Une contribution détaillée du chercheur Moritz Naumann sur la liste Full Disclosure fait état d’une double faille (risques de déni de service et d’attaque en cross-site-scripting) affectant certains routeurs diffusés par la branche Allemande du FAI Alice. La chose n’a strictement rien d’exceptionnel, et ne mériterait aucune remarque en temps normal.
Sauf que cette fois, Alice Allemagne n’a pas jugé utile de colmater le trou de sécurité sous prétexte que « le modèle en question (Alice Modem 1111, firmware 4.19) n’était plus distribué depuis longtemps ».
Ce qui laisse entrevoir deux hypothèses : la première, c’est qu’Alice possède un service de mise à niveau des routeurs d’abonnés d’une efficacité exceptionnelle, et que la moindre évolution côté routeur provoque ipso-facto la mobilisation d’une armée de transporteurs, d’une légion de gestionnaires de stocks, d’une multitude d’agent du SAV afin de garantir à ses clients une connexion à la fois sécurisée, à jour et moderne… le français Free devrait en prendre de la graine, lui qui a plus de facilité à changer ses tarifs que ses Freebox « révolution ». (Rappelons qu’Alice en France a été absorbée par Illiade, maison-mère de Free, en août 2008)
L’autre hypothèse serait qu’il existe un parc de routeurs vulnérables en Allemagne et que le fournisseur ne souhaite pas en entendre parler, probablement pour de sordides raisons budgétaires. Mais franchement, ce serait médire.