Recherchez dans la Communauté

Vous avez une question ?

Interrogez la communauté

internet & fixe protéger mes données et mon accès internet

Demande urgente de mise à jour des firmwares Livebox (Faille wifi KRACK)

Philippe20
contributeur occasionnel
3 011  

Re: Faille de sécurité wi-fi tout juste découverte


@Marc_Espie a écrit :

N'importe quoi.

Les correctifs existent pour pas mal d'OS aujourd'hui... dont linux, sur lequel les box orange sont bases.

"Mise-a-jour du protocole". Le trou de securite est connu depuis 3 mois, il a ete garde secret justement pour permettre aux vendeurs d'ecrire les patchs et de les diffuser au moment de l'annonce.


Et pourquoi les livebox n'auraient-elles pas déjà été mises à jour discrètement ? Le patch n'est peut-être pas documenté pour ne pas révéler l'existence de la faille avant la publication officielle. (je ne crois pas du tout en cette théorie en fait)

Marc_Espie
contributeur occasionnel
3 119  

Re: Faille de sécurité wi-fi tout juste découverte

C'est possible, mais dans ce cas tu publies en meme temps que l'annonce officielle... rien vu.

Pas de reponse ici non plus.

Exemple de vendeur qui a mis-a-jour discretement avant la sortie officielle: OpenBSD. Depuis hier, tous les gens qui ont demande sur des canaux plus ou moins officiels ce qu'il en etait ont recu une reponse dans les deux heures...  et on parle d'un support informel sur un OS non commercial.

Jeje330
contributeur
2 959  

Re: Faille de sécurité wi-fi tout juste découverte

Ils vont sortir le patch rapidement, si ce n'est pas demain. La Livebox utilise Linux, le patch à déjà été pondu si je ne m'abuse. Ils doivent préparer un beau message pour les gens lambdas qui n'en ont pas encore entendu parler à mon avis. 

Han_Sung
contributeur occasionnel
2 898  

Re: Faille de sécurité wi-fi tout juste découverte

Vu que le problème est connu des vendeurs depuis 3 mois et compte-tenu de la taille du groupe Orange en matière de télécommunications, je déplore le fait que cette correction n’est toujours pas été faite car si tel était le cas ils auraient effectivement communiqué sur le sujet lors de la publication de la faille au grand public. Quant on constate que des OS non commerciaux ont déjà réagi et vu le montant de mon abonnement, pour être poli je suis fortement déçu voir très en colère. Ceci n’engage que moi bien évidemment.

Breizhnos
contributeur confirmé
contributeur confirmé
2 805  

Re: Faille sur WPA2 - Roadmap d'Orange pour corriger le problème ?

Bonjour,

quelques approximations dans votre message qu'il me parait important de réctifier : 

 

La faille révélé porte sur le mécanisme de sécurité WPA2, or lorsque vous êtes connecté sur un hotspot, dans la majorité des cas il n'y a juste aucun mécanisme de sécurité, du coup vos avertissements sont pertinents, mais n'ont rien avoir avec ce nouveau trou de sécurité, la connexion à un hotspot a toujours compromis votre vie privée.

 

D'autre part, Orange et Free se targuent d'être à l'abris du problème, et là, leur réaction pose vraiment problème car je ne vois pas comment nous pourrions être à l'abris de cette faille sauf à ce qu'ils aient de leur propre chef décidé de déployer une variante au WPA2 ce qui n'est pas le cas, du moins à mon niveau de connaissance actuel. 

 

La vérité me semble être que nos chers opérateurs préfèrent simuler la politique de l'autruche plutôt que de devoir répondre à un grand nombre d'appel de client inquiets à juste titre.

 

Enfin, ma plus grande crainte concernant cette faille ne concerne pas le risque que notre traffic internet soit intercepté, quoi que, mais surtout, à partir du moment où un hacker saura pénétrer votre réseau wifi, il pourra alors librement parcourir votre réseau, afficher les ressources très souvent non sécurisées, et potentiellement injecter à loisir vers, cheveaux de troie, etc.

 

Et la faille sera mettra très très longtemps à se refermer, qui plus est si des acteurs majeurs comme Orange et Free prennent le parti de nous mentir d'emblé, préférant leur tranquilité à la notre.

Philippe20
contributeur occasionnel
2 840  

Re: Faille de sécurité wi-fi tout juste découverte


@Han_Sung a écrit :

Vu que le problème est connu des vendeurs depuis 3 mois et compte-tenu de la taille du groupe Orange en matière de télécommunications, je déplore le fait que cette correction n’est toujours pas été faite car si tel était le cas ils auraient effectivement communiqué sur le sujet lors de la publication de la faille au grand public. Quant on constate que des OS non commerciaux ont déjà réagi et vu le montant de mon abonnement, pour être poli je suis fortement déçu voir très en colère. Ceci n’engage que moi bien évidemment.


 

On est hélas les otages de techniciens incompétents. Personnellement, je ne suis abonné à Orange que pour une raison : une indéniable qualité de la connexion Internet (fibre optique) par rapport aux autres FAI, en tout cas là où j'habite (témoignage de voisins). Mais certainement pas pour les qualités de routeur de la livebox.

Marc_Espie
contributeur occasionnel
2 835  

Re: Faille de sécurité wi-fi tout juste découverte

@Han_Sung: voila.

L'absence totale de communication officielle sur un problème connu, qui est resté secret plusieurs mois pour que les gens aient le temps de patcher le souci, montre qu'il y a un problème. Aucune des possibilités n'est reluisante pour orange.

- soit ils n'en ont rien a battre. Après tout, le seul département important, c'est le marketing;
- soit ils ne comprennent même pas qu'il y a un problème;
- soit ils n'ont plus aucune expertise interne et ils ont sous-traité aussi leur box sans savoir à quoi s'attendre;

- soit leur processus de réponse sur un tel problème est entièrement cassé.

 

Perso, j'avais l'habitude d'un vrai fournisseur d'accès correct (nerim), mais voilà, pour la fibre, c'est orange ou personne là où j'habite; nerim ne fait que l'adsl.

J'espère bien que ça va être dérégulé par l'ART tôt ou tard cette histoire. Après, avec Macron aux commandes, rien n'est moins sûr.

Philippe20
contributeur occasionnel
2 749  

Re: Faille de sécurité wi-fi tout juste découverte

 

Vu l'incompétence des gens dans les boutiques Orange et au 3900, je penche pour

- soit ils ne comprennent même pas qu'il y a un problème;

mais vu que d'autres constructeurs notamment de téléphones n'ont pas répondu non plus,

- soit ils n'en ont rien a battre. Après tout, le seul département important, c'est le marketing;

est pas mal non plus; après tout, Samnsung ou Sony se disent qu'on achètera un téléphone plus récent.

julien_R
ancien webconseiller
ancien webconseiller
2 730  

Re: Faille de sécurité wi-fi tout juste découverte

Bonjour à tous,


Nos équipes étaient pleinement mobilisées pour investiguer sur la potentielle vulnérabilité décrite sous l’appellation « KRACK ». Orange confirme qu’aucune de ses box n’est concernée par cette dernière.

Orange prend très au sérieux la sécurité des données de ses clients, et la protection de ses terminaux est une priorité permanente pour nous. Au fil des années, Orange a renforcé ses systèmes de sécurité et fait de la cyber sécurité un de ses axes stratégiques prioritaires, incarné en 2015 par la création d’Orange Cyberdéfense.





signature.jpg

3static
contributeur occasionnel
2 696  

Re: Faille sur WPA2 - Roadmap d'Orange pour corriger le problème ?

Bonjour,

 

Très bon point, effectivement c'est le protocole wpa2 qui est touché, donc c'est vrai que bon...à partir du moment ou l'on est sur un hotspot/réseau public bah...déjà sur le réseau mélangé aux autres donc rien ne change (vous avez bien fait de préciser ;-), je vais éditer mon message initial), donc c'est plus dans un contexte de réseau privé que c'est ennuyeux (à la maison ou en entreprise) si je comprends bien.  

 

Par contre je n'avais pas vu la remarque d'Orange où ils indiquent que leurs box ne sont pas touchées, je viens de trouver la référence et je pense que vous faisiez allusion au message suivant (de Julien_R en page 3) ? : 

 

https://goo.gl/xEm5vS

 

Un peu surpris que les box ne soient pas touchées (si c'est le cas tant mieux)- Possible qu'Orange ait eu l'info en avance (comme indiqué dans le fil de discussion ci-dessus) et ait pu appliqué les maj respectives (mais j'ai du mal à voir si c'est au niveau du firmware du matos, où là bah je pense qu'il faut s'en réferrer à cette liste de vendors ici (et donc indépendant d'Orange) , car me semble qu'une partie du chiffrement est géré par l'accesspoint hardware de la box (mais c'est peut être pas la partie incriminée dans le cas de Krack) : 

 

https://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Reference=228519&SearchOrder=4  fournie par https://www.krackattacks.com/ ), ou si c'est au niveau O/S et soft dans la box. 

 

 

Je complète : accesspoints non touchés, que la partie cliente et le handshake, donc possible qu'au niveau routeur, comme dit Orange, il n'y ait rien à faire : 

 

What if there are no security updates for my router?

Our main attack is against the 4-way handshake, and does not exploit access points, but instead targets clients. So it might be that your router does not require security updates.

source : https://www.krackattacks.com/

Vous avez une question ?

Interrogez la communauté

Déjà 752973 membres inscrits 🧡

2466 personnes actuellement en ligne

Tous les membres en ligne