La Fédération France Wireless (FFW) vient d'annoncer une faille de sécurité pour le réseau public « SFR WiFi Public ». Selon l'association, qui fédère toutes les associations et communautés des réseaux sans fil en France, « le réseau "SFR WiFi Public" activé par défaut sur les boxes SFR permet à un client tiers SFR d'utiliser la connexion internet d'autrui sous l'identité du possesseur de la dite box ».

Selon ses tests, « l'adresse IP de la connexion Internet est la même que celle du possesseur de la box quand un utilisateur tiers se connecte sur le réseau "SFR WiFi Public" ». Du coup ? « Le possesseur de la box ne contrôle pas qui se connecte à sa box. De plus, en désactivant cette fonctionnalité sur l'interface d'administration de la box, celle-ci revient à la mise à jour logicielle de cette dernière qui se fait automatiquement ». En clair : ce réseau est réactivé par défaut lors de la mise à jour.

Pour l'association, « des services en ligne comme les webmails, accès à son compte client, ou à Internet+, etc... identifient l'utilisateur par l'adresse ip de sa connexion et pourraient permettre à autrui des abus sur le compte du possesseur de la box ». Elle recommande du coup aux possesseurs de box SFR, astreint à une obligation de sécurisation du fait d'Hadopi 1 et 2, de désactiver le réseau wifi SFR WiFi Public en attendant la résolution de ce problème.

Sur son site, SFR précise cependant que « le réseau public SFR WiFi public est complètement séparé des réseaux privés. Il est impossible d'accéder aux données de votre ordinateur en étant connecté depuis le réseau Public ». De plus, le FAI souligne que « l'authentification et l'identification des membres de la communauté via le portail SFR WiFi public et SFR WiFi FON est nécessaires pour vous connecter sur les Hotspot WiFi ouvert au public ».

Quant aux traces de connexion des clients connectés à votre neufbox, elles « sont conservées conformément à la loi et vous ne serez pas inquiété si un usage frauduleux est constaté sur votre réseau WiFi public ».