Plusieurs produits Velop Pro envoient les mots de passe Wi-Fi en clair sur des serveurs

Au moins deux routeurs Wi-Fi sous la marque Velop Pro de Linksys envoient le mot de passe du réseau Wi-Fi en clair sur un serveur distant aux États-Unis. C’est ce qu’a découvert Testaankoop (ou Test-Achats), équivalent belge de l’UFC Que Choisir français, qui a choisi de retirer ces modèles de ses recommandations. Les deux modèles testés sont les Velop Pro WiFi 6E et le tout récent Velop Pro WiFi 7, mais il est possible que le problème soit aussi présent sur les anciennes génération, dont les modèles Wi-Fi 6 qu’Apple continue de mettre en avant sur sa boutique.

Image MacGeneration/Linksys.

Les tests menés par le site ont mis en évidence l’envoi de données en clair vers un centre de données d’Amazon situé aux États-Unis. Cet envoi se produit lors de la phase de configuration initiale et les données contiennent notamment le nom du réseau Wi-Fi (SSID), le mot de passe du réseau et des jetons d’identification qui pourraient servir à mettre en œuvre une attaque de type man-in-the-middle...