[internet] La box de Pandore

Quelle confiance avez-vous en la boîte qui vous relie en ce moment à Internet ? Bof, hein ? Les études sur la sécurité des {Alice,AOL,Darty,Free,Live,Neuf,SFR}box (c'est bon, je crois que je n'ai oublié personne :) ne sont pas légion. Est-ce un sujet tabou en France ? A ma connaissance, la seule vraie étude publiée à ce jour sur ce sujet est celle de Nicolas Ruff intitulée Sécurité de l'ADSL en France, présentée au SSTIC 2006. Dès la première page de l'acte, le ton est donné : "compte tenu de la sensibilité (commerciale et légale) du sujet, ces travaux n'ont pas pu être présentés au SSTIC 2005". Traduction : les opérateurs ne sont pas du tout joueurs sur ce sujet et le risque de poursuites judiciaires est bien réel.

Cela n'empêche pourtant pas de trouver sur la toile des sites donnant des détails sur les faiblesses de telle ou telle box. Des failles de type XSS et CSRF dans l'interface web d'administration qui ne nécessite aucun mot de passe ou l'exécution de Busybox avec un trombone sont parmi les pages les plus connues.

Pour ma part, j'ai eu l'occasion de passer 5 minutes sur l'une de ces boxes et c'est vrai que le résultat n'est pas brillant. Entre des ports ouverts sans raison apparente, des ports fermés et non filtrés en interne, un serveur web vulnérable, l'identifiant admin/admin (il parait que c'est normal sur les boxes et que je ne dois pas m'inquiéter) et l'absence de filtrage (ou alors un simple filtrage JavaScript) et donc des XSS permanents sur les entrées de l'interface d'administration, j'ai du mal à comprendre qu'on en soit encore là en 2007 :

Au moins, les boxes françaises ne sont pas les seules à être vulnérables.... On se réconforte comme on peut.