Un pirate menace Belgacom de révéler 285.000 mots de passe d’utilisateurs ADSL / VDSL si Belgacom ne supprime pas la limite de volume mensuel (quota) !

Ces mots de passe auraient été obtenu par une faille du firmare du modem Belgacom BBox 2 permettant une intrusion à distance dans ce modemCe modem BBox 2 Belgacom (à ne pas confondre avec le BBox de Bouygue Telecom !) est un modem VDSL2 / ADSL2 que Belgacom fourni principalement aux clients prenant aussi un abonnement télé. A ma connaissance, ce modem est fabriqué par Sagem.

J’avais déjà signalé il y a quelques semaines la TRES MAUVAISE configuration du WiFi de ces modems, fournis et souvent installés par des techniciens Belgacom, avec un Wifi en CLAIR (non non, même pas du WEP) qui permettait à tous les voisins de se connecter sur votre WiFi, de pomper et télécharger (vive les risques…), de sniffer votre connexion… et aussi d’épuiser votre quota !

En Belgique en effet, l’ADSL illimité n’existe (pratiquement) pas ! Il y a encore 1 ou 2 ans, l’abonnement ADSL normal chez Belgacom (à 40 € par mois, SANS téléphone et SANS télé) n’autorisait que 10 GB de transfert par mois. Ils sont ensuite passé à 12 GB (wouaww…).

Actuellement, l’abonnement standard  est l’ ADSL Go et « offre » une vitesse de 4 Mbps en download et 400 Kbps en download. Une option speed, pas disponible partout, permet le download à 12 Mbps…
ADSL… ce n’est PAS de l’ADSL 2 … et même si le modem est VDSL2, ça profite uniquement aux flux de la télé digital…

Et tout ça, càd rien que l’ADSL à 4 Mbps (ou 12 Mbps), avec une LIMITE de téléchargement de 25 GB par mois… sans télé ni téléphone, pour € 41,75 !

oui, il y a plein de promos… et on a de forte réduction pendant 3, 4 ou 6 mois… ensuite, c’est le prix plein.

Revenons à cette histoire de piratage :

Ce que le hackeur exige, c’est la SUPPRESSION de ces limites de téléchargement… sinon il révèle les 285.000 mots de passe !

Mouwai… autant, je trouve les abonnements Belgacom lamentables… autant ce chantage n’est pas acceptable, et de plus, il est certain que Belgacom ne cèdera pas !

Ils vont essayer (si ça se vérifie, ce n’est pas encore certain. Seuls les mots de passe d’une vingtaine de clients ont été révélé) de minimiser les choses, mais céder ça m’étonnerait !

Reste la question du « comment » :

• Comment le hackeur rentre-t-il dans les modems BBox 2 ?
• Est-ce une faille firmware ? ou une config débile (une de plus) non sécurisée de Belgacom ?
• Si c’est une faille firmware, c’est le fabriquant Sagem qui en est responsable ? ou est-ce un bricolage, une « adaptation » du firmware faite par Belgacom ?

PC Inpact publie un article avec un exemple du listing envoyé par ce hackeur.

(ps : NON je ne suis pas chez Belgacom ;-) )