Une faille découverte en 2012 aurait été exploitée depuis le 21 décembre 2018.

Ce sont environ 20 000 Livebox en France et en Espagne qui sont touchées par cette faille baptisée CVE-2018-20377.
Les boitiers Livebox 00.96.320S permettent à un attaquant de découvrir les identifiants et mots de passe du réseau wifi via l’accès à l’url /get_getnetworkconf.cgi sur le port 8080 et de prendre le contrôle si le mot de passe administrateur est le même que le mot de passe wifi. C’est souvent le cas, la plupart des utilisateurs ne les modifiant jamais.
Les attaquants pourrait alors être en mesure de se connecter à tous les appareils du réseau et de voler des données, voire enrôler la box dans un botnet, dépendant de l’utilisation de la connexion wifi en local ou de l’accès de la box en distant.

C’est le groupe badpackets qui a découvert cette faille. Vous pouvez lire leur compte-rendu complet pour plus de détails.

Que faire si vous êtes client Orange ?
Mettez à jour votre Livebox et changez vos mots de passe d’administration et de réseau Wifi (attention à utiliser un mot de passe différent pour chaque service).

De son côté Orange affirme que la situation est sous contrôle.