Accueil Expert Les routeurs : nouvelles cibles des cybercriminels

Les routeurs : nouvelles cibles des cybercriminels

Vincent Lavergne
Vincent Lavergne

La sécurité des routeurs est remise en cause par trois affaires récentes : Vincent Lavergne, directeur avant-vente de F5 Networks EMEA Europe du Sud apporte son éclairage.

Plusieurs affaires de sécurité informatique touchant des routeurs ont récemment été dévoilées. La première concerne la découverte par un chercheur en sécurité informatique, d’une vulnérabilité qui toucherait plusieurs dizaines de millions de routeurs à travers le monde (http://malware.dontneedcoffee.com/2015/05/an-exploit-kit-dedicated-to-csrf.html). La seconde concerne une vulnérabilité dans le service d’accès à distance à des périphériques USB intégrés à de nombreux routeurs identifiée par le cabinet SEC Consult (http://blog.sec-consult.com/2015/05/kcodes-netusb-how-small-taiwanese.html). Et enfin, la dernière actualité concerne la découverte par ESET d’un nouveau malware qui cible les routeurs tournant sur Linux pour intercepter le trafic et générer ainsi de faux “Likes” et “Followers” (http://datanews.levif.be/ict/actualite/un-malware-attaque-les-routeurs-linux-pour-obtenir-des-j-aime/article-normal-397139.html). La croissance des attaques visant les routeurs Internet et/ou leurs applications d’administration ne peut donc plus nous échapper. Et ce n’est pas anodin puisqu’elles permettent de prendre le contrôle de millions de machines de manière systématique et, qu’une fois ces machines infectées, les applications sont multiples pour les hackers. Dans le cas présent, l’exemple le plus intéressant est l’usurpation des serveurs DNS, qui permet d’escroquer tous les utilisateurs des routeurs Internet, en redirigeant leur trafic à leur insu vers des sites factices, pour récupérer les mots de passe, etc. Au delà de ce premier objectif, maintes autres applications sont possibles comme par exemple, la génération d’attaques DDoS de grande ampleur (constitution d’un BotNet) à partir de ces machines. Pour s’en prémunir, nous pouvons d’ores et déjà rappeler et recommander aux DSI et RSSI les points suivants :

  • Mettre à jour (et le faire régulièrement) le firmware de son routeur Internet
  • N’activer aucun mode d’administration de ce dernier depuis Internet
  • Ne surtout pas laisser les mots de passe par défaut du routeur.

Cet exemple précis montre également deux choses intéressantes :

  • L’importance de la sécurité des applications Web. F5 en tant que leader du marché du Web Application Firewall permet de se prémunir des attaques de types CSRF, s’il est placé en coupure de l’application visée.
  • L’attrait des hackers pour le protocole DNS qui représente à la fois la clef de voute et le talon d’Achille d’Internet. C’est en effet un des protocoles les plus utilisés par les hackers pour générer les attaques de type DDoS et cela démontre la nécessité de renforcer la sécurité de ce protocole.