L'interface des Neufbox 4 (SFR) est accessible depuis le web
Depuis un navigateur, le simple fait de taper l'adresse ip d'un client SFR équipé d'une NB4, permet d'afficher l'interface de configuration de sa box. Permettant ainsi de savoir bien des choses, surtout si on sait à qui appartient la box, ex : le noms des appareils connectés à la box en wifi et en ethernet (ex: le smartphone "Huawei xyz v2.xx" est connecté et donc potentiellement de savoir qui est présent ou pas dans la maison à l'instant t), le nom du SSID Wifi, la version du firmware de la box, etc.. (test fait le 05/03/2022)
Via Google j'ai même pu trouver en 30s une adresse ip (référencée par le moteur de recherche) d'un(e) client(e) SFR, j'ai ainsi pu voir que sa box n'avait pas été redémarrée depuis 69 jours, que le firmware était le 3.4.10, qu'aucun appareil n'y était connecté, etc... (accès par proxy = même résultat)
Dans les menus aucun réglage ne permet de désactiver cette "fonctionnalité" qui ressemble fort à une faille de sécurité. (obtenir l'@ip d'un internaute via un site ou un email étant simple.)
Pour les autres modèles de box SFR je ne sais pas, mais l'activation-désactivation ne semble proposée que sur les nouvelles Box fibre. :-| (d'après la doc en ligne SFR)
Ma solution : Via cette interface de configuration de la box, créer une règle NAT (ipv4) pour diriger l'accès depuis internet (port 80) vers une adresse du LAN inutilisée (ex: 192.168.1.100).
permalink -
-
?k5xhbg