Crack-wpa.fr FORUM

La sécurité des modem / routeurs Wifi Bbox de chez Bouygues Telecom est mise à mal à compter d'aujourd'hui... Vous allez tout savoir sur ce sujet, je vais tout vous expliquer.

Tout a commencé lorsqu'un membre du forum (palgb) a créé le topic intitulé Crack Bbox wpa. Nous avons commencé à nous intéresser à cette box qui n'est pas encore très connue, et nous en sommes rapidement arrivés à la conclusion que la passphrase par défaut était constituée de 10 caractères héxadécimaux, ce qui laissait présager de bonnes choses...

Ce matin, j'ai trouvé un message d'une personne souhaitant rester anonyme qui me donnait un lien très intéressant: Interface d'administration Bbox WPA / configuration Wifi (screenshot non flouté), voici l'image en question:


Image taille réelle ici.

Cette capture d'écran confirme nos suppositions, la passphrase d'origine des Bbox WPA est bel et bien constituée de 10 caractères héxadécimaux. Si je vous dis maintenant que cette box est fabriquée par Thomson (il s'agit du modèle Thomson TG787 ), à quoi pensez vous? Si votre mémoire est bonne, vous devez vous souvenir que Thomson s'est déja loupé sur les algorithmes de génération des clés WPA par défaut des routeurs Speedtouch et British Telecom Homehub (voir le sujet Thomson Speedtouch: l'algorithme de génération des clés découvert!), alors j'ai remis le nez dans les outils développés à l'époque par Kevin Devine pour voir si son tool stkeys pouvait etre modifié afin de générer les clés WPA par défaut des Bbox...

N'ayant pas de Bbox sous la main, je n'avais pas la possibilité de me lancer dans un reverse engineering en prenant comme base le serial number de la box histoire d'obtenir le hash duquel sont dérivés l'essid et la clé WPA par défaut. J'ai donc repris les explications de Kevin Devine qui concernaient les Speedtouch:

Kevin Devine a écrit:

**************************************************************************

   The format of a serial number:

   CP YY WW PP XXX (CC)

   And from what i can tell of the following serial number taken from
   router i received.

   CP 06 15 JT 109 (53)

   YY is the year produced.      ( 2006  ) ?
   WW is the week of year.       ( some week of April ) ?
   PP is the production code.    ( JT ) factory code?
   CC is the configuration code. ( 53 ) seems to be 00 - ZZ (0-9/A-Z)

   I can only guess that the XXX values represent the unit number

   **************************************************************************

   The key generation is simple enough.

   Take as example: "CP0615JT109 (53)"

   Remove the CC and PP values

     "CP0615109"

   Convert the XXX values to hexadecimal.

     "CP0615313039"

   Process with SHA-1

     742da831d2b657fa53d347301ec610e1ebf8a3d0

   The last 3 bytes are converted to 6 byte string, and appended to
   the word "SpeedTouch" which becomes the default SSID.

     "SpeedTouchF8A3D0"

   The first 5 bytes are converted to a 10 byte string which
   becomes the default WEP/WPA key.

    "742DA831D2"

   Thats it..
   **************************************************************************

En regardant la manière dont stkeys avait été codé à l'époque, j'en ai rapidement conclu qu'une simple modification allait permettre d'adapter l'outil pour générer les clés par défaut des Bbox WPA si elles utilisaient le meme algorithme de génération. Pas besoin d'avoir un serial number ni meme une Bbox sous la main pour tester, puisque j'avais un beau screenshot avec l'essid par défaut et la clé WPA par défaut en clair!

Partant sur toutes ces suppositions, j'ai modifié l'outil, je l'ai recompilé et je l'ai testé... Et ça fonctionne! J'ai donc l'honneur de partager avec vous ce générateur de clé WPA Bbox que j'ai baptisé Bbkeys.

Bbkeys est un générateur de clés WPA par défaut pour les Bbox Bouygues Telecom. Son fonctionnement est assez simple: il suffit de lui donner la partie hexa contenue dans l'essid (par exemple pour l'essid Bbox-3983BC on récupère juste la variable 3983BC) et il va vous fournir la clé WPA par défaut. J'ai compilé 2 versions de Bbkeys, une version qui tourne sous système Unix (Linux) et une qui tourne sous Windows (que j'ai nommé Bbkeyswin).

Illustrations:

-BBkeys (Linux)

Menu:


Image taille réelle ici.

Génération:

Dans le cas de notre exemple, on souhaite connaitre la clé WPA de la Bbox qui a l'essid Bbox-3983BC, on va donc valider la commande suivante:

bbkeys -v -i 3983BC

(-v pour le mode verbose, affichage des informations à l'écran et -i indique les octets hexa contenus dans l'essid)


Image taille réelle ici.

On peut voir que Bbkeys nous a bien donné la clé par défaut qui figure sur notre screenshot extrait de l'interface d'administration de la Bbox. Il est possible de récupérer la ou les clés potentielles dans un fichier grace au paramètre -o (output, fichier de sortie).

-Bbkeyswin.exe (Windows)

Menu:


Image taille réelle ici.

Génération:


Image taille réelle ici.

Le fonctionnement de Bbkeyswin est exactement le meme que celui de Bbkeys, les paramètres à indiquer à l'outil sont identiques.

Maintenant que je vous ai mis l'eau à la bouche, vous souhaitez peut etre tester ces tools par vous memes? Et bien profitez en, c'est du 0day en exclusivité sur crack-wpa.fr, voici les links pour le download:

-Bbkeys (Linux)
-Bbkeyswin.exe (Windows)

Je tiens à remercier Kevin Devine pour son remarquable travail de reverse engineering sur les Speedtouch / BT Homehub ainsi que la personne souhaitant rester anonyme qui m'a mis sur la bonne voie pour trouver la faille des Bbox WPA.

N'hésitez pas à poster vos commentaires, j'espère que mes petits générateurs Bbox WPA vous seront utiles