{"id":17057,"date":"2021-06-04T16:03:51","date_gmt":"2021-06-04T14:03:51","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=17057"},"modified":"2021-06-04T16:03:51","modified_gmt":"2021-06-04T14:03:51","slug":"rsa2021-hijacked-router","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/rsa2021-hijacked-router\/17057\/","title":{"rendered":"Les routeurs domestiques ne sont pas sans failles"},"content":{"rendered":"

D\u2019un point de vue de s\u00e9curit\u00e9 informatique, le point n\u00e9gatif de la tendance g\u00e9n\u00e9ralis\u00e9e du t\u00e9l\u00e9travail a \u00e9t\u00e9 la perte de contr\u00f4le des environnements r\u00e9seau locaux des postes de travail. Ce qui est particuli\u00e8rement dangereux, ce sont les routeurs domestiques des employ\u00e9s qui ont remplac\u00e9 le r\u00e9seau de l\u2019entreprise g\u00e9n\u00e9ralement surveill\u00e9 par des sp\u00e9cialistes en s\u00e9curit\u00e9. Lors de la RSA Conference 2021<\/a>, les chercheurs Charl van der Walt et Wicus Ross ont r\u00e9v\u00e9l\u00e9 comment les criminels peuvent s\u2019en prendre aux ordinateurs via les routeurs dans \u00ab\u00a0Tous vos LAN nous appartiennent. G\u00e9rer les menaces qui planent sur les t\u00e9l\u00e9travailleurs<\/a>\u00ab\u00a0.<\/p>\n

Pourquoi les routeurs domestiques des employ\u00e9s posent un gros probl\u00e8me ?<\/h2>\n

M\u00eame si les politiques de s\u00e9curit\u00e9 des entreprises pourraient couvrir toutes les mises \u00e0 jour du syst\u00e8mes d\u2019exploitation et autres param\u00e8tres pertinents des ordinateurs, les routeurs domestiques \u00e9chappent toujours au contr\u00f4le des administrateurs du syst\u00e8me de l\u2019entreprise. En ce qui concerne le t\u00e9l\u00e9travail, le d\u00e9partement informatique ne peut pas savoir quels sont les appareils connect\u00e9s au r\u00e9seau, si le micrologiciel du routeur est \u00e0 jour et si le mot de passe qui le prot\u00e8ge est fort (ou si l\u2019utilisateur a chang\u00e9 le mot de passe par d\u00e9faut).<\/p>\n

Ce manque de contr\u00f4le n\u2019est qu\u2019une partie du probl\u00e8me. De nombreuses vuln\u00e9rabilit\u00e9s qui peuvent \u00eatre exploit\u00e9es par les cybercriminels ont \u00e9t\u00e9 trouv\u00e9es dans un grand nombre de routeurs SOHO ainsi que dans les routeurs domestiques, ce qui a pour cons\u00e9quence d\u2019augmenter le nombre de botnets, comme par exemple le botnet Mirai<\/a> qui combine des dizaines voire des centaines de milliers de routeurs pirat\u00e9s dans des buts diff\u00e9rents.<\/p>\n

Il est n\u00e9cessaire de rappeler que chaque routeur est comme un mini-ordinateur fonctionnant sous une distribution Linux. Les possibilit\u00e9s sont nombreuses pour les cybercriminels qui ont pirat\u00e9 un routeur. Voici quelques exemples tir\u00e9s du compte rendu des chercheurs.<\/p>\n

Pirater une connexion VPN<\/h2>\n

Afin de pallier le r\u00e9seau bancal des t\u00e9l\u00e9travailleurs, les entreprises utilisent principalement un VPN (r\u00e9seau priv\u00e9 virtuel). Les VPN offrent un canal chiffr\u00e9 via lequel les donn\u00e9es circulent entre un ordinateur et le r\u00e9seau de l\u2019entreprise.<\/p>\n

De nombreuses entreprises utilisent un VPN avec la fonctionnalit\u00e9 split tunneling. <\/em>Le trafic Internet qui va vers les serveurs de l\u2019entreprise, comme un protocole RDP (Remote Desktop Protocol<\/em>), passe par le VPN. Quant aux autre trafics, ils passent par le r\u00e9seau public non chiffr\u00e9, ce qui est g\u00e9n\u00e9ralement suffisant. Cependant, un cybercriminel qui contr\u00f4le le routeur peut cr\u00e9er un protocole DHCP (Dynamic Host Configuration Protocol<\/em>) et rediriger le trafic RDP vers son serveur. Bien que cela ne lui permette pas de d\u00e9chiffrer le VPN, il peut cr\u00e9er une fausse page de connexion afin d\u2019intercepter les identifiants de connexion RDP. Les cybercriminels experts en ransomwares adorent utiliser un protocole RDP<\/a>.<\/p>\n

Chargement d\u2019un syst\u00e8me d\u2019exploitation externe<\/h2>\n

Une autre m\u00e9thode que les cybercriminels utilisent pour mener une attaque contre un routeur consiste \u00e0 exploiter l\u2019amor\u00e7age PXE (Preboot Execution Environment<\/em>). Les adaptateurs r\u00e9seau modernes utilisent PXE afin de d\u00e9marrer les ordinateurs ayant un syst\u00e8me d\u2019exploitation depuis le r\u00e9seau. Cette fonctionnalit\u00e9 est normalement d\u00e9sactiv\u00e9e, mais certaines entreprises l\u2019utilisent, par exemple pour restaurer \u00e0 distance le syst\u00e8me d\u2019exploitation d\u2019un employ\u00e9 si ce dernier ne fonctionne plus.<\/p>\n

Un cybercriminel qui contr\u00f4le le serveur DHCP d\u2019un routeur peut fournir un adaptateur r\u00e9seau du poste de travail avec une adresse d\u2019un syst\u00e8me modifi\u00e9 pour permettre le contr\u00f4le \u00e0 distance. Il y a peu de chances que les employ\u00e9s le remarquent et encore moins qu\u2019ils sachent ce qu\u2019il se passe vraiment (surtout s\u2019ils sont distraits par les notifications de mises \u00e0 jour). Pendant ce temps, les cybercriminels ont pleinement acc\u00e8s au syst\u00e8me de fichiers.<\/p>\n

Comment se prot\u00e9ger<\/h2>\n

Afin de prot\u00e9ger les ordinateurs des employ\u00e9s de tout ceci et emp\u00eacher des attaques similaires, voici ce que vous pouvez faire\u00a0:<\/p>\n