Pour diffusion immédiate

Alerte de sécurité aux utilisateurs de SFRBox

Faille de sécurité du réseau public "SFR WiFi Public"

Dimanche 5 février 2012, par Pascal Rullier // Communiqués de presse

Les utilisateurs de SFRBox sont concernés par cette alerte de sécurité.

Montpellier le 5 février 2012.

La fédération France Wireless émet une alerte de sécurité à l’encontre des possesseurs de SFR box.

Il s’avère que le réseau "SFR WiFi Public" activé par défaut sur les boxes SFR permet à un client tiers SFR d’utiliser la connexion internet d’autrui sous l’identité du possesseur de la dite box.

Les tests réalisés montrent que l’adresse IP de la connexion Internet est la même que celle du possesseur de la box quand un utilisateur tiers se connecte sur le réseau "SFR WiFi Public".

Le problème résultant est que le possesseur de la box ne contrôle pas qui se connecte à sa box. De plus, en désactivant cette fonctionnalité sur l’interface d’administration de la box, celle-ci revient à la mise à jour logicielle de cette dernière qui se fait automatiquement.

La Fédération France Wireless recommande aux possesseurs de box SFR la plus grande prudence et de désactiver immédiatement le réseau wifi "SFR WiFi Public" tant que ce problème n’est pas résolu de la part de SFR.

Des services en ligne comme les webmails, accès à son compte client, ou à Internet+, etc... identifient l’utilisateur par l’adresse ip de sa connexion et pourraient permettre à autrui des abus sur le compte du possesseur de la box.

De plus, La Fédération France Wireless demande à l’opérateur SFR :

  • de ne pas réactiver ce réseau par défaut lors d’une mise à jour logicielle.
  • de respecter ses obligations légales en fournissant un moyen de sécurisation de ce réseau à l’abonné pour que ce dernier ne soit pas pris au dépourvu vis à vis de la loi et de ses obligations.

De part sa neutralité, la Fédération France Wireless analysera aussi les autres boxes des FAI actuels fournissant des réseaux wifi ouverts.

Merci à AXXXX de nous avoir remonté le problème.


22/02/2102 :

Frank Esser, PDG de SFR a été interrogé pendant la commission parlementaire , il a répondu "on a prévu de régler la question avec ipv6 en 2014 "