Une faille détectée dans le WPS des Neufbox 4 à 6V (DSL/FTTH)

Benoit Salles

Par Benoit Salles

Mis à jour le
min de lecture

Une faille a été découverte dans le WPS des Neufbox 4, 5, 6 et 6V, utilisé par les abonnés SFR en DSL ou en FTTH. Cette faille donne accès à la clé de sécurité WiFi, qui sert aussi de code à l'interface de configuration. La désactivation du WPS est recommandée.

Le protocole WPS (WiFi Protected Setup) permet de se connecter facilement sur les réseaux WiFi sans avoir à entrer la clé de sécurité (WEP, WPA ou WPA 2). Ce dernier envoie au système d'exploitation (OS) les informations nécessaires dont la clé. Pour l'activer, un bouton est nécessaire à appuyer.

Hélas, des utilisateurs d'un forum spécialisé dans la découverte de failles WiFi en ont découvert une dans le WPS de certains appareils. La faille permet d'utiliser le WPS sans appuyer sur le bouton du modem-routeur en envoyant certains messages sur le réseau WiFi de l'appareil. Le modem-routeur envoie alors le nom du réseau WiFi et la clé de sécurité liée à ajouter aux paramètres de WiFi favoris pour les OS.

La faille fonctionne sur plusieurs modèles de modems-routeurs, notamment chez DLink ou Netgear, mais également sur la Neufbox DSL/FTTH. Les modèles Neufbox 4, Neufbox 5 Fibre, Neufbox 6 et Neufbox 6V (La Box VDSL) sont concernés par la faille WPS. Les Neufbox concernées représentent une part importante des abonnés SFR. Si la Neufbox 4 et la Neufbox 5 Fibre ne sont plus mises à disposition, la Neufbox 6 ou 6V est fournie avec les offres La Box et La Box Starter. La Box Plus (Neufbox v7) ne semble pas concernée.

Les clés de sécurité permettent d'accéder autant au réseau WiFi privé des abonnés SFR mais également à l'interface de configuration de la Box. En effet, le mot de passe par défaut du compte 'admin' des Neufbox utilise la clé de sécurité.

SFR a été informé du problème et travaille sur une résolution. Mais il faudra attendre un moment avant qu'une mise à jour soit développée et transmise aux Neufbox touchées. Il est recommandé de désactiver le WPS des Neufbox concernées. Il faut se rendre dans l'interface de la Neufbox, puis choisir l'onglet WiFi, choisir l'onglet Sécurité et cliquer sur OFF pour l'activation, si le WPS ne l'est pas déjà. Ensuite, il est recommandé de changer le mot de passe du compte administrateur et/ou de changer la clé de sécurité WiFi.