Des BBox ouvertes sur Internet
Bouygues Telecom corrige un bug dans certaines de ses BBox : l'interface de configuration était accessible depuis Internet. Un patch a été déployé en attendant une mise à jour du firmware.
Alerté par nos confrères de NextINpact, Bouygues Telecom a déployé un patch pour les BBox. En effet, certaines BBox affichaient l'interface de connexion depuis l'adresse IP de la connexion de l'abonné.
Ainsi, il suffisait de taper l'adresse IP d'un client Bouygues Telecom pour accéder à l'interface de configuration. Si la configuration avancée de la BBox nécessite l'identifiant et le mot de passe (par défaut : admin/admin), les visiteurs de l'interface de configuration pouvaient voir les informations de bases (numéro de téléphone du fixe, clé de cryptage WiFi de la BBox et adresses IP locales des ordinateurs et machines connectées) et activer/désactiver le WiFi. Les BBox concernées n'avaient pas lancé l'accès à distance et le pare-feu était configuré avec les paramètres Standard (celui par défaut).
Bouygues Telecom a testé l'ensemble de son parc de BBox et a détecté la faille dans une centaine de boitiers multiservices. L'opérateur a déployé un patch sur les BBox incriminées et va lancer une mise à jour du firmware pour l'ensemble des BBox.