Selon un chercheur en sécurité, Huawei n'a pas l'intention de corriger les failles identifiées dans sept modèles de routeurs WiMax dont le support n’est plus assuré par l’équipementier. Or ces routeurs sont toujours utilisés dans plusieurs pays. Pierre Kim a publié la liste des modèles concernés, toujours en service dans des pays comme la Côte-d'Ivoire, l'Iran, l'Irak, la Libye, les Philippines, le Bahreïn et l'Ukraine. Le 28 octobre, le chercheur a contacté Huawei pour notifier le problème. Mais ce dernier lui a répondu que les routeurs n’étaient plus supportés par Huaweï et qu’il ne livrerait pas de correctif pour ces matériels.
Dans la liste des routeurs, on trouve le EchoLife BM626 WiMAX CPE et les déclinaisons de ce modèle qui exécutent le même firmware, dont le BM626e, BM635, BM632, BM631a, BM632w et le BM652. Si les firmwares ne sont pas mis à jour, les failles identifiées par le chercheur exposent les utilisateurs encore équipés de ces matériels de manière permanente. D’autant que, en général, les routeurs sont conservés par leurs propriétaires tant qu’ils ne tombent pas en panne, et ils sont rarement remplacés à cause d’un problème de sécurité.
Un risque de piratage bien réel
Pierre Kim a testé la dernière version disponible du firmware, livrée en 2013. Il a constaté plusieurs problèmes, notamment la divulgation d’information non authentifiée, le risque de piratage par le biais d’un cookie ou encore la falsification de requête intersite (Cross-Site Request Forgery). Le chercheur a déclaré par courriel qu'il était difficile d'estimer le nombre de routeurs vulnérables encore en usage. Par ailleurs, ces routeurs étant fournis et configurés par un opérateur de téléphonie, l’utilisateur ne dispose d’aucune solution pour se protéger.
« La seule alternative est de supprimer les modèles de routeurs qui ne sont plus pris en charge par Huaweï », a-t-il conseillé. Les responsables de Huawei n’ont pas pu être joints pour commentaire. Le mois dernier, Pierre Kim avait trouvé de graves vulnérabilités logicielles dans plus d'une douzaine de routeurs 3G d’Huawei qui ne sont également plus pris en charge par le constructeur.
Commentaire