Piratage de box Orange ?

Posted On 17 Juil 2014

Il y a quelques semaines, plusieurs milliers de box Orange semblent avoir eu des probèmes de sécurité informatique.

Selon les informations de la rédaction de ZATAZ.COM, une attaque sournoise et totalement transparente pour les utilisateurs clients auraient eu lieu voilà quelques jours. D’après nos informations, non validées par le service communication de l’opérateur, au moins 17.000 LiveBox Orange (Version 2) auraient été impactées par une faille DNS. Tous les flux vers des sites marchands, vers des banques… ont été redirigés vers un proxy pirate (62.210.142.229).

Mission de l’espion, modifier le DNS Orange par sa propre adresse. Bilan, le malveillant pouvait lire toutes les informations qui transitaient entre l’Internaute et le oueb. Une attaque de l’homme du milieu [man-in-the-middle] via les LiveBox. La seule alerte qui a pu inquiéter les utilisateurs, au moment des faits, et encore fallait-il la comprendre, une fenêtre indiquant un problème de certificat lors d’un achat en ligne apparaissait à l’écran. Plusieurs internautes se sont inquiétés de la chose ici et là. Orange n’a pas communiqué sur le sujet mais a corrigé le firmware de sa box qui dorénavant bloque la mise à jour des DNS à, partir de ses boites. Le certificat compromis avait été émis par la société PortSwigger CA.

Pendant ce temps

Le 11 juillet dernier, Microsoft a publié une mise à jour urgente pour presque toutes les versions de Windows, ainsi que pour ces appareils fonctionnant sous Windows Phone 8 et 8.1. Une mise à jour de sécurité qui a eu pour mission de protéger ses utilisateurs de toutes attaques via des certificats SSL malveillants. Ce correctif est diffusé une semaine après que Google a repéré et bloqué des certificats numériques non autorisées pour un certain nombre de ses domaines. Les faux certificats ont été émis par le National Informatics Centre [NIC – Indian Controller of Certifying Authorities], service appartenant au ministére de la communication et des nouvelles technologies indiens.

Des certificats SSL pirates qui peuvent être utilisées pour usurper du contenu, effectuer des attaques de type phishing, ou effectuer des attaques man-in-the-middle. La mise à jour automatique des certificats révoqués est inclus dans les éditions de Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 et Windows Server 2012 R2, et pour les appareils fonctionnant sous Windows Phone 8 ou Windows Phone 8.1. Pour ces systèmes ou dispositifs d’exploitation, les clients n’ont pas besoin de prendre des mesures parce que le CTL sera mise à jour automatiquement.

Pour les clients exécutant Windows Server 2003, pas de mise à jour pour le moment.

Mise à jour : Orange a confirmé à 01net le piratage des box en précisant « Il n’y a pas eu de siphonnage de données bancaires des clients Orange. Mais une tentative de récupération des codes d’accès des box des internautes, par le biais d’un virus sur un site de jeu en ligne. Seuls les clients qui se sont connectés à ce site ont pu être éventuellement victimes. L’accès au site a été bloqué depuis. »

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Sécuriser ses applications iPhone

8 Comments

geronimo 17/07/2014 at 18:07 Reply

bonsoir,
je viens de contacter orange,et il me disent que de leur coté il n’y a pas eu de piratage de leur box!!!!
d’apres le service le seul piratage possible est celui des boites mail!!!!
je doute de leurs reponse.
encore merçi de nous informer regulierement.
bonne soiree
- geronimo 20/07/2014 at 11:27 Reply
  
  bojour,
  avez-vous plus de renseignements concernant « le piratage de box orange »?
  sur le net il y en a tres peu.
  merçi et bon week end.
fabbb 17/07/2014 at 18:46 Reply

Cela explique pourquoi en relevant mes emails sous Sylpheed (client linux) pour le compte Google j’avais une alerte de certificat modifié. Damned 🙁
Je me suis fait b…
fabbb 17/07/2014 at 18:48 Reply

J’ajoute que le firmware de ma livebox v2 sagem a changé cette nuit, il ressemble comme deux goutes d’eau à un firmware de livebox ZTE.
Nico 18/07/2014 at 17:50 Reply

Je confirme : Nous sommes plusieurs à avoir rencontré le problème avec notre livebox, plus de détails ici :

http://fr.openclassrooms.com/forum/sujet/dns-orange-certificat-non-approuve-banque-lcl-1?page=1#message-86584947
AdminAdminYouFools 21/07/2014 at 08:36 Reply

Il semblerait grandement que ce soit du à l’éxécution d’un script se connectant à l’interface admin de la livebox, surtout au combo admin/admin de connection qui n’est jamais changé vu que :
50% des user ne connaissent même pas cette interface,
40% ne changeront pas le mot de passe par flemme,
et dans les 10% restant certains le feront peut-être par parano, les autres penseront que ‘osef c’est pas accessible de l’extérieur’.

Bref, encore une fois la preuve par l’exemple :
CHANGEZ LES MOTS DE PASSES PAR DEFAUT DE TOUT CE QUI VOUS EST FOURNIT.
hhh 26/07/2014 at 07:21 Reply

Le certificat compromis avait été émis par la société « PortSwigger CA ».

Tiens on dirait que les pirates ont utilisé le proxy de burp pour commettre leur piratage. C’est cet outil qui créé par défaut des certificats signés « PortSwigger CA »
Pingback: ZATAZ Magazine » Dans les secrets d’un faux site de la CAF