Au mois de novembre, sur un forum d’anciens de la communauté jeuxvideo.com, un utilisateur a posté une série de liens menant vers des fichiers de firmware de Livebox. Ces différents liens mènent à des archives contenant le firmware de plusieurs modèles de Livebox. Les firmwares proposés ne sont pas les dernières versions disponibles : on retrouve ainsi la version SG40_sip-fr-2.2.3.1 pour la Livebox 4, le firmware SG91150328 de la Livebox 3 Pro, le firmware V6.23.20 de la Livebox 3, le firmware LBV2_610128 de la Livebox 2 Pro et les firmwares OpenRG FAST3XXX_6814BC, Sagem V5.2.20 et ZTE V5.2.20 pour la Livebox 2.
Sur la page hébergeant les liens, un message des auteurs vise à défendre le droit à la rétro ingénierie, souvent interdite par les conditions générales d’utilisation des appareils, mais autorisée par la loi. « De nombreux éditeurs de logiciels propriétaires incluent dans leur CLUF des clauses interdisant la rétro ingénierie. Cependant, dans de nombreux pays, elle est autorisée par la loi, notamment à des fins d’interopérabilité. Dans ces pays, les clauses de ces CLUF ne sont pas valables, ou tout au plus elles le sont dans les limites déterminées par la loi. »
publicité
Contacté, Orange confirme avoir été informé de la publication de ces logiciels dès novembre, mais explique que les versions concernées sont « anciennes ». La société rappelle que les données personnelles des utilisateurs ne sont pas concernées par cette fuite, et assure que la sécurité de ses utilisateurs n’est pas mise en cause. Orange confirme, sans trop donner de précisions, que toutes les mesures de sécurité nécessaires ont été prises et que des procédures judiciaires ont été engagées. Orange propose déjà en open source une partie du firmware de ses Livebox sur une page dédiée. Mais les versions fuitées contiennent également les fichiers de configuration des Livebox, ainsi que certains mots de passe utilisés pour accéder au panel d’administration des Livebox en SSH par exemple.
Orange assure néanmoins avoir pris les mesures nécessaires pour assurer la sécurité : on imagine donc que les mots de passe en question ont été changés dans les mises à jour de firmware publiées depuis. On peut se demander pourquoi cette affaire ne ressort que maintenant, alors que la publication initiale des fichiers date de novembre 2019. Difficile à dire, mais certains suggèrent que les récentes actions d’Orange, qui tente de faire supprimer les liens, auraient contribué à rendre visible la fuite. Un exemple parfait de l’effet streisand ?