THJ20/Speedtouch : fournisseur de backdoors depuis 1999

Un article de HackaWiki.

Un jour, dans le but de légèrement modifier la configuration de mon modem ADSL, j'ouvre une session telnet. Et là, surprise, impossibilité de me logger. J'essaie plusieurs fois le mot de passe que je pensais être le bon, puis dans le doute, j'essaie un peu tous ceux que j'ai l'habitude d'utiliser, quelques variantes, mais pas moyen ... J'étais loin de soupçonner ce qui allait suivre ...

Sommaire 1 Le cadre 2 La prise de conscience 3 Mais à quoi ça peut servir ? 4 Et le problème pour moi ? 5 Epilogue

Le cadre

Mon modem était un speedtouch home ethernet. Il a eu son époque de gloire aux débuts de l'ADSL en France, FT le distribuait à tour de bras à ses nouveaux abonnés, et à cette époque pas si lointaine, tout le monde (en tout cas tous les geeks) le voulait car il était facilement modifiable en speedtouch pro (par flashage du firmware), ce qui permettait de lui rajouter le NAT et donc de partager sa connexion. Il est certainement encore très répandu de nos jours.

Pour le flasher, une 'faille' du modem était utilisée, qui permettait de se logger en "expert" - sorte de mode usine -. On faisait un telnet sur le modem, login "expert" et le mot de passe était calculé par un algorithme secret largement disponible sur le net prenant en entrée le numéro de série du modem (affiché à l'accueil du serveur telnet). Une fois loggé, on avait accès à toutes les commandes d'administration.

La prise de conscience

Mais revenons à nos moutons. Je suis donc en train d'essayer de me logger, je suis pourtant sûr de mon mot de passe, j'essaie, je réessaye, je tourne ça dans tous les sens, mais rien. Ma mémoire me joue des tours, j'ai dû le changer sans m'en souvenir. Bon, puisque le modem me résiste, je décide de passer aux grands moyens, je ressors mes vieux bookmark, et utilise la backdoor pour me logger en mode usine. Heureusement, ça fonctionne. Et évidement, la première chose que je fais c'est de regarder dans les fichiers de config quel est le mot de passe tant recherché (stocké en clair !). Et là, surprise, c'est "metallica" !!!!!

D'un coup, je comprends tout, je ne suis pas fou, le mot de passe a tout simplement été changé par quelqu'un d'autre. Et puis ça me revient, je n'y avais pas vraiment prêté attention, mais de temps en temps, le modem me refusait la connexion telnet sous prétexte qu'une session était déjà ouverte. J'avais mis ça sur le compte d'un bug, mais j'aurais dû être plus attentif, plus méfiant. J'ai un doute, je veux en avoir le coeur net, j'essaie une connexion telnet sur mon modem depuis l'extérieur et mes craintes se confirment. Ca marche ! Cela voulait dire que n'importe qui n'importe où sur le net pouvait se logger sur mon modem en mode usine, et cela depuis des mois ...

Mais à quoi ça peut servir ?

Bon évidemment, en soi cela semble assez anodin, mais ça ne l'est pas tant que ça, et peu de temps après je le comprends bien. En effet, le hasard faisant bien les choses, avant même d'avoir eu le temps de remédier au problème, je suis témoin d'une utilisation de cette faille. Durant un laps de temps assez bref, je vois apparaître dans ma table de NAT des entrées statiques qui n'ont rien à y faire. Puis, à peine quelques minutes plus tard, elles disparaissent comme elles sont venues. En creusant un peu, je comprends que mon modem vient d'être utilisé pour relayer une connexion tcp venant d'une machine polonaise (port 65432) vers une machine italienne (port 666 !). Tout de suite, j'imagine le hacker derrière sa machine, et sa technique d'anonymisation est géniale. Un petit script qui ajoute des règles de NAT sur un modem grand public dans un pays étranger, juste le temps d'une connexion, et il dispose d'un relais, complètement anonyme, sans logs, et extrêmement difficile à détecter pour le possesseur du modem. Un bien meilleur plan qu'un proxy sur une machine compromise à mon avis.

Et le problème pour moi ?

Je me rends compte avec effroi que cela fait des mois que mon modem est utilisable par n'importe qui comme intermédiaire pour une attaque. Et du point de vue de la machine attaquée, le trafic malicieux viens de chez moi ! Combien de machines m'ont dans leurs logs ? Combien d'exactions commises en mon nom ? En cas de procès, comment me défendre alors que la sécurité informatique est un de mes dadas ? Nombre de questions auxquelles je n'aurais jamais de réponse. La police n'a jamais frappé à ma porte, je suppose donc que les infractions faites avec mon IP étaient soit anodines, soit bien faites. Je fus tenté un moment de monter une sorte de honeypot pour voir un peu ce que les 'hackers' faisaient dans mon dos, mais je n'ai malheureusement jamais trouvé le temps. Dommage, cela m'aurais certainement beaucoup appris.

Epilogue

La faille fût très simplement adressée en ajoutant une règle dans ma table de NAT redirigeant toutes les connections telnet venant de l'extérieur vers une ip non utilisée. Et au final, je me suis surpris à 'remercier' le hacker un peu moins malin que les autres qui a changé mon mot de passe, sans doute 'pour le fun', sans lui je ne me serais probablement jamais rendu compte de rien.

A lire avec l'article THMag 04/Boxes...