WiFi
La récente violation de milliers de routeurs domestiques ASUS montre que votre point d’accès Wi-Fi n’est pas seulement utile pour vous (et peut-être pour vos voisins), mais qu’il peut être également convoité par des cybercriminels et même par des pirates informatiques commandités par des États et menant des attaques d’espionnage ciblées. Cette nouvelle attaque, vraisemblablement liée au tristement célèbre groupe APT31, est toujours en cours. Ce qui la rend particulièrement dangereuse, c’est sa nature furtive et l’approche non conventionnelle à adopter pour s’en défendre. C’est pourquoi il est essentiel de comprendre pourquoi les acteurs malveillants ciblent les routeurs et comment se protéger contre ces ruses de pirates informatiques.
Comment les routeurs compromis sont exploités
- Proxy résidentiel. Lorsque des pirates informatiques s’en prennent à de grandes entreprises ou à des agences gouvernementales, les attaques sont souvent détectées en raison d’adresses IP inhabituelles tentant d’accéder au réseau sécurisé. Le fait qu’une entreprise opère dans un pays et qu’un employé se connecte soudainement au réseau de l’entreprise à partir d’un autre pays est très suspect. Toute connexion à partir d’une adresse de serveur VPN connue paraît tout aussi suspecte. Pour dissimuler leurs activités, les cybercriminels utilisent des routeurs compromis situés dans le pays – voire parfois dans la ville même – proche de leur cible. Ils font ainsi transiter toutes leurs requêtes par votre routeur, qui transmet ensuite les données à l’ordinateur cible. Aux yeux des systèmes de contrôle, cela revient à ce qu’un employé ordinaire accède à des ressources professionnelles à partir de son domicile, ce qui n’a rien d’inquiétant.
- Serveur de commande et de contrôle. Les pirates informatiques peuvent héberger des programmes malveillants sur l’appareil compromis afin que les ordinateurs cibles les téléchargent. Ou, à l’inverse, ils peuvent exfiltrer des données du réseau directement vers votre routeur.
- Pot de miel pour les concurrents. Un routeur peut être utilisé comme appât (pot de miel) pour étudier les techniques utilisées par d’autres groupes de pirates informatiques.
- Appareil de minage. Tout appareil informatique peut être utilisé pour le minage de cryptomonnaies. L’utilisation d’un routeur pour le minage n’est pas particulièrement efficace, mais lorsqu’un cybercriminel ne paie pas d’électricité ou d’équipement, il y trouve tout de même son compte.
- Outil de manipulation du trafic. Un routeur compromis peut intercepter et modifier le contenu des connexions Internet. Les pirates peuvent alors cibler n’importe quel appareil connecté au réseau domestique. Le champ d’application de cette technique est vaste : du vol de mots de passe à l’injection de publicités dans les pages Internet.
- Bot DDoS. N’importe quel appareil domestique, y compris les routeurs, les contrôleurs de bébé, les haut-parleurs connectés et même les bouilloires connectées, peut être intégré à un botnet et utilisé pour submerger n’importe quel service en ligne avec des millions de demandes simultanées provenant de ces appareils.
Ces options attirent différents groupes de pirates informatiques. Alors que les attaques par minage, par injection de publicité et par déni de service intéressent généralement les cybercriminels aux motivations financières, les attaques ciblées lancées à partir d’une adresse IP résidentielle sont généralement menées par des réseaux de ransomwares ou par des groupes engagés dans de véritables activités d’espionnage. Ce phénomène semble sortir d’un roman d’espionnage, mais il est si répandu que l’Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) et le FBI ont émis de nombreuses mises en garde à ce sujet à diverses reprises. Comme les espions agissent en toute discrétion, les propriétaires de routeurs s’aperçoivent rarement que leur appareil est utilisé à d’autres fins que celles pour lesquelles il a été conçu.
Comment les routeurs sont piratés
Les deux moyens les plus courants de pirater un routeur consistent à forcer brutalement le mot de passe de son interface d’administration et à exploiter les vulnérabilités logicielles de son micrologiciel. Dans le premier scénario, les pirates informatiques profitent du fait que les propriétaires ont conservé les paramètres d’usine du routeur et le mot de passe par défaut admin, ou qu’ils ont remplacé le mot de passe par une combinaison simple à retenir et facile à deviner, comme 123456. Une fois le mot de passe déchiffré, les pirates informatiques peuvent se connecter au panneau de contrôle comme le ferait le propriétaire.
Dans le second scénario, les pirates sondent le routeur à distance pour identifier sa marque et son modèle, puis tentent d’exploiter une à une les vulnérabilités connues pour prendre le contrôle de l’appareil.
Généralement, après un piratage réussi, ils installent des programmes malveillants cachés sur le routeur afin d’exécuter les fonctions souhaitées. Il est possible que vous vous rendiez compte d’une anomalie lorsque votre connexion Internet ralentit, que le processeur de votre routeur fonctionne à plein régime ou que le routeur lui-même commence à surchauffer. Une réinitialisation d’usine ou une mise à jour du micrologiciel permet généralement d’éliminer la menace. Cependant, les récentes attaques contre les routeurs ASUS sont une autre histoire.
En quoi les attaques ASUS sont-elles différentes et comment les détecter ?
La principale particularité de ces attaques est qu’elles ne peuvent pas être éliminées par une simple mise à jour du micrologiciel. Les pirates ont mis en place une porte dérobée cachée avec un accès administratif qui persiste malgré les redémarrages réguliers et les mises à jour du micrologiciel.
Pour lancer son attaque, l’acteur malveillant utilise les deux techniques décrites ci-dessus. Si le recours à une attaque par force brute du mot de passe administrateur échoue, les attaquants exploitent deux vulnérabilités pour contourner entièrement l’authentification.
À partir de là, l’attaque prend une tournure plus complexe. Les pirates utilisent une autre vulnérabilité pour activer la fonction de gestion à distance SSH intégrée au routeur. Ils ajoutent ensuite leur propre clé de chiffrement aux paramètres, ce qui leur permet de se connecter à l’appareil et de le contrôler.
Peu d’utilisateurs domestiques gèrent leur routeur à l’aide du protocole SSH ou vérifient la section des paramètres où les clés d’administration sont répertoriées, si bien que cette technique d’accès peut passer inaperçue pendant des années.
Les trois vulnérabilités exploitées dans cette attaque ont depuis été corrigées par l’éditeur. Toutefois, si votre routeur a déjà été compromis, la mise à jour de son micrologiciel ne suffira pas à supprimer la porte dérobée. Vous devez ouvrir les paramètres de votre routeur et vérifier si un serveur SSH est activé – en écoute sur le port 53282. Si c’est le cas, désactivez le serveur SSH et supprimez la clé SSH administrative, qui commence par les caractères suivants :
AAAAB3NzaC1yc2EA
Si vous ne savez pas comment procéder, il existe une solution plus drastique : une réinitialisation complète des paramètres d’usine.
Il n’y a pas que ASUS
Les chercheurs qui ont découvert l’attaque ASUS pensent qu’elle fait partie d’une campagne plus large qui a touché une soixantaine de types d’appareils domestiques et professionnels, notamment des systèmes de vidéosurveillance, des boîtiers NAS et des serveurs VPN de bureau. Les appareils concernés sont les modèles D-Link DIR-850L S, Cisco RV042, Araknis Networks AN-300-RT-4L2W, Linksys LRT224 et certains appareils QNAP. Les attaques se déroulent de manière légèrement différente, mais présentent les mêmes particularités : exploitation des vulnérabilités, utilisation des fonctions intégrées de l’appareil pour en prendre le contrôle et conservation de la furtivité. Selon les évaluations des chercheurs, les appareils compromis sont exploités en vue de réacheminer le trafic et de surveiller les techniques d’attaque employées par les acteurs malveillants rivaux. Ces attaques sont attribuées à un groupe de pirates informatiques « très compétents et disposant de ressources importantes ». Cependant, des techniques similaires ont été adoptées par des groupes de pirates informatiques qui mènent des attaques ciblées à travers le monde. C’est pourquoi les routeurs domestiques dans tous les pays de taille moyenne sont désormais très convoités par ces derniers.
Points à retenir et conseils
L’attaque contre les routeurs domestiques ASUS présente les signes classiques d’une intrusion ciblée : furtivité, compromission sans utilisation de programmes malveillants et création de canaux d’accès persistants qui restent ouverts même après la correction de la vulnérabilité et la mise à jour du micrologiciel. Alors, que peut faire un particulier pour se défendre contre de telles attaques ?
- Le choix de votre routeur est important. Ne vous contentez pas du routeur standard que votre fournisseur vous loue, et ne vous précipitez pas sur l’option la moins chère. Parcourez la sélection proposée par les détaillants en électronique et choisissez un modèle sorti au cours des deux dernières années afin d’être sûr de bénéficier des mises à jour du micrologiciel pendant plusieurs années. Essayez de choisir un fabricant qui accorde une grande importance à la sécurité. Ce point est délicat, car il n’existe pas de solution parfaite. Vous pouvez généralement vous fier à la fréquence des mises à jour du micrologiciel et à la période de support indiquée par le fabricant. Vous trouverez les dernières actualités en matière de sécurité des routeurs sur des sites tels que Router Security, mais ne vous attendez pas à y trouver de « belles histoires » : ce site est surtout utile pour trouver des « anti-héros ».
- Mettez régulièrement à jour le micrologiciel de votre appareil. Si votre routeur propose une fonction de mise à jour automatique, il est préférable de l’activer afin de ne pas avoir à vous soucier des mises à jour manuelles ou de prendre du retard. Il est toutefois recommandé de vérifier l’état, les paramètres et la version du micrologiciel de votre routeur plusieurs fois par an. Si vous n’avez pas reçu de mise à jour du micrologiciel au cours des 12 à 18 derniers mois, il est peut-être temps d’envisager de remplacer votre routeur par un modèle plus récent.
- Désactivez tous les services inutiles sur votre routeur. Passez en revue tous les paramètres et désactivez toute fonctionnalité ou option inutile.
- Désactivez l’accès administrateur à votre routeur depuis Internet (WAN) via tous les canaux d’administration (SSH, HTTPS, Telnet, etc.).
- Désactivez les applications de gestion des routeurs mobiles. Bien que pratiques, ces applications présentent toute une série de nouveaux risques : en plus de votre smartphone et de votre routeur, elles impliquent généralement l’utilisation d’un service cloud propriétaire. Pour cette raison, il est préférable de désactiver cette méthode de gestion et d’éviter de l’utiliser.
- Modifiez les mots de passe par défaut pour l’administration du routeur et l’accès Wi-Fi. Ces mots de passe ne doivent pas être identiques. Chacun doit être long et ne pas être composé de mots ou de chiffres évidents. Si votre routeur le permet, remplacez le nom d’utilisateur admin par un nom unique.
- Utilisez une protection complète pour votre réseau domestique. Par exemple,Kaspersky Premium est livré avec un module de contrôle des maisons connectées qui surveille les problèmes courants, comme les appareils vulnérables et les mots de passe faibles. Si votre contrôle des maisons connectées détecte des points faibles ou un nouvel appareil sur votre réseau que vous n’avez pas préalablement désigné comme connu, il vous préviendra et vous fournira des recommandations pour sécuriser votre réseau.
- Vérifiez toutes les pages de configuration de votre routeur. Recherchez les signes suspects suivants : (1) redirection de ports vers des appareils inconnus sur votre réseau domestique ou sur Internet, (2) nouveaux comptes utilisateurs que vous n’avez pas créés, et (3) clés SSH inconnues ou tout autre identifiant de connexion. Si vous trouvez un élément de ce type, effectuez une recherche en ligne en indiquant le modèle de votre routeur et les informations suspectes que vous avez découvertes, comme un nom d’utilisateur ou une adresse de port. Si vous ne trouvez aucune mention du problème découvert comme fonctionnalité documentée du système de votre routeur, supprimez ces données.
- Abonnez-vous à notre Chaîne Telegram de Kaspersky et restez informé de toutes les actualités en matière de cybersécurité.
Pour en savoir plus sur le choix, la configuration et la protection de vos appareils de maison connectée, ainsi que pour obtenir des informations sur d’autres menaces informatiques ciblant vos appareils électroniques domestiques, consultez les articles suivants :
