Une faille de sécurité majeure sur de nombreux modèles de routeurs récents

Quand on achète un nouveau routeur, plusieurs critères vont motiver notre achat. Pour certains ce sera la qualité et la portée du WiFi, pour d’autres se sera les capacités de priorisation afin de pouvoir faire du gaming dans de bonnes conditions, pour d’autres encore ce seront les fonctionnalités de cloud ou de NAS. Mais tous les acheteurs, vont également être influencés par la sécurité proposée par ce routeur.
La sécurité sur les routeurs
C’est bien normal puisque c’est par le routeur que va passer tout votre flux réseau, montant ou descendant. Comme nous le disions dans un précédent article, c’est pour cela que les routeurs subissent en ce moment même de très larges tentatives de piratage, c’est un périphérique à cibler en priorité si on souhaite s’introduire sur un réseau.
Tout cela, les différents constructeurs le savent très bien, preuve en est que depuis quelques années ils sont nombreux à proposer en standard avec leurs modèles de milieu ou haut de gamme, des suites de sécurité intégrées. Antivirus, logiciel de prévention d’intrusions, etc… Au niveau marketing tout est mis pour que les acheteurs se sentent en sécurité.
Mais est-ce suffisant, assurément non ! Tout simplement car les constructeurs pourront ajouter tous les systèmes de sécurité qu’ils le souhaitent, tant que l’utilisateur aura la main sur le paramétrage du routeur, la sécurité ne sera pas totale. Heureusement que nous avons accès à ce paramétrage, mais peut-être que cela est un peu trop complexe pour les utilisateurs novices. Les constructeurs ont mis en place, dans l’interface d’administration ou dans les applications mobiles, deux modes un normal et un expert. C’est déjà un grand pas en avant, en partant de l’hypothèse qu’un utilisateur novice n’ira pas faire une bêtise dans la partie « expert ».
Donc, les utilisateurs veulent une certaine sécurité, les constructeurs mettent à disposition des dispositifs de sécurité sur lesquels ils communiquent beaucoup, mais du coup, c’est bon ? On est safe ?
Et bien, pas forcément en réalité… Car même dans le cas où un routeur serait utilisé comme il le faut, par quelqu’un connaissant son affaire. Il reste quelque chose qui est difficilement évaluable au niveau de la sécurité : tout ce qu’on ne voit pas dans routeur. Comment a été écris le firmware qui fait tourner l’ensemble des fonctionnalités de votre matériel ? Le noyau linux qui a été utilisé était-il à jour ? Le constructeur propose-t-il des mises à jour assez fréquentes ? Quand une faille de sécurité est découverte, le fabricant de votre routeur l’a comble-t-il rapidement ?…
Tous ces questionnements sont bien légitimes si on veut être certain que notre nouveau routeur sera un allié et non pas une porte d’entrée complètement ouverte sur notre réseau local.
Et bien justement, l’Institut allemand Fraunhofer a publié il y a quelques jours une étude reposant sur 100 routeurs de marque et de gamme différentes reposant sur les failles de sécurité que l’on trouve sur ce type de périphériques. Et on peut dire que ce n’est pas très brillant. L’institut Fraunhofer, de son nom complet Institut Fraunhofer Heinrich-Hertz est un organisme allemand réputé dans le domaine de la recherche en informatique (mais aussi en physique et en électricité).
« Presque tous (ndlr : les routeurs testés) ont été identifiés comme présentant des failles de sécurité, dont certaines très graves » Institut Fraunhofer.
L’étude en question
L’institut a testé pas moins de 117 firmwares de routeurs que vous pouvez trouver sur les étals de vos revendeurs préférés en France et plus généralement en Europe. Ces routeurs (ou plutôt firmwares de routeurs, car l’institut n’a pas eu un accès physique aux différentes machines) appartenaient aux marques D-Link, Linksys, Netgear, Asus, TP-Link, Zyxel, et AVM. En gros, je pense qu’on peut dire : à quasiment toutes les marques populaires vendues par chez nous. Donc pas de jaloux ! Ces tests des différents firmwares, ont été réalisés avec un logiciel interne à l’Institut sur lequel je n’ai pas de détails. Ces instituts utilisent en général des logiciels de PenTesting très pointus pour la plus part faits maison et certainnements introuvable sur le marché…
Certaines marques ne mettant pas à disposition du public les firmwares de leurs routeurs, elles n’apparaissent pas dans l’étude. Il en est de même des firmwares des boxs de FAI, car elles sont fabriquées par différents constructeurs qui eux-mêmes externalisent le développement à des prestataires extérieurs. Autant dire que si l’aspect sécurité des box est reléguée à un sous-traitant, cela doit être encore pire que pour les constructeurs de routeurs qui le font eux-même…
Contrairement à ce que beaucoup d’acteurs du domaine (informatique au sens large) pensent, cette étude n’est pas la première du genre ! Il y a déjà eu plus ou moins la même chose en 2018, avec des résultats assez similaires. Comme vous vous en doutez, si on en parle aujourd’hui, ce n’est pas pour dire : « ah ben, c’est bon, on a refait la même étude en 2020 et maintenant tout est niquel ! ». Non, l’étude dont nous parlons aujourd’hui montre surtout qu’il subsiste beaucoup de problèmes, voir même que rien n’a été réglé depuis 2018.
« Les problèmes vont des mises à jour de sécurité manquantes aux mots de passe facilement déchiffrés et codés en dur, sans oublier les vulnérabilités connues qui auraient dû être corrigées depuis longtemps » Institut Fraunhofer.
Les résultats
On ne va pas tourner autour du pot pendant 107 ans : il y a de bons élèves et des moins bons, voir même des calamités.
Parmi les bons élèves on trouve Asus (mon petit préféré en terme de routeur perso), AVM et Netgear. Quand je dis « bons élèves », c’est par rapport aux autres Firmware testés, en effet même chez ces 3 là, des failles de sécurité ont été trouvées.
Au titre des mauvais élèves, sont cités dans l’étude Zyxel, D-Link et Linksys.
Attention il ne faut pas faire dire à cette étude ce qu’elle ne dit pas : les résultats ne veulent pas dire, par exemple, que Zyxel est une marque à éviter. Pas du tout. Ce que l’étude dit, c’est que chez Zyxel tel modèle de routeur, pose problème au moment de l’étude.
Je continue à vous conseiller ces marques pour deux raisons :
- Certes, je parle de « mauvais élèves ». Cependant, ils ne sont pas loin derrière les premiers de la classe d’après cette étude.
- S’agissant de failles logicielles, il reste possible pour les constructeurs de proposer une mise à jour qui comblera ces lacunes.
Et quels ont été les problèmes qui ont été trouvés ?
En vrac on trouve : des firmwares non mis à jour, des noyaux linux qui ont quasiment 20 ans, des identifiants d’administrateur codés en dur dans le firmware, des clés privées visibles également dans le firmware… Bref, plus de trous que dans un gruyère !
Ce qu’il faut comprendre au niveau des mises à jour, que cela soit d’un routeur ou de tout autre appareils (PC, Smartphone, TV connectées…), c’est qu’elles ne sont pas tout le temps faites pour apporter de nouvelles fonctionnalités. Non, la plupart d’entre elles sont faites pour patcher, c’est-à-dire combler des failles de sécurité. Le process est simple : des observatoires en sécurité ou des experts en sécurité informatique, trouvent une faille (par exemple sur un module particulier de Linux) et publient sur le sujet. Charge ensuite à ceux utilisant ce module de le mettre à jour dans leur application, puis de mettre à jour les appareils qui l’utilisent. En gros, si on dit « Il y a un problème avec tel morceau de code dans telle partie de telle version de Linux », un fabricant doit se procurer la partie du code mise à jour, l’intégrer dans le firmware de sa machine, puis mettre à jour les machines utilisant ce firmware.
Pour parler de façon plus imagée, disons que le firmware est une maison et que les failles de sécurité sont des portes dérobées pour pouvoir entrer sans l’autorisation du propriétaire… Lorsqu’un développeur découvre une de ces portes, il le signale à ses collègues via une publication scientifique. Ainsi toutes les personnes qui vendent des maisons basés sur le même schéma pourront boucher ce « trou » dans la sécurité !
Quand une faille est découverte, ceux qui sont mal intentionnés la découvre en même temps que les fabricants. Ils vont donc chercher à l’utiliser. Moins un firmware est mis à jour et plus un pirate a d’angles d’attaque.
Par exemple : le champion de ce comparatif est le Linksys WRT54GL, la version de Linux sur laquelle se base le firmware date de 2002 (oui, oui) et ce manque de mise à jour représente dans ce cas précis 579 failles de sécurité.
Notre maison a donc plus de 550 portes dérobées et pour chacune d’entre-elle, une publication existe pour expliquer comment en profiter ou comment la corriger… Si les personnes en charge de boucher ces failles n’interviennent pas, ceux qui veulent en profiter vont vite en tirer profit !
Même si votre firmware est à jour, ce n’est pas ça pour qu’il sera exempt d’angle d’attaque. Comme nous le disions : certaines clés privées sont stockées directement dans le firmware (sur certains modèles testés). Si vous voulez vous faire peur, dans le Netgear R6800 l’institut Fraunhofer a trouvé pas moins de 13 clés privées inscrites en dur et en clair. Ces clés privées servent au chiffrement des informations entre le routeur et certains autres services. Si une clé privée est disponible directement dans le firmware, un attaquant pourrait se faire passer pour le routeur et donc réaliser un peu ce qu’il veut sur votre réseau.
Sur les 117 modèles qui sont passés entre les mains de l’Institut allemand, 46 n’avaient pas été mis à jour durant la dernière année.
Quelques conseils
Si vous ne pouvez pas maîtriser toutes les Mises-à-jour logicielles dont nous venons de parler, vous pouvez cependant faire attention à autres choses.
Premier conseil, dès qu’un nouveau firmware est disponible : installez-le ! C’est vraiment très important. Avant de rusher le bouton de mise à jour, prenez deux minutes pour sauvegarder vos paramètres actuels, ça sera très pratique pour la suite.
N’ouvrez pas l’administration de votre routeur sur Internet. Si vous devez vraiment avoir accès à l’interface d’administration quand vous n’êtes pas chez vous, c’est une bien meilleure idée de se connecter à votre réseau local via un VPN, puis ensuite d’accéder à votre routeur. Si vous n’en avez pas la possibilité, attendez simplement d’être chez vous.
N’ouvrez pas de ports dont vous n’avez pas besoin. Vous avez votre propre serveur d’email ? Ok, ouvrez le port SMTP et PoP3 et tout ce dont vous aurez besoin mais pourquoi ouvrir les ports de fonctionnalité XMPP ou LDAP, par exemple, si vous ne comptez jamais l’utiliser. Au pire, vous ouvrirez ces ports si un jour vous décidez de vous en servir.
C’est un peu la même chose avec la pléthore de services qu’offrent les routeurs récents. Si vous n’utilisez pas un service, désactivez-le. Par exemple les fonctionnalités de Cloud, qui communiquent avec l’extérieur.
Le but principal est de réduire au maximum les angles d’attaques possibles en gardant un matériel à jour et en fermant toutes les portes que l’on ne compte pas emprunter.
Si vous êtes du genre à bricoler des trucs sur votre réseau (genre serveur web, d’email, de chat ou tout ce que vous voudrez) n’oubliez pas non plus que le standard est devenu le https, et qu’on peut facilement obtenir des certificats gratuitement de nos jours.
Dernière chose, quand vous avez le choix entre deux versions d’un même service que vous hébergez, choisissez toujours la version sécurisée. Si votre serveur d’emails propose le service SMTP sur le port 25 et un service SSMTP (secure smtp) sur le port 465, coupez carrément le smtp sur le port 25.
Bon là il s’agit beaucoup de conseils pour des utilisateurs un peu avancés mais si vous n’y connaissez pas grand-chose, rappelez-vous simplement que c’est une très bonne idée de mettre à jour votre routeur dès que l’appli y correspondant vous indique qu’une nouvelle version est disponible. Et si à l’installation de votre routeur l’application vous demande si vous voulez pouvoir y accéder depuis Internet, il vaut mieux répondre non.
Comme nous le disions au début de ce texte les problèmes relevés touchent des modèles précis de routeurs appartenant à quasiment toutes les marques populaires. Il est donc difficile voire impossible de prétendre conseiller une marque plus qu’une autre en fonction de cette étude. D’ailleurs, toutes les marques citées sont de bonnes marques avec lesquelles vous ne devriez pas avoir de souci particulier. Espérons seulement, que cette étude si elle est à nouveau réalisée dans un ou deux ans offrira des résultats différents ! Ça m’embêterait d’apprendre que les routeurs qui sortent en ce moment ont encore ce genre de failles.