Tech

Sécurité des routeurs : pourquoi des hackers d'État russes ciblent les réseaux domestiques

Ars Technicail y a 2 h
Un routeur sans fil aux voyants clignotants relié à des câbles réseau
Un routeur sans fil aux voyants clignotants relié à des câbles réseauPhoto: Brett Sayles / Pexels

La plupart des gens considèrent leur routeur domestique comme un appareil d'arrière-plan, branché une fois et oublié. Les autorités américaines avertissent que cette indifférence est précisément ce qui rend les routeurs une cible de plus en plus attrayante pour des hackers liés à des États, une nouvelle mise en garde décrivant une campagne active menée par des acteurs liés à la Russie pour détourner discrètement des routeurs domestiques et de petites entreprises ordinaires à travers le monde.

L'objectif, selon cette mise en garde, n'est pas principalement d'espionner directement le propriétaire du routeur, mais de transformer les appareils compromis en ce que les chercheurs en sécurité appellent un réseau de « proxys résidentiels ». En acheminant le trafic malveillant via des milliers de connexions internet domestiques ordinaires plutôt que via une infrastructure d'attaque dédiée, les hackers peuvent faire passer leur activité pour du trafic web grand public normal, contournant les systèmes de détection qui signalent une activité suspecte provenant d'adresses IP de centres de données connues.

Les réseaux de proxys résidentiels ont aussi des usages commerciaux légitimes, notamment certains services de publicité et d'études de marché qui rémunèrent les consommateurs pour l'accès à leur connexion internet, ce qui a contribué à normaliser un marché pour ce type d'acheminement de trafic et rendu les versions malveillantes plus difficiles à distinguer des versions légitimes au premier coup d'œil. Les hackers liés à des États exploitant des routeurs compromis dans le même but bénéficient de l'avantage supplémentaire de n'avoir besoin ni du consentement ni de la connaissance du propriétaire de l'appareil.

Cette technique offre un avantage particulier pour les opérations d'espionnage et de perturbation : un trafic semblant provenir d'une adresse résidentielle ordinaire dans un pays occidental a beaucoup moins de chances de déclencher le type de blocage automatisé auquel serait confronté un trafic provenant de plages de serveurs hostiles connues. Cela fait des routeurs domestiques détournés un terrain de préparation utile pour atteindre des cibles sensibles, y compris des réseaux gouvernementaux et des systèmes d'infrastructures critiques, sans révéler immédiatement la véritable origine d'une tentative d'intrusion.

Les autorités affirment que les routeurs ciblés sont fréquemment des modèles plus anciens ayant cessé de recevoir des mises à jour de sécurité de leurs fabricants, ainsi que des appareils fonctionnant toujours avec les mots de passe administrateur par défaut d'usine, jamais modifiés après l'installation. Ces deux situations sont répandues chez les utilisateurs domestiques, qui n'interagissent généralement avec un routeur que lorsque internet cesse de fonctionner, plutôt que de le traiter comme un élément d'infrastructure nécessitant le même entretien de sécurité qu'un ordinateur ou un téléphone.

Les petites entreprises sont exposées de manière similaire, s'appuyant souvent sur des routeurs grand public plutôt que sur des équipements réseau professionnels, sans personnel informatique dédié surveillant les mises à jour de firmware ou les changements de configuration inhabituels. Cette combinaison d'accès réseau précieux et de supervision minimale fait des routeurs de petites entreprises un terrain intermédiaire attrayant pour les attaquants, entre des réseaux d'entreprise difficiles d'accès et des connexions domestiques individuelles moins utiles.

Les défenses recommandées, selon la mise en garde, ne sont ni exotiques ni coûteuses. Changer le mot de passe administrateur par défaut du routeur pour un identifiant unique et robuste referme immédiatement l'un des points d'entrée les plus couramment exploités. Maintenir le firmware à jour, que ce soit via des mises à jour automatiques lorsque le routeur les prend en charge ou par des vérifications manuelles périodiques, ferme des vulnérabilités connues que les attaquants recherchent activement sur internet. Désactiver l'accès d'administration à distance, une fonctionnalité que beaucoup de routeurs livrent activée par défaut, supprime une voie directe permettant aux attaquants d'atteindre le panneau de contrôle de l'appareil depuis l'extérieur du réseau domestique.

Les chercheurs en sécurité notent que ce type de compromission de routeur peut être difficile à détecter pour un utilisateur moyen, car un appareil détourné continue généralement de fournir un service internet normal à son propriétaire tout en acheminant discrètement du trafic malveillant supplémentaire en arrière-plan. Cette invisibilité fait partie de ce qui rend la technique efficace pour les attaquants et explique pourquoi les autorités misent sur la sensibilisation du public plutôt que de compter uniquement sur les utilisateurs pour remarquer une anomalie.

Les fournisseurs d'accès à internet ont également un rôle à jouer, selon les experts en sécurité, car beaucoup continuent de fournir des routeurs aux clients sans imposer de changement de mot de passe à l'installation ni proposer d'invites claires pour les mises à jour de firmware pendant la durée de vie opérationnelle de l'appareil. Certains fournisseurs ont commencé à imposer des politiques de mise à jour obligatoire et des réinitialisations de mot de passe par défaut, bien que l'adoption reste inégale selon les acteurs du secteur.

Pour la plupart des utilisateurs domestiques, le message sous-jacent est simple selon les autorités, même s'il va à l'encontre d'habitudes bien ancrées : un routeur mérite la même attention de sécurité de base que tout autre appareil connecté à internet, et non le traitement « on l'installe et on l'oublie » qu'il reçoit habituellement, d'autant plus que les campagnes de piratage liées à des États s'appuient de plus en plus précisément sur ce type de négligence pour opérer sans être détectées.

Cet article est un résumé éditorial assisté par IA basé sur Ars Technica. L'image est une photo d'archive de Brett Sayles sur Pexels.

À lire ensuite

Un gros plan de puces mémoire montées sur une carte de circuit imprimé
Plus dans Tech

Pénurie de puces mémoire : pourquoi elle fait chuter les expéditions de smartphones

Une pénurie mondiale de puces mémoire pèse sur la production de smartphones, faisant chuter les expéditions globales à des niveaux historiquement bas, alors même qu'Apple et Samsung, disposant de l'échelle nécessaire pour sécuriser leur approvisionnement, gagnent en part de marché relative. Les analystes attribuent cette tension à la demande de puces mémoire des centres de données d'IA.

Ars Technica