Au moins deux routeurs Wi-Fi sous la marque Velop Pro de Linksys envoient le mot de passe du réseau Wi-Fi en clair sur un serveur distant aux États-Unis. C’est ce qu’a découvert Testaankoop (ou Test-Achats), équivalent belge de l’UFC Que Choisir français, qui a choisi de retirer ces modèles de ses recommandations. Les deux modèles testés sont les Velop Pro WiFi 6E et le tout récent Velop Pro WiFi 7, mais il est possible que le problème soit aussi présent sur les anciennes génération, dont les modèles Wi-Fi 6 qu’Apple continue de mettre en avant sur sa boutique.
Les tests menés par le site ont mis en évidence l’envoi de données en clair vers un centre de données d’Amazon situé aux États-Unis. Cet envoi se produit lors de la phase de configuration initiale et les données contiennent notamment le nom du réseau Wi-Fi (SSID), le mot de passe du réseau et des jetons d’identification qui pourraient servir à mettre en œuvre une attaque de type man-in-the-middle (MITM). Même sans aller jusque-là, ces données ne devraient jamais quitter le routeur et encore moins le faire sans les chiffrer au préalable.
Pour ne rien arranger, Testaankoop a prévenu Linksys de la faille de sécurité en novembre dernier et le constructeur ne l’a pas comblée. Les tests effectués avec la toute dernière version du firmware de ces routeurs prouvent que l’envoi se fait toujours sur les serveurs d’AWS et toujours en clair. C’est pourquoi le site ne recommande plus ces produits. Si vous utilisez déjà ces modèles, il est conseillé de changer le mot de passe du Wi-Fi sans utiliser l’app mobile. Il faut le faire via l’interface web, ce qui est détaillé à cette adresse.
Source :
