de pseudos pirates Chinois qui ne semblent être que des employés malintentionnés, l´éditeur de jeux en réseau AION, City of heroes, Lineage, ... s´attaque aux vilains fermiers numériques made in china.

Faille vieille de 17 ans révélée dans Windows

Microsoft confirme la présence d´une faille dans Windows vieille de 17 ans.

Escroquerie téléphonique via Facebook

Exclusif : Un groupe Facebook cache une escroquerie qui promet de téléphoner gratuitement. Prudence, une fausse page de connexion au portail communautaire y est proposée.

Perte de poids, gare aux fausses pubs

Exclusif : J´ai perdu 16 Kg en moins de 2 mois avec deux produits gratuits. Une publicité trouble exploite des sites, Tv connus ainsi que le logo du Ministère de la santé et des sports.

Boulette à la Mairie de Roanne... et de Baisieux

Exclusif : Pour les vœux 2010, la mairie de Roanne s´invite sur le web. Mauvaise idée, le courrier contenait plusieurs centaines de données privées. A Baisieux, c'est le site web qui bave !

Solde sur le web

Exclusif : Prudence, un lien appartenant à la boutique en ligne GrosBill pourrait être exploité par un pirate informatique ou autre hameçonneur.

Vos réactions ( 0 )

Réagissez à ce contenu

Réagir

Vous devez vous identifier pour ajouter un commentaire.

Cliquer ici pour vous inscrire.
 


Derniers communiqués de presse

Censure du Net: rassurants amendements en commission

La Quadrature du Net se rassure de l´adoption à l´unanimité en Commission des Lois d´amendements à la loi LOPPSI déposés par le député Tardy.

Les casseroles made in HADOPI

Chose promise chose due : mobilisation de l'armée numérique pour le lancement de l'opération Casseroles Day (C-DAY).

Jouer gratuitement au poker

Pour rester informé en permanence des dernières offres de poker en ligne, Pokerlistings est le guide le plus actualisé du web.

Do you speak spammeur ?

Les spammeurs ciblent désormais leurs destinataires en fonction de leur langue et de leur pays d´origine.

Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA