Les dangers cachés d’un programme malveillant installé dans votre routeur

Vous analysez votre ordinateur chaque semaine pour vérifier qu’il n’y a aucun virus, vous installez immédiatement les mises à jour du système et des logiciels, vous utilisez des mots de passe complexes et vous faites attention lorsque vous utilisez Internet… Pourtant, votre connexion Internet est lente et certains sites vous refusent l’accès ! Il se pourrait bien que vous ayez un programme malveillant… mais pas dans votre ordinateur ; dans votre routeur.

Pourquoi le routeur ?

Les cybercriminels s’en prennent aux routeurs pour deux raisons. Tout d’abord, parce que tout le trafic du réseau passe par cet appareil. Ensuite, vous ne pouvez pas analyser votre routeur à l’aide d’un antivirus normal. Ainsi, le programme malveillant qui s’est installé dans le routeur a diverses opportunités d’attaque et peu de chance d’être détecté, et encore moins d’être supprimé. Voyons maintenant ce que les cybercriminels peuvent faire grâce à un routeur infecté.

La création d’un botnet

Une des situations les plus courantes est lorsqu’un routeur infecté rejoint un botnet. Il s’agit d’un réseau de dispositifs qui envoie de nombreuses demandes à un site ou à un service en ligne en particulier dans le cadre d’une attaque par déni de service. L’objectif des cybercriminels est de surcharger le service pris pour cible afin qu’il soit ralenti ou cesse de fonctionner.

En attendant, ce sont les utilisateurs dont les routeurs ont été piratés qui subissent cette baisse et ont une connexion Internet lente. Leurs routeurs sont occupés à envoyer des demandes malveillantes et ne s’occupent du reste que lorsqu’ils font une pause pour reprendre leur souffle.

Selon nos données, les routeurs ont principalement été attaqués par deux familles de programmes malveillants en 2021 : Mirai et Mēris, le premier étant largement en tête puisqu’il représente près de la moitié des attaques de routeurs.

Mirai

Cette célèbre famille de programmes malveillants, au nom assez agréable et qui signifie  » futur  » en japonais, est active depuis 2016. En plus des routeurs, ces programmes sont connus pour infecter les caméras IP, les Smart TV et tout autre appareil de l’Internet des Objets, même les professionnels, comme les contrôleurs sans fil ou les panneaux publicitaires numériques. Initialement conçu pour effectuer des attaques par déni de service à grande échelle sur les serveurs de Minecraft, le botnet Mirai a ensuite été lancé sur d’autres services. Le code source du malware est disponible en ligne depuis longtemps et est à l’origine de toujours plus de variantes.

Mēris

Ce n’est pas pour rien que Mēris signifie  » peste  » en letton. Il a déjà affecté des milliers de dispositifs très performants, la plupart étant des routeurs MikroTik, et les a associés à un réseau pour lancer des attaques par déni de service. Par exemple, lorsqu’une entreprise financière américaine a été prise pour cible en 2021, le nombre de demandes venant du réseau de dispositifs infectés par Mēris était de 17,2 millions par seconde. Quelques mois plus tard, le botnet a attaqué plusieurs entreprises financières et informatiques russes, avec un record de 21,8 millions demandes par seconde.

Le vol des données

Certains programmes malveillants qui infectent les routeurs peuvent causer encore plus de dégâts, notamment en volant vos données. Lorsque vous êtes en ligne, vous recevez et envoyez beaucoup d’informations importantes : vos données de paiement sur les boutiques en ligne, vos identifiants de connexion sur les réseaux sociaux, ou encore les documents de travail que vous envoyez par e-mail. Tous ces renseignements, ainsi que le reste du trafic réseau, passent inévitablement par votre routeur. Lors d’une attaque, ces données peuvent être interceptées par un programme malveillant et envoyées directement aux cybercriminels.

VPNFilter est un de ces programmes malveillants qui volent les données. En infectant les routeurs et les serveurs de stockage en réseau (NAS), il peut obtenir des informations et prendre le contrôle du routeur, ou le désactiver.

Des sites frauduleux

Le programme malveillant installé dans le routeur peut furtivement vous rediriger vers des pages ayant des publicités ou vers des sites malveillants au lieu de ceux que vous voulez consulter. Tout comme votre navigateur, vous pensez que vous êtes sur un site légitime alors qu’en réalité il s’agit de celui des cybercriminels.

Ce stratagème fonctionne de la façon suivante : lorsque vous saisissez l’URL d’un site (par exemple, google.com) dans la barre d’adresse, votre ordinateur ou votre smartphone envoie une demande à un serveur DNS spécial où sont stockées toutes les adresses IP enregistrées et les URLs correspondantes. Si le routeur est infecté, il peut envoyer les demandes à un faux serveur DNS au lieu du légitime afin qu’il réponde à la demande  » google.com  » avec l’adresse IP d’un site complètement différent, et qui pourrait être un site d’hameçonnage.

C’est exactement ce que le cheval de Troie Switcher faisait : il pénétrait dans les paramètres du routeur et configurait par défaut un serveur DNS malveillant. Évidemment, toutes les données saisies sur les fausses pages étaient envoyées aux cybercriminels.

Comment un programme malveillant pénètre dans un routeur ?

Deux méthodes permettent d’introduire un malware dans un routeur : en devinant le mot de passe administrateur, ou en exploitant une vulnérabilité de l’appareil.

Deviner le mot de passe

Tous les routeurs du même modèle ont généralement le même mot de passe administrateur dans les réglages d’usine. Le mot de passe administrateur est utilisé pour accéder au menu des réglages du routeur et ne doit pas être confondu avec la clé de sécurité du réseau, qui est l’ensemble de caractères que vous saisissez pour vous connecter en Wi-Fi. Si l’utilisateur ne le sait pas et ne change pas les réglages d’usine, les cybercriminels peuvent facilement deviner le mot de passe, surtout s’ils connaissent la marque du routeur, et infecter le routeur.

Pourtant, les fabricants ont récemment commencé à prendre plus au sérieux la sécurité de ces appareils et attribuent un mot de passe unique et choisi au hasard à chaque dispositif. Cette méthode complique le travail des cybercriminels. En revanche, il est toujours aussi simple de deviner la bonne combinaison des anciens modèles.

Exploiter une vulnérabilité

Les vulnérabilités des routeurs sont des trous dans votre passerelle vers Internet grâce auxquels n’importe quelle menace peut entrer dans le réseau de votre foyer ou de votre entreprise. Le programme peut aussi s’installer dans le routeur puisqu’il y a moins de risque qu’il soit détecté. Le botnet Mēris, dont nous avons parlé auparavant, fonctionne de cette façon et exploite les vulnérabilités non corrigées des routeurs MikroTik.

Selon notre étude, plusieurs centaines de nouvelles vulnérabilités ont été découvertes dans les routeurs au cours des deux dernières années. Pour protéger les points faibles, les fournisseurs de routeurs ont proposé des correctifs et de nouvelles versions du micrologiciel, et notamment des mises à jour du système d’exploitation des routeurs. Malheureusement, beaucoup d’utilisateurs ne savent pas que le programme du routeur doit être mis à jour, comme n’importe quel autre.

Comment protéger votre réseau ?

Si vous voulez sécuriser le routeur de votre foyer, ou de votre entreprise, et protéger vos données :

• Vérifiez le site du fabricant au moins une fois par mois pour connaître les dernières mises à jour du micrologiciel du routeur. Installez-les dès qu’elles sont disponibles. Les correctifs s’installent automatiquement sur certains modèles, mais vous devez parfois le faire manuellement. Vous trouverez plus de renseignements sur la mise à jour du programme de votre dispositif sur le site du fournisseur.
• Choisissez un mot de passe long et complexe pour votre routeur. Et utilisez un gestionnaire de mots de passe pour ne pas l’oublier.
• Désactivez l’accès à distance aux paramètres administrateur du routeur, si vous vous y connaissez ou si vous avez trouvé les instructions.
• Configurez correctement votre connexion Wi-Fi. Pensez à un mot de passe unique, utilisez un chiffrement sans fil fort, et paramétrez un réseau Wi-Fi invité afin que les invités sans scrupule ou imprudents, ou vos voisins, ne puissent pas envoyer un programme malveillant sur votre réseau depuis leurs dispositifs infectés.
• Utilisez une application VPNqui chiffre toutes les informations sortantes avant de les envoyer au routeur. Cette méthode protège vos données et empêche les cybercriminels d’y avoir accès, même si le dispositif est infecté.