Le 5 août, les chercheurs de chez Bad Packets ont observé un comportement inhabituel de la part d’un groupe de cybercriminels dont ils traquent l’activité : il scannait Internet à la recherche de routeurs vulnérables à une faille découverte et réparée en avril. Le lendemain, le Juniper Threat Lab observait le même phénomène. Le dénominateur commun des routeurs ciblés était leur utilisation d’un firmware [un type de logiciel, ndlr] développé par Arcadyan.

Le gang derrière la manœuvre se spécialise dans la vente d’attaques DDoS (par déni de service), qui consistent à faire tomber un appareil en le surchargeant de connexions. Pour y parvenir, il s’appuie sur un botnet, une flotte de milliers d’appareils « zombies » qu’il a constituée et avec laquelle il peut lancer une attaque coordonnée. Plus précisément, le groupe corrompt des objets connectés à l’aide d’un variant du malware Mirai, une souche virale très utilisée.

Image d'erreur

Hacker le routeur permet de s’attaquer au reste du réseau local. // Source : Pixnio

L’objectif de la manœuvre repérée par les chercheurs était justement de trouver de nouveaux appareils à infecter pour renforcer leur botnet. La vulnérabilité scannée, CVE-2021-20090, permet de passer outre les processus d’authentification, et autorise ainsi le hacker à se connecter au routeur à distance. Une fois authentifié, l’attaquant va pouvoir lancer son propre code sur la machine. Dans le jargon on parlera d’une RCE (Remote Code Execution) : concrètement, le hacker va pouvoir manipuler l’appareil à sa guise depuis chez lui, et s’en servir comme plateforme de diffusion du variant de Mirai. Il pourra accéder à tous les objets connectés du réseau local, et tenter de les corrompre.

Des millions d’appareils concernés

Les routeurs sont des cibles de choix puis qu’ils sont en charge de la passerelle entre Internet et votre réseau Wi-Fi : ce sont eux par exemple qui sont en responsables de votre réseau Wi-Fi. C’est une des raisons qui explique que la CVE-2021-20090 était notée 9,9/10 sur l’échelle de criticité, en plus de sa facilité d’exploitation.

Comme le détaille le Juniper Threat Lab, le firmware Arcadyan vulnérable équipe 20 modèles de routeurs de 17 marques différentes, dont Asus, Orange, Verizon ou encore Vodafone. Autrement dit, des millions de routeurs, présents dans les foyers de dizaines de pays différents, sont vulnérables à l’attaque. Et ces millions de routeurs donnent eux-mêmes un accès à des dizaines de millions d’appareils connectés. Mais d’après le tableau présenté par les chercheurs, les modèles de box Internet français seraient épargnés par la faille. La box d’Orange concernée, la Livebox Fibra, n’est par exemple utilisée qu’en Espagne.

La faille n’était pas exploitée avant que les chercheurs en parlent

La vulnérabilité a suivi un itinéraire pour le moins étrange. L’entreprise Tenable l’a découverte au début de l’année, puis en a parlé publiquement fin avril, après que des correctifs ont été déployés. D’après les chercheurs, la faille existait depuis « au moins 10 ans », c’est pourquoi tant de modèles de routeurs, construits sur la base du firmware d’Arcadyan disponible en marque blanche, y sont vulnérables.

Mais bien que critique et largement répandue, la faille n’avait jamais été exploitée… jusqu’au 3 août. Evan Grant de Tenable a alors écrit un article technique où il détaille sa preuve de concept, sorte de notice explicative de comment il a exploité la vulnérabilité. Il n’en fallait pas plus pour que les cybercriminels s’en emparent et trouvent un moyen de l’appliquer à grande échelle deux jours plus tard, profitant que le firmware des routeurs n’était pas toujours mise à jour.

Certes, le cas précis présenté dans l’article de Grant ne fonctionne pas forcément pour tous les modèles vulnérables. Mais certains cybercriminels ont les compétences en interne pour l’adapter, si tel est le cas.

La bonne nouvelle, c’est que le correctif pour se protéger des hackers existe déjà. Le problème, comme le rappellent les chercheurs du Juniper Threat Lab interrogés par le Bleeping Computer, c’est que la plupart des personnes concernées n’ont même pas connaissance de l’attaque, et ne vont pas déployer le patch.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.