2

Comment se déroule une attaque classique sur un routeur domestique ?

Tout se passe bien depuis des mois ou des années avec votre installation réseau actuelle. Vous êtes très content de sa disponibilité et de ses performances générales, jusqu’au jour où…

Impossible de vous connecter à Internet, ou alors, vous commencez à remarquer de petites choses, comme par exemple que votre routeur semble être utilisé en permanence, ou bien vous recevez une lettre de mise en garde de la part de la HADOPI alors que vous ne téléchargez pas. Même Google peut s’y mettre et vous informer qu’en raison d’un trop grand nombre de requêtes, vous devez remplir un Capcha avant de d’accéder à leurs services.

Ces symptômes peuvent être révélateur d’un routeur ayant été compromis. Comprenez par là d’un routeur ayant été hacké. Au moindre doute il faut commencer à s’inquiéter d’un possible hacking du routeur ou de la box internet car les répercussions peuvent être gigantesques.

Pourquoi une personne malveillante pourrait chercher à pirater votre routeur ?

Les raisons peuvent être multiples, mais elles tournent le plus souvent autour d’une motivation financière. Cette motivation financière peut trouver sa source dans la revente de vos données, dans leur exploitation, ou plus prosaïquement, dans le vol de certaines de vos coordonnées bancaires.

En ayant un accès à l’interface d’administration de votre routeur, le hacker va en effet avoir la main sur plusieurs paramètres critiques. C’est pourquoi, généralement, l’attaquant essaiera de ne pas divulguer sa présence. En restant invisible, il garantit que sa main mise perdure.

Le premier point critique est l’adresse DNS. Nous l’avons déjà expliqué plusieurs fois dans nos colonnes, mais pour rappel le DNS est la technologie qui met en relation un nom de domaine et une adresse IP (pour faire simple). Cela signifie, que c’est ce serveur qui va indiquer à votre ordinateur, quand vous tapez http://google.fr qu’il faut se rendre à 216.58.201.227. Le serveur DNS est donc une sorte d’annuaire géant regroupant les adresses IP de milliers, voire de millions de noms de domaines.

Imaginons maintenant que cet hacker dispose de son propre serveur DNS. C’est assez simple à mettre en place si vous avez quelques connaissances techniques, par exemple, je dispose de mon propre serveur DNS tournant sur un Raspberry Pie. Il pourrait très bien, tout laisser en place, pour que le serveur soit fonctionnel et que vous ne vous doutiez de rien, mais tout de même changer quelques entrées. Vous devez commencer à voir où je veux en venir.

Par exemple, ce malfaiteur pourrait changer toutes les redirections concernant les banques. De votre côté, dans votre navigateur, vous tapez Société générale (par exemple), mais au lieu de vous retrouver sur le site de la banque, vous accédez à son clone, hébergé sur un serveur appartenant au pirate. De là, vous allez naturellement entrer vos identifiants, qui seront interceptés. Je vous laisse imaginer la suite.

Tous les sites pouvant être redirigés grâce à un serveur DNS, ce ne sont pas que vos informations bancaires qui pourraient être menacées, mais l’intégralité de vos informations de connexion. Comptes de streaming vidéo, audio, identifiants de réseau sociaux, mots de passe professionnels etc.

La personne mal intentionnée pourrait également, en ayant un accès à votre routeur, capturer les données qui transitent dessus grâce à certains logiciels fait pour cet usage. De là, avec de la patience, il est parfois possible de déchiffrer certaines trames afin d’en extraire des données intéressantes pour le pirate. Même si la généralisation du protocole https aide à limiter ce risque, il peut encore exister, et de nombreux sites n’utilisent pas encore ce protocole de chiffrement en standard.

Et dans le cas de cette interception de données, ce ne sont pas forcément des informations utilisables immédiatement qui sont recherchées. Mais toutes les informations qui pourraient permettre ce que l’on nomme le social engineering. Si l’individu découvre le prénom de vos enfants, leur date de naissance, le nom de votre animal de compagnie, ou tout autre informations privée, il lui sera bien plus facile d’essayer de cracker certains de vos mots de passe.

Bref c’est une très mauvaise chose que de laisser un inconnu pourvu de milles mauvaises intentions lire vos trames http.

Bien entendu, vous n’avez pas forcément à faire dans ce genre de cas à des personnes issues du « grand banditisme », ce peut aussi être un jeune qui s’amuse en s’imposant des chalenges, et la répercussion peut être une simple perte d’Internet. C’est pénible, mais moins dangereux.

A lire aussi : 10 menaces de sécurité en ligne les plus courantes

Tout ceci est affreux, mais comment le pirate s’y prend-t-il ?

Connaitre la méthode utilisée, du moins, la plus fréquente, va permettre de la comprendre, et donc de s’en protéger très simplement. Et c’est bien cela le but premier de cet article. D’ailleurs, sachez-le dès maintenant, nous ne cautionnons pas du tout ce genre d’agissements, et nous ne donnerons pas suffisamment d’informations pour permettre de mener une telle attaque en l’état.

Toute cette attaque repose sur une seule chose, le mot de passe d’administration de votre routeur. Même si cela tend à changer, la plupart des appareils neufs, achetés dans le commerce, dispose d’un mot de passe d’administration générique. Dans le mode d’emploi, on vous explique que lors de la première utilisation il faudra se connecter à l’interface d’administration avec l’identifiant et le mot de passe « admin » ou « root » par exemple. Charge à vous ensuite de changer ces identifiants. C’est bien là qu’est le problème, peu d’utilisateurs le font réellement.

Aujourd’hui les choses changent, et les routeurs, répéteurs, bornes wifi et autres box ont plutôt tendances à posséder une étiquette sur laquelle et nom d’utilisateur et un mot de passe unique sont inscris. Cela rendant par là-même inopérante l’attaque que je vais vous décrire. Mais de très très nombreux routeurs et autre matériel réseau avec des identifiants génériques sont encore en place chez les particuliers, et c’est autant de proies pour ceux qui pratiquent cette attaque.

Revenons à nos moutons, comment se passe cette attaque ? Et bien en réalité, ce n’est pas très complexe, et un enfant de 10 ans possédant le savoir-faire et le matériel pourrait la mener à bien.

Dans un premier temps, il va falloir scanner des adresses IP afin de détecter des proies potentielles, comprenez des routeurs dont l’interface d’administration est accessible depuis l’extérieur du réseau privé. Je ne vais pas vous indiquer quel port il faut scanner, même si cette information est très simple à deviner ou à trouver.

Bref, à l’aide d’un logiciel spécialisé dont nous tairons le nom, nous allons scanner une plage d’adresses IP à la recherche de certaines ayant ce fameux port ouvert. Vous en trouverez très rapidement un très grand nombre, même sur une plage d’adresse pas trop grande. Et cela se fait en quelques minutes seulement. Quand vous avez quelques adresses avec le port ouvert, vous pouvez arrêter votre scan.

Ensuite, il suffit de se rendre sur la première adresse pour tomber généralement sur la page d’administration du routeur. Cette page est bien entendu protégée par un mot de passe, mais les fabricants ont généralement la mauvaise idée de mettre bien en évidence sur cette page de connexion leur nom ainsi que le modèle du routeur.

L’attaquant, muni simplement d’un navigateur internet, va donc tout simplement entrer cette marque et ce numéro ou nom de modèle dans Google à la recherche du mode d’emploi de l’appareil. De ce document, il retirera les identifiants génériques de connexion.

Il n’y a plus qu’à les essayer ! Si ça ne fonctionne pas, le hacker passe à l’adresse IP suivante et ainsi de suite. Généralement, on trouve vraiment très rapidement un routeur accessible depuis l’extérieur qui a conservé les identifiants par défaut. Ce n’est qu’une affaire de quelques minutes. Surtout qu’avec le temps, la liste de ces mots de passe peut-être compiler au sein d’un même document, rendant ainsi inutile l’étape de la recherche des identifiants. Pire, il existe même des scripts, achetables sur le Dark Web qui automatises totalement toute la procédure. Le script scan une plage d’adresses données, identifie le routeur et essaie les mots de passe par défaut, sans intervention humaine. Là ce sont des centaines de routeurs qui peuvent être accéder sur une même journée.

Et même si le numéro de modèle n’est pas clairement indiqué sur la page de connexion, il est possible de le connaitre. Rien de plus simple même puisqu’il suffit d’entrer n’importe quels identifiants pour voir apparaître le message de refus, lequel message comportant souvent le type de routeur… Par exemple, « TP-91512 refuse la connexion, identifiants erronés ! », voilà vous savez qu’il s’agit d’un routeur TP-91512…

Mais alors comment faire pour se protéger ?

Je pense que vous l’aurez compris de vous-même, le plus simple est de changer les identifiants fournis par défaut. Si vous venez d’acheter votre routeur, ce ne sera pas la peine car comme je le disais précédemment ces identifiants sont uniques sur les nouveaux modèles. Ils sont formés de mots aléatoires accolés ensemble pour l’identifiant, comme par exemple « Kind_turttle », ou « hapy-rabbit », « blue.home », et d’un mot de passe constitué d’une suite aléatoire de plusieurs caractères.

Si vous possédez encore un ancien routeur (attention, même un routeur d’un an d’âge peut encore fonctionner sous l’ancien système), il faut donc changer l’identifiant et le mot de passe de la page d’administration. Cela se passe dans cette même interface, généralement dans l’onglet « sécurité » ou « administration ». Évitez tous les identifiants connus du monde de l’informatique tels que « root », « admin », « administrateur », « administrator » … et choisissez un mot de passe d’au moins 7 caractères comprenant des minuscules, des majuscules et des caractères spéciaux ( ?,. ;/ :§ !…). Et par pitié, choisissez un mot de passe plus complexe que « motdepasse123 » (c’est encore aujourd’hui l’un des mots de passe les plus utilisés sur internet). Si vous pouvez créer un mot de passe qui ne veut rien dire, qui n’est pas prononçable et qui comporte des caractères spéciaux, c’est encore mieux (exemple : « 4457/-+PLceer »)

Mon article sur comment choisir un mot de passe wifi.

Mais il y a un autre paramètre à prendre en compte, l’accessibilité de votre interface d’administration depuis l’extérieur, est-ce que ce port à réellement besoin d’être ouvert ? Mis à part certains besoins spécifiques, j’aurai tendance à dire, que pour la plupart des particuliers, cela ne représente pas grand intérêt… Vous comptez réellement disposer de la possibilité de changer votre clé WIFI depuis l’autre bout du monde ? Vous voulez vraiment avoir la main sur votre contrôle parental quand il n’y a personne chez vous ? Avouons-le cela ne représente pas grand intérêt !

Il est donc fortement conseillé de rendre inaccessible l’interface d’administration depuis internet. Et là encore cela se passera au sein de cette interface, encore une fois probablement dans l’onglet « sécurité ».

Si vous souhaitez encore plus sécuriser l’accès à cette interface, il existe un moyen ultime, bien que peut-être non nécessaire à part pour les plus paranoïaques. Le filtrage par adresse MAC. L’adresse MAC est l’adresse physique d’une carte réseau. Il ne faut pas la confondre avec l’adresse IP, l’adresse MAC elle est unique (en théorie), c’est-à-dire que même deux cartes réseaux de la même marque, du même modèle, situées au même endroit et connectées au même réseau local auront deux adresses MAC différentes.

Les routeurs permettent de n’autoriser l’accès qu’aux seules adresses MAC clairement spécifiées dans l’interface d’administration. Cela est très sécuritaire, mais a le désavantage de devoir entrer manuellement toutes les adresses physiques des périphériques de votre maison qui auront besoin de se connecter à Internet. De plus, pour que la sécurité soit assurée par cette technique il ne faut pas que l’attaquant ait accès matériellement à l’un des périphériques de votre réseau ou à votre réseau wifi. Car de là, il pourrait découvrir l’une des adresses MAC autorisées, et s’en servir pour faire ce que l’on appelle du spoofing, c’est-à-dire remplacer « logiciellement » l’adresse MAC de l’appareil servant à l’attaque par l’une de celles de vos appareils autorisés.

Restons simple et changeons juste les identifiants de connexion pour quelque chose d’unique, et si vous n’avez pas réellement besoin d’accéder à votre routeur quand vous n’êtes pas chez vous, coupez également cette option. C’est tout ce qu’il suffit de faire pour se protéger de ce type d’attaque simple mais très fréquente. Car, oui peut être que je ne vous l’ai pas dit, mais des bots (robots logiciels) tentant cette attaque, il en existe des milliers et vous avez très certainement déjà été soumis à un examen de votre routeur par l’un de ces petits logiciels.