Sécurité des routeurs : pourquoi des hackers d'État russes ciblent les réseaux domestiques

La plupart des gens considèrent leur routeur domestique comme un appareil d'arrière-plan, branché une fois et oublié. Les autorités américaines avertissent que cette indifférence est précisément ce qui rend les routeurs une cible de plus en plus attrayante pour des hackers liés à des États, une nouvelle mise en garde décrivant une campagne active menée par des acteurs liés à la Russie pour détourner discrètement des routeurs domestiques et de petites entreprises ordinaires à travers le monde.
L'objectif, selon cette mise en garde, n'est pas principalement d'espionner directement le propriétaire du routeur, mais de transformer les appareils compromis en ce que les chercheurs en sécurité appellent un réseau de « proxys résidentiels ». En acheminant le trafic malveillant via des milliers de connexions internet domestiques ordinaires plutôt que via une infrastructure d'attaque dédiée, les hackers peuvent faire passer leur activité pour du trafic web grand public normal, contournant les systèmes de détection qui signalent une activité suspecte provenant d'adresses IP de centres de données connues.
Les réseaux de proxys résidentiels ont aussi des usages commerciaux légitimes, notamment certains services de publicité et d'études de marché qui rémunèrent les consommateurs pour l'accès à leur connexion internet, ce qui a contribué à normaliser un marché pour ce type d'acheminement de trafic et rendu les versions malveillantes plus difficiles à distinguer des versions légitimes au premier coup d'œil. Les hackers liés à des États exploitant des routeurs compromis dans le même but bénéficient de l'avantage supplémentaire de n'avoir besoin ni du consentement ni de la connaissance du propriétaire de l'appareil.
Cette technique offre un avantage particulier pour les opérations d'espionnage et de perturbation : un trafic semblant provenir d'une adresse résidentielle ordinaire dans un pays occidental a beaucoup moins de chances de déclencher le type de blocage automatisé auquel serait confronté un trafic provenant de plages de serveurs hostiles connues. Cela fait des routeurs domestiques détournés un terrain de préparation utile pour atteindre des cibles sensibles, y compris des réseaux gouvernementaux et des systèmes d'infrastructures critiques, sans révéler immédiatement la véritable origine d'une tentative d'intrusion.
Les autorités affirment que les routeurs ciblés sont fréquemment des modèles plus anciens ayant cessé de recevoir des mises à jour de sécurité de leurs fabricants, ainsi que des appareils fonctionnant toujours avec les mots de passe administrateur par défaut d'usine, jamais modifiés après l'installation. Ces deux situations sont répandues chez les utilisateurs domestiques, qui n'interagissent généralement avec un routeur que lorsque internet cesse de fonctionner, plutôt que de le traiter comme un élément d'infrastructure nécessitant le même entretien de sécurité qu'un ordinateur ou un téléphone.
Les petites entreprises sont exposées de manière similaire, s'appuyant souvent sur des routeurs grand public plutôt que sur des équipements réseau professionnels, sans personnel informatique dédié surveillant les mises à jour de firmware ou les changements de configuration inhabituels. Cette combinaison d'accès réseau précieux et de supervision minimale fait des routeurs de petites entreprises un terrain intermédiaire attrayant pour les attaquants, entre des réseaux d'entreprise difficiles d'accès et des connexions domestiques individuelles moins utiles.
Les défenses recommandées, selon la mise en garde, ne sont ni exotiques ni coûteuses. Changer le mot de passe administrateur par défaut du routeur pour un identifiant unique et robuste referme immédiatement l'un des points d'entrée les plus couramment exploités. Maintenir le firmware à jour, que ce soit via des mises à jour automatiques lorsque le routeur les prend en charge ou par des vérifications manuelles périodiques, ferme des vulnérabilités connues que les attaquants recherchent activement sur internet. Désactiver l'accès d'administration à distance, une fonctionnalité que beaucoup de routeurs livrent activée par défaut, supprime une voie directe permettant aux attaquants d'atteindre le panneau de contrôle de l'appareil depuis l'extérieur du réseau domestique.
Les chercheurs en sécurité notent que ce type de compromission de routeur peut être difficile à détecter pour un utilisateur moyen, car un appareil détourné continue généralement de fournir un service internet normal à son propriétaire tout en acheminant discrètement du trafic malveillant supplémentaire en arrière-plan. Cette invisibilité fait partie de ce qui rend la technique efficace pour les attaquants et explique pourquoi les autorités misent sur la sensibilisation du public plutôt que de compter uniquement sur les utilisateurs pour remarquer une anomalie.
Les fournisseurs d'accès à internet ont également un rôle à jouer, selon les experts en sécurité, car beaucoup continuent de fournir des routeurs aux clients sans imposer de changement de mot de passe à l'installation ni proposer d'invites claires pour les mises à jour de firmware pendant la durée de vie opérationnelle de l'appareil. Certains fournisseurs ont commencé à imposer des politiques de mise à jour obligatoire et des réinitialisations de mot de passe par défaut, bien que l'adoption reste inégale selon les acteurs du secteur.
Pour la plupart des utilisateurs domestiques, le message sous-jacent est simple selon les autorités, même s'il va à l'encontre d'habitudes bien ancrées : un routeur mérite la même attention de sécurité de base que tout autre appareil connecté à internet, et non le traitement « on l'installe et on l'oublie » qu'il reçoit habituellement, d'autant plus que les campagnes de piratage liées à des États s'appuient de plus en plus précisément sur ce type de négligence pour opérer sans être détectées.
À lire ensuite

Pénurie de puces mémoire : pourquoi elle fait chuter les expéditions de smartphones
Une pénurie mondiale de puces mémoire pèse sur la production de smartphones, faisant chuter les expéditions globales à des niveaux historiquement bas, alors même qu'Apple et Samsung, disposant de l'échelle nécessaire pour sécuriser leur approvisionnement, gagnent en part de marché relative. Les analystes attribuent cette tension à la demande de puces mémoire des centres de données d'IA.

General Fusion entre en bourse : ce que son entrée au Nasdaq signifie pour la fusion
General Fusion est devenue la première entreprise de fusion cotée en bourse après que ses actions ont bondi lors de ses débuts au Nasdaq, à la suite d'une fusion inversée marquée par de nombreux rachats. Cette cotation offre aux investisseurs un moyen rare de parier directement sur les progrès de l'industrie de la fusion.

Qu'est-ce que ce nouveau « super alliage » qui pourrait transformer la fabrication des métaux
Des chercheurs affirment avoir créé un alliage inédit qui combine des propriétés longtemps jugées incompatibles, grâce à une approche de fabrication susceptible de changer la façon dont les ingénieurs conçoivent des matériaux pour des conditions extrêmes. Cette avancée pourrait se répercuter sur l'aérospatiale, l'énergie et l'industrie lourde.

Recyclage du lithium : comment le Japon en récupère 90 % à partir de batteries de VE usagées
Des chercheurs japonais ont mis au point une méthode permettant de récupérer jusqu'à 90 % du lithium enfermé dans les batteries de véhicules électriques usagées, répondant à un goulot d'étranglement d'approvisionnement imminent alors que l'adoption des VE s'accélère dans le monde. Le procédé pourrait réduire la dépendance au lithium fraîchement extrait.

Comment le projet de voiture autonome avorté d'Apple a fait naître ses puces IA les plus puissantes
Le programme de voiture autonome d'Apple n'a jamais vu la route, mais la technologie développée en cours de route est discrètement devenue le fondement de la puissance actuelle de l'entreprise en matière d'IA embarquée. Voici comment un projet annulé a fini par façonner les puces au cœur de l'iPhone.