Sécurité

Une faille de sécurité chez UPC Cablecom

Un hacker a rendu public une faille de sécurité dans les boîtiers de télévision

Les clients d’UPC Cablecom ont tout intérêt à modifier le mot de passe de leur boîtier. Mardi, Iván Almuiña, qui a fondé sa société de sécurité informatique à Carouge, a décidé de communiquer sur une faille de sécurité. Elle concerne les appareils vendus sous le nom de Horizon HD et qui servent de récepteur TV, modem et téléphone. Un pirate peut deviner le mot de passe en se basant sur le nom de réseau Wi-Fi.

Responsable de la société Hacking Corporation Sàrl, Iván Almuiña explique: «J’avais décelé cette faille en mai 2015 et en avais immédiatement parlé aux responsables des Horizon HD chez Liberty Global, maison mère d’UPC Cablecom. Il a été difficile d’entrer en contact avec eux, ils se sont montrés évasifs et n’ont apparemment pas bien communiqué avec leurs clients». Mais pourquoi rendre désormais cette faille publique, avec le risque d’encourager des pirates à en profiter? «Aucun détail permettant de mettre en œuvre l’attaque n’a été publié. Nous avons publié une dépêche censurée afin d’alerter l’opinion publique concernant ces failles qui font légion aujourd’hui et pour inciter UPC Cablecom à réagir. C’est ce qui se fait normalement, les hackers donnent trois mois aux sociétés pour prendre des mesures», répond l’expert en sécurité.

Iván Almuiña incite les clients d’UPC Cablecom à modifier le mot de passe par défaut. Les cibles potentielles sont facilement reconnaissables grâce au format spécifique des noms de réseau WiFi qui est «UPC24» ou «UPC50» suivi de 7 chiffres, poursuit le spécialiste. En janvier de cette année, le câblo-opérateur avait déjà incité ses clients à modifier leur mot de passe. «Mais cela concernait alors les modems, pas les Set-Top Box multiusages», affirme Iván Almuiña. Celui-ci affirme que d’autres fournisseurs d’accès à Internet suisses sont concernés par un problème similaire: «Nous travaillons actuellement en étroite collaboration avec différents acteurs afin qu’ils corrigent les failles».

UPC Cablecom se défend

Contacté, UPC Cablecom expliquait mardi: «Aucun cas d’abus ne nous a été communiqué. Toutefois, nous avons communiqué à nos clients Internet de manière proactive de bien vouloir remplacer le mot de passe par défaut par un mot de passe personnel», selon un porte-parole. Et de rajouter: «Nos conseillers clients attirent régulièrement l’attention de nos clients que ce soit par téléphone (Helpdesk), par écrit ou dans les boutiques, sur l’importance de changer le mot de passe ou d’utiliser un mot de passe personnel».

Des clients de Swisscom concernés

Contacté, Swisscom affirme via un porte-parole que «Cette faille décrite par la société Hacking Corp ne concerne pas les routeurs WLAN de Swisscom. Nos clients utilisant ces appareils sont donc en parfaite sécurité.». Mais l'opérateur ajoute que «Des recherches actuellement menées à l’interne ont toutefois révélé que le problème touche un appareil supplémentaire vendu par Swisscom. Il s’agit d’un amplificateur WLAN de la société Asus. Nous n’en avons cependant vendus que 13 000. Nous connaissons l’adresse de 4500 utilisateurs. Les autres appareils ont été vendus directement au comptoir. Nous travaillons actuellement avec Asus afin de réparer ce bug. Asus va envoyer sous peu un update à tous les appareils qui sont sur le réseau. De plus, les utilisateurs sont priés de changer le mot de passe.»

Publicité