Un nouveau malware cible plusieurs marques de routeurs, 300 000 appareils déjà touchés

Une attaque informatique touchant les routeurs de plusieurs marques vient d'être pointée du doigt par les experts en sécurité de Cymru. Très dangereuse, elle permet aux pirates de rediriger la navigation Web vers des domaines malveillants.

Les routeurs sont décidément des cibles de choix pour les pirates. Après le malware TheMoon qui cible certains routeurs Linksys, c'est autour d'une nouvelle menace d'être relevée par l'équipe de Cymru (PDF).

Cette dernière touche des routeurs destinés aux petites entreprises et aux particuliers, et vise des machines des marques TP-LINK, D-Link, Micronet ou encore Tenda.

Le procédé employé par les pirates consiste à altérer la configuration DNS des machines pour rediriger les internautes vers des sites falsifiés à leur insu. Il s'agit d'une attaque de type « man in the middle », ce qui signifie que la manœuvre a lieu entre le moment où l'utilisateur touché se connecte sur Internet et le moment où il arrive sur le site voulu.

En somme, l'attaque est transparente et il est difficile de se rendre compte de la supercherie. « Si votre routeur est détourné et se retrouve redirigé vers le serveur DNS de quelqu'un d'autre, vous n'avez aucun contrôle sur ce que vous faites. Vous pouvez vous retrouver sur une version pirate de Google, ou du site de votre banque » expliquent les experts au site PC Pro. Les pirates peuvent ainsi contrôler la navigation et surtout enregistrer de précieuses informations, comme les mots de passe et autres identifiants des internautes touchés : c'était déjà le cas avec le malware DNSChanger, actif jusqu'en 2009 avant que le FBI ne fasse fermer les serveurs.

De nombreuses failles utilisées

Les experts en sécurité ne donnent pas tous les détails des manœuvres utilisées par les pirates pour infecter les routeurs. La situation varie selon les marques et les modèles : du côté de TP-Link, une faille permettant d'injecter un mot de passe vide dans l'interface Web du routeur. D'autres modèles intégrant un firmware Zyxel ZynOS ont vu ce dernier remplacé par une version vérolée grâce à l'utilisation de failles de sécurité connues, mais non corrigées. Dans d'autres cas, un mot de passe trop faible de l'administration a permis à l'attaque de réussir sans difficulté.

Les experts de Cymru estiment qu'environ 300 000 routeurs seraient touchés à l'heure actuelle. Parmi les pays les plus touchés, on trouve le Vietnam, qui recense plus de la moitié des machines infectées, puis l'Inde, l'Italie ou encore la Thaïlande. Plus loin dans le classement on trouve les Etats-Unis, la Russie, le Maroc ou encore l'Espagne. La France n'est jamais citée dans les pays touchés, mais la Belgique, l'Italie et le Royaume-Uni sont évoqués dans une affaire de fraude liée à la banque polonaise mBank, associée à l'attaque.

Vérifier si un routeur est touché

Outre renforcer le mot de passe permettant l'accès à l'administration de son routeur, les experts préconisent de vérifier les paramètres DNS de ce dernier ainsi que la légitimité des adresses IP présentes - parmi les adresses compromises on trouve 5.45.75.11 et 5.45.75.36. Enfin, il faut s'assurer de disposer de la mise à jour la plus récente du firmware, même si ce n'est pas toujours gage de sécurité puisque de nombreuses failles de sécurité persistent au fil des années.