{"id":19023,"date":"2022-06-17T15:01:59","date_gmt":"2022-06-17T13:01:59","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=19023"},"modified":"2022-06-17T15:01:59","modified_gmt":"2022-06-17T13:01:59","slug":"router-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/router-malware\/19023\/","title":{"rendered":"Les dangers cach\u00e9s d’un programme malveillant install\u00e9 dans votre routeur"},"content":{"rendered":"

Vous analysez votre ordinateur chaque semaine pour v\u00e9rifier qu\u2019il n\u2019y a aucun virus, vous installez imm\u00e9diatement les mises \u00e0 jour du syst\u00e8me et des logiciels<\/a>, vous utilisez des mots de passe complexes et vous faites attention lorsque vous utilisez Internet\u2026 Pourtant, votre connexion Internet est lente et certains sites vous refusent l\u2019acc\u00e8s\u00a0! Il se pourrait bien que vous ayez un programme malveillant\u2026 mais pas dans votre ordinateur\u00a0; dans votre routeur.<\/p>\n

Pourquoi le routeur ?<\/h2>\n

Les cybercriminels s\u2019en prennent aux routeurs pour deux raisons. Tout d\u2019abord, parce que tout le trafic du r\u00e9seau passe par cet appareil. Ensuite, vous ne pouvez pas analyser votre routeur \u00e0 l\u2019aide d\u2019un antivirus normal. Ainsi, le programme malveillant qui s\u2019est install\u00e9 dans le routeur a diverses opportunit\u00e9s d\u2019attaque et peu de chance d\u2019\u00eatre d\u00e9tect\u00e9, et encore moins d\u2019\u00eatre supprim\u00e9. Voyons maintenant ce que les cybercriminels peuvent faire gr\u00e2ce \u00e0 un routeur infect\u00e9.<\/p>\n

La cr\u00e9ation d\u2019un botnet<\/h2>\n

Une des situations les plus courantes est lorsqu\u2019un routeur infect\u00e9 rejoint un botnet. Il s\u2019agit d\u2019un r\u00e9seau de dispositifs qui envoie de nombreuses demandes \u00e0 un site ou \u00e0 un service en ligne en particulier dans le cadre d\u2019une attaque par d\u00e9ni de service. L\u2019objectif des cybercriminels est de surcharger le service pris pour cible afin qu\u2019il soit ralenti ou cesse de fonctionner.<\/p>\n

En attendant, ce sont les utilisateurs dont les routeurs ont \u00e9t\u00e9 pirat\u00e9s qui subissent cette baisse et ont une connexion Internet lente. Leurs routeurs sont occup\u00e9s \u00e0 envoyer des demandes malveillantes et ne s\u2019occupent du reste que lorsqu\u2019ils font une pause pour reprendre leur souffle.<\/p>\n

Selon nos donn\u00e9es, les routeurs ont principalement \u00e9t\u00e9 attaqu\u00e9s par deux familles de programmes malveillants en 2021\u00a0: Mirai et M\u0113ris, le premier \u00e9tant largement en t\u00eate puisqu\u2019il repr\u00e9sente pr\u00e8s de la moiti\u00e9 des attaques de routeurs.<\/p>\n

Mirai<\/h3>\n

Cette c\u00e9l\u00e8bre famille de programmes malveillants, au nom assez agr\u00e9able et qui signifie \u00a0\u00bb\u00a0futur\u00a0\u00a0\u00bb en japonais, est active depuis 2016. En plus des routeurs, ces programmes sont connus pour infecter les cam\u00e9ras IP, les Smart TV et tout autre appareil de l\u2019Internet des Objets, m\u00eame les professionnels, comme les contr\u00f4leurs sans fil ou les panneaux publicitaires num\u00e9riques. Initialement con\u00e7u pour effectuer des attaques par d\u00e9ni de service \u00e0 grande \u00e9chelle sur les serveurs de Minecraft, le botnet Mirai a ensuite \u00e9t\u00e9 lanc\u00e9 sur d\u2019autres services. Le code source du malware est disponible en ligne depuis longtemps et est \u00e0 l\u2019origine de toujours plus de variantes.<\/p>\n

M\u0113ris<\/h3>\n

Ce n\u2019est pas pour rien que M\u0113ris signifie \u00a0\u00bb\u00a0peste\u00a0\u00a0\u00bb en letton. Il a d\u00e9j\u00e0 affect\u00e9 des milliers de dispositifs tr\u00e8s performants, la plupart \u00e9tant des routeurs MikroTik, et les a associ\u00e9s \u00e0 un r\u00e9seau pour lancer des attaques par d\u00e9ni de service. Par exemple, lorsqu\u2019une entreprise financi\u00e8re am\u00e9ricaine a \u00e9t\u00e9 prise pour cible<\/a> en 2021, le nombre de demandes venant du r\u00e9seau de dispositifs infect\u00e9s par M\u0113ris \u00e9tait de 17,2 millions par seconde. Quelques mois plus tard, le botnet a attaqu\u00e9 plusieurs entreprises financi\u00e8res et informatiques russes<\/a>, avec un record de 21,8 millions demandes par seconde.<\/p>\n

Le vol des donn\u00e9es<\/h2>\n

Certains programmes malveillants qui infectent les routeurs peuvent causer encore plus de d\u00e9g\u00e2ts, notamment en volant vos donn\u00e9es. Lorsque vous \u00eates en ligne, vous recevez et envoyez beaucoup d\u2019informations importantes\u00a0: vos donn\u00e9es de paiement sur les boutiques en ligne, vos identifiants de connexion sur les r\u00e9seaux sociaux, ou encore les documents de travail que vous envoyez par e-mail. Tous ces renseignements, ainsi que le reste du trafic r\u00e9seau, passent in\u00e9vitablement par votre routeur. Lors d\u2019une attaque, ces donn\u00e9es peuvent \u00eatre intercept\u00e9es par un programme malveillant et envoy\u00e9es directement aux cybercriminels.<\/p>\n

VPNFilter<\/a> est un de ces programmes malveillants qui volent les donn\u00e9es. En infectant les routeurs et les serveurs de stockage en r\u00e9seau (NAS), il peut obtenir des informations et prendre le contr\u00f4le du routeur, ou le d\u00e9sactiver.<\/p>\n

Des sites frauduleux<\/h2>\n

Le programme malveillant install\u00e9 dans le routeur peut furtivement vous rediriger vers des pages ayant des publicit\u00e9s ou vers des sites malveillants au lieu de ceux que vous voulez consulter. Tout comme votre navigateur, vous pensez que vous \u00eates sur un site l\u00e9gitime alors qu\u2019en r\u00e9alit\u00e9 il s\u2019agit de celui des cybercriminels.<\/p>\n

Ce stratag\u00e8me fonctionne de la fa\u00e7on suivante\u00a0: lorsque vous saisissez l\u2019URL d\u2019un site (par exemple, google.com) dans la barre d\u2019adresse, votre ordinateur ou votre smartphone envoie une demande \u00e0 un serveur DNS sp\u00e9cial o\u00f9 sont stock\u00e9es toutes les adresses IP enregistr\u00e9es et les URLs correspondantes. Si le routeur est infect\u00e9, il peut envoyer les demandes \u00e0 un faux serveur DNS au lieu du l\u00e9gitime afin qu\u2019il r\u00e9ponde \u00e0 la demande \u00a0\u00bb\u00a0google.com\u00a0\u00a0\u00bb avec l\u2019adresse IP d\u2019un site compl\u00e8tement diff\u00e9rent, et qui pourrait \u00eatre un site d\u2019hame\u00e7onnage<\/a>.<\/p>\n

C\u2019est exactement ce que le cheval de Troie Switcher faisait\u00a0: il p\u00e9n\u00e9trait dans les param\u00e8tres du routeur et configurait par d\u00e9faut un serveur DNS malveillant. \u00c9videmment, toutes les donn\u00e9es saisies sur les fausses pages \u00e9taient envoy\u00e9es aux cybercriminels.<\/p>\n

Comment un programme malveillant p\u00e9n\u00e8tre dans un routeur ?<\/h2>\n

Deux m\u00e9thodes permettent d\u2019introduire un malware dans un routeur\u00a0: en devinant le mot de passe administrateur, ou en exploitant une vuln\u00e9rabilit\u00e9 de l\u2019appareil.<\/p>\n

Deviner le mot de passe<\/h3>\n

Tous les routeurs du m\u00eame mod\u00e8le ont g\u00e9n\u00e9ralement le m\u00eame mot de passe administrateur dans les r\u00e9glages d\u2019usine. Le mot de passe administrateur est utilis\u00e9 pour acc\u00e9der au menu des r\u00e9glages du routeur et ne doit pas \u00eatre confondu avec la cl\u00e9 de s\u00e9curit\u00e9 du r\u00e9seau, qui est l\u2019ensemble de caract\u00e8res que vous saisissez pour vous connecter en Wi-Fi. Si l\u2019utilisateur ne le sait pas et ne change pas les r\u00e9glages d\u2019usine, les cybercriminels peuvent facilement deviner le mot de passe, surtout s\u2019ils connaissent la marque du routeur, et infecter le routeur.<\/p>\n

Pourtant, les fabricants ont r\u00e9cemment commenc\u00e9 \u00e0 prendre plus au s\u00e9rieux la s\u00e9curit\u00e9 de ces appareils et attribuent un mot de passe unique et choisi au hasard \u00e0 chaque dispositif. Cette m\u00e9thode complique le travail des cybercriminels. En revanche, il est toujours aussi simple de deviner la bonne combinaison des anciens mod\u00e8les.<\/p>\n

Exploiter une vuln\u00e9rabilit\u00e9<\/h3>\n

Les vuln\u00e9rabilit\u00e9s des routeurs sont des trous dans votre passerelle vers Internet gr\u00e2ce auxquels n\u2019importe quelle menace peut entrer dans le r\u00e9seau de votre foyer ou de votre entreprise. Le programme peut aussi s\u2019installer dans le routeur puisqu\u2019il y a moins de risque qu\u2019il soit d\u00e9tect\u00e9. Le botnet M\u0113ris, dont nous avons parl\u00e9 auparavant, fonctionne de cette fa\u00e7on et exploite les vuln\u00e9rabilit\u00e9s non corrig\u00e9es des routeurs MikroTik.<\/p>\n

Selon notre \u00e9tude<\/a>, plusieurs centaines de nouvelles vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans les routeurs au cours des deux derni\u00e8res ann\u00e9es. Pour prot\u00e9ger les points faibles, les fournisseurs de routeurs ont propos\u00e9 des correctifs et de nouvelles versions du micrologiciel, et notamment des mises \u00e0 jour du syst\u00e8me d\u2019exploitation des routeurs. Malheureusement, beaucoup d\u2019utilisateurs ne savent pas que le programme du routeur doit \u00eatre mis \u00e0 jour, comme n\u2019importe quel autre.<\/p>\n

Comment prot\u00e9ger votre r\u00e9seau ?<\/h2>\n

Si vous voulez s\u00e9curiser le routeur de votre foyer, ou de votre entreprise, et prot\u00e9ger vos donn\u00e9es\u00a0:<\/p>\n