De mars à mai 2017, les clients SFR ont été exposés à plusieurs vulnérabilités critiques, soit via leur box domestique, soit directement sur le cœur de réseau de l’opérateur.
C’est Le Point qui révèle cette histoire, embarrassante pour l’opérateur au carré rouge. Pendant plusieurs mois, deux vulnérabilités bien distinctes ont mis à mal la sécurité des abonnés SFR et de leurs données. Signalés mi-mai, les problèmes ont été entièrement corrigés, précise SFR, qui n’avait toutefois pas communiqué sur les incidents auprès de ses clients.
Des vecteurs d’attaque multiples
La première faille concernait l’accès à l’interface de configuration interne des box. En passant par un abonnement SFR câble, il était possible, à l’aide de la bonne adresse IP, d’accéder à distance à l’interface de n’importe quelle autre box SFR câble (soit un parc vulnérable de plus d’un million d’utilisateurs). En utilisant les identifiants « admin » par défaut ou en utilisant un script « brute force », il était possible en quelques minutes d’avoir accès à l’ensemble de la configuration interne d’un abonné ciblé.
Les usages malveillants étaient nombreux : il était ainsi possible de rendre les services inopérants, de changer le mot de passe du réseau Wi-Fi, ou même changer les serveurs DNS afin de rediriger l’abonné vers des pages potentiellement falsifiées — et ainsi détourner des identifiants, voire des données bancaires.
Plus béante encore, l’autre faille concernait directement les serveurs sur le cœur de réseau de SFR. Les exemples cités par le journal sont là encore multiples : accéder à la messagerie vocale de n’importe quel abonné, ou même prendre le contrôle du serveur de mise à jour des box afin d’y déployer un firmware contaminé, et potentiellement infecter plusieurs millions de box d’un coup…
Source : Le Point