SFR, un million de box exposées à une faille de sécurité majeure ?

Sécurité

Par Elodie le

Deux failles successives permettaient à des hackers d’accéder aux serveurs de l’opérateur ainsi qu’aux box des années SFR. Un million d’entre elles auraient été exposées. Le groupe tente néanmoins de rassurer en précisant que les failles ont depuis été corrigées.

En août dernier, SFR et Orange sécurisaient leur box en catastrophe. En effet, un membre du forum crack-wifi.com découvre et diffuse quelques jours plus tôt une faille de sécurité WPS (WiFi) permettant de cracker facilement les mots de passe WiFi de ces box.

Dans un premier temps, les opérateurs se veulent rassurants, SFR explique que seules les Neufbox v4 et v6 sont concernées, sur « un peu plus de 400 clients », rapporte alors NextInpact. L’opérateur précise même changer le matériel de certains clients, plutôt qu’y opérer une mise à jour.

Un million de box en proie aux hackers

Aujourd’hui, Le Point affirme qu’« entre mars et mai 2017, un million d’abonnés de SFR (Altice) ont été exposés à des menaces importantes, parce que les serveurs et les box de l’opérateur étaient mal sécurisés. »

Deux failles sont mises en cause : celle touchant le standard WPS et une autre « encore plus grave » permettant d’accéder aux serveurs stockant les données les plus sensibles, c’est-à-dire « au cœur du réseau SFR ».

Le Point illustre son propos en expliquant qu’un hacker pourrait très bien « entrer dans les serveurs contrôlant les mises à jour des box, et créer un réseau d’un million de modems contaminés, pour lancer des cyberattaques géantes ».

Les clients non informés

Si l’opérateur reconnait l’existence de ces failles, il assure néanmoins avoir apporté les correctifs nécessaires. Une initiative qui semble l’avoir soustrait à son devoir d’information puisque les clients SFR n’ont pas été prévenus d’une telle brèche de sécurité.

« La totalité du parc est protégée depuis. » Le service de presse de SFR

La fusion entre Numericable et SFR serait la cause d’un tel défaut de sécurisation, le regroupement des équipements entre les deux groupes se serait fait à la va-vite. Pas de quoi rassurer les clients de SFR sur la protection de leurs données.