Les Linksys Velop Pro enverraient vos mots de passe Wi-Fi en clair sur le réseau

Les routeurs Linksys Velop Pro sont-ils trop bavards ? L’agence Test-Achats qui est l’équivalent Belge de Que Choisir, les pointe du doigt.

Les Linksys Velop Pro 6E et Linksys Velop Pro 7 enverraient le détail de vos connexions Wi-Fi en clair sur le net vers les US. C’est la découverte de l’agence Belge qui détaille la problématique sur son site.

Alors que l’association à but non lucratif faisait des tests et vérifications classiques, elle s’est aperçue que de nombreuses informations circulaient depuis les routeurs Linksys Velop Pro vers un serveur AWS situé aux US. Ces éléments contenaient les SSID des réseaux Wi-Fi générés mais également les mots de passe de ces connexions. Le tout était transmis en clair, sans aucun chiffrement. 

Problème, ce genre de circulation de données peut offrir une brèche sévère dans votre réseau. Si un groupe de malfaiteurs prend note de cette fuite de données, il peut tenter d’intercepter le flux et de cibler des entreprises, par exemple. Il ne faut pas longtemps à quelqu’un d’expérimenté pour infecter un réseau via une entrée Wi-Fi pour installer un ransomware ou voler des données importantes. Evidemment pour un particulier, le jeu n’en vaut pas forcément la chandelle mais si il s’agit de viser des entreprises, l’idée d’un visiteur mal intentionné qui pénètre dans les locaux à l’occasion d’une fausse visite commerciale avec un simple smartphone peut tout à fait s’envisager.

Second problème, Linksys a été prévenu de la faille en novembre 2023 par Test-Achats et n’a absolument pas réagi. Un nouveau firmware a été proposé pour les Linksys Velop Pro mais sans aucune correction de la faille. Pour contrer le souci, le laboratoire de test a trouvé une parade. Ne pas utiliser l’application fournie par la marque. En modifiant son SSID et son mot de passe via un navigateur Web directement sur le routeur, rien n’est transmis en ligne. En passant par l’application, tout circule. Cela sous entend peut être que la vulnérabilité est liée à un protocole utilisé par le développeur de l’application et que Linksys aurait moins de pouvoir dessus.

La conclusion est claire, pour le moment Test-Achat invite à ne pas acheter de Linksys Velop Pro puisque même le dernier modèle en date, le 7 Pro, est toujours livré avec cette faille aujourd’hui. Et depuis novembre 2023, cela fait donc huit bons mois que cela dure.

Sources : Test-Achats via Stackdiary

Merci à Biou pour l’info


Soutenez Minimachines avec un don mensuel : C'est la solution la plus souple et la plus intéressante pour moi. Vous pouvez participer via un abonnement mensuel en cliquant sur un lien ci dessous.
2,5€ par mois 5€ par mois 10€ par mois Le montant de votre choix

Gérez votre abonnement

12 commentaires sur ce sujet.
  • 10 juillet 2024 - 11 h 49 min

    Je propose une modification : Au lieu de « fausse visite », juste s’approcher des fenêtres de l’entreprise, ce qui allonge le temps et la discrétion de la brèche de sécurité. Le Wifi transpire au delà des murs, c’est bien là qu’est le problème.
    Et chiffrement au lieu de chiffrage :)

    Répondre
  • 10 juillet 2024 - 12 h 39 min

    @Rimin: Je sais pas ce qui est le plus délicat dans un grand groupe, venir se positionner dans le parking ou à côté d’un bâtiment en extérieur ou proposer une candidature ou un produit commercial et patienter sur son smartphone pendant une heure dans la salle d’attente ? Vraie question.

    Répondre
  • 10 juillet 2024 - 13 h 28 min

    Je ne comprends pas trop pourquoi on parle de « faille » ou de « vulnérabilité » : l’envoi de données vers un serveur, c’est plutôt du vol de données sans le consentement de l’utilisateur, non ?

    Répondre
  • 10 juillet 2024 - 15 h 32 min

    @mahikeulbody:
    Si tu prends les smartphones; ils envoient aussi les comptes et mdp sur les serveurs (Apple ou Google suivant affinités perso) pour pouvoir profiter de la fonction « réinstallation sur un nouveau tel sns reconfigurer les points wifi ». Mais ils sont chiffrés avant transmission des données.
    Donc là j’imagine que c’est pour offrir cette fonctionnalité de réinstallation sans avoir la conf des SSID à faire que l’oubli de chiffrement s’est fait.

    Répondre
  • 10 juillet 2024 - 17 h 49 min

    je ne comprend pas le raisonnement de test-achat (et je ne suis pas bilingue).
    le routeur a vraiment besoin de cette application « bavarde » pour fonctionner ?
    apparemment non puisqu’il est toujours configurable par HTTP (comme tout les routeurs du monde).
    donc pourquoi ne pas juste déconseiller l’utilisation de cet assistant bavard et passer simplement par http ?

    Répondre
  • 10 juillet 2024 - 18 h 26 min

    @riccardo: Ben c’est exactement ce qu’ils font…

    « Pour contrer le souci, le laboratoire de test a trouvé une parade. Ne pas utiliser l’application fournie par la marque. En modifiant son SSID et son mot de passe via un navigateur Web directement sur le routeur, rien n’est transmis en ligne. »

    Le problème ce n’est pas le site de consomateurs, c’est que Linksys aurait du réagir depuis novembre et proposer un correctif. L’utilisateur Français, Italien, Américain ou Malgache qui achète le routeur il n’a aucune info sur le transfert en clair. Les Belges l’ont si ils sont abonnés au site Test-Achats. C’est donc bien au constructeur de corriger la faille en mettant à jour leur application et en prévenant de la fuite avec l’information d’un passage vers le web. Histoire que les gens change leur SSID et leur mot de passe précédent.

    Si demain tu achètes une caméra de surveillance fabriquée au japon, et tu ne sais pas que si tu la configures depuis leur application, la totalité du flux sera disponible en clair pour n’importe qui. Ca te fera une belle jambe qu’un site de test Indien explique que la solution c’est de passer par un navigateur. Tu ne seras jamais au courant que l’application est problématique.

    Si pour toi l’usage d’un navigateur est logique, pour plein de monde, le recours à une application est juste la « meilleure méthode ». C’est censé être plus didactique.

    Test-achats fait ce qu’il peut mais c’est vraiment au fabricant de corriger ce problème.

    Répondre
  • lym
    10 juillet 2024 - 18 h 44 min

    @Pierre Lecourt:

    Il y a une quinzaine d’années, quand les données mobiles étaient cher, j’utilisais en déplacement/vacances une interface wifi sur USB Ubiquity qui crachait 1W en TX (au lieu des 100mW autorisés chez nous) et avec une bonne sensibilité en RX (pour un bilan radio équilibré).

    Même avec l’omni livrée (une antenne panneau directive aurait fait mieux, mais avec un alignement soigné à faire), j’accrochais le wifi gratuit d’un bar (ssid=nom du troquet) en bas de station de ski du la loc en haut, juste en accrochant l’interface aux rideaux de la baie vitrée via une bonne rallonge USB: Pas loin d’1km à vol d’oiseau pas en vue directe (facade opposée).

    Donc avec le bon équipement, pas besoin d’être bien proche! Probable qu’avec une meilleur antenne je doublais la distance.

    Je déteste les trucs qui se configurent par dumb-phone pour ma part… et s’il n’y a que cette possibilité, je n’achète pas!

    Répondre
  • 10 juillet 2024 - 19 h 12 min

    si c’est dans une démarche de lanceur d’alerte pour plomber les ventes et faire réagir le constructeur: j’approuve.

    mais pendant un instant, le « Test-Achat invite à ne pas acheter de Linksys Velop » dont le défaut peut être corrigé par l’explication qu’ils ont eux même donné, m’a fait rire. un simple « Test-Achat invite à ne pas configurer par l’app Linksys » aurait suffit.

    un peu comme si:

    « le nouveau redmi 42 est un spyware.
    mais lineageOS marche nickel dessus.
    donc n’achetez pas » ;)

    si je suis un lecteur de testachat et connaissant ce problème, le produit est finalement pas si mal, alors je ne tiendrais pas compte de leur déconseille.

    et si je ne suis pas lecteur… bin j’aurais pas sue qu’il y avait un problème+solution mais j’aurais pas sue non plus que c’était un produit déconseillé

    c’est un peu comme les post sensationnaliste sur twitter des mec qui découvrent l’eau chaude en voyant que chrome envoie des stats a Google.
    https://x.com/lcasdev/status/1810696257137959018

    …sans savoir que firefox fait la meme avec mozilla.

    Répondre
  • 10 juillet 2024 - 19 h 41 min

    @riccardo: Je vois ce que tu veux dire mais encore une fois, les produits sont vendus « clé en main » et pas « à reconfigurer ».

    Que ce soit l’un ou l’autre, le passage par le Web ou Lineage, c’est pas vraiment une démarche grand public. C’est le soucis ici. Maintenant que ça s’ébruite, ça va se régler rapidement je suppose. En attendant Linksys pourrait faire une app qui bascule vers le navigateur du smartphone…

    Répondre
  • 11 juillet 2024 - 12 h 37 min

    À l’Euro, les Espagnols ont capté les signaux du Linksys du vestiaire des Bleus. Putain le seum !

    Répondre
  • 11 juillet 2024 - 12 h 40 min

    Mdp : jmelapète. Normal, il manque des chiffres et des caractères spéciaux 😜

    Répondre
  • 11 juillet 2024 - 18 h 12 min

    @lym: Sans oublier les antennes omni à gain élevé (comme celles qui étaient utilisées dans des villages, dans le clocher, pour connecter en WiFi les oubliés de l’ADSL, via des FAI alternatifs)

    Répondre
  • LAISSER UN COMMENTAIRE

    *

    *