Bonjour à tous,
Je me permets d'intervenir un petit coup puisque, après tout, c'est moi qui ai écrit l'article en question. Cette histoire me troue le cul autant qu'à vous et les conséquences pour Tele2 peuvent être très importantes, j'en suis conscient. Mais je n'aurais pas pris le risque de me griller professionnellement pour le plaisir d'un scoop foireux, je ne suis pas "en manque de copie" à ce point
La seule raison pour laquelle j'ai publié cette dépêche c'est qu'il y a une info: tous les utilisateurs Télé 2 sont visés et la manip à effectuer est à la portée du premier venu. Sans compter que changer de password pour s'en protéger met l'abonné en position de perdre sa garantie, ce qui est encore plus dingue.
Je suis moi-même chez Télé2 et j'ai eu la preuve par A+B que la page d'admin de mon routeur était accessible depuis n'importe quelle IP. Je peux vous dire que j'ai tiré une drôle de gueule quand un pote a fait sonner mon téléphone à distance et qu'il a pu se ballader sur 36 routeurs juste en cliquant des doigts.
J'ai refait la manip devant mes boss au boulot, j'ai recoupé mes sources et demandé une explication à Télé 2. Je me suis bien sûr gardé de filer le password (trouvé ici même) dans mon article, même si je savais que cela ne ferait que retarder sa découverte par le plus grand nombre et augmenter ainsi les risques de couilles... fallait faire un choix.
Un gars du helpdesk de Télé 2 m'a répondu qu'il fallait être un hacker pour y arriver puisqu'il fallait que l'IP depuis laquelle vous accéder au modem soit parmi celles acceptées par Tele 2. Faux: vous en avez maintenant la preuve puisque plusieurs d'entre-vous ont fait le test.
Bref, tout ça pour vous dire que je ne me serais pas permis de balancer ce genre d'info sans avoir fait mon job au préalable. Télé 2 à mon numéro de tel depuis vendredi midi et j'ai annoncé très clairement que j'étais en train d'écrire un article là-dessus. Je ne les ai donc pas piégés, ils savaient à quoi s'en tenir. En fin de journée, aucun manager ne m'avait rappellé pour m'expliquer pq ce truc est possible et ce qu'ils comptaient faire pour faire face à ce problème (qui existe quand même depuis plus d'un mois). Je n'ai évidemment aucune intention de nuire à Tele2 mais c'est mon job de révéler ce genre d'info.
J'ai donc aussi transmis toutes ces infos à la ministre VandenBosche (Protection des consommateurs) et inutile de vous dire que je vais suivre de près l'évolution de ce bidule. Perso, je pense que Tele 2 a vraiment intérêt à passer fissa à une nouvelle version de son firmware, de permettre le changement de password sans perte de garantie et, accessoirement, de booster un coup les connexions de leurs abonnés, si ils veulent rester crédibles en tant que Provider.
PS: je reste anonyme, tout comme la dépêche initiale l'était, par correction vis-à-vis de mon employeur. Mais je suis bien sûr dispo et à l'écoute de vos remarques pour permettre une bonne communication au "grand public" à ce propos. Sans parti pris, juste en ayant en tête que chacun a légalement droit à la confidentialité de ses données.
Tchouss