fbpx

Des hackers à l’assaut des box internet et des routeurs personnels

Les experts en cyber sécurité de Trend Micro alertent sur la recrudescence des tentatives de piratage des box et routeurs. Il faut dire qu’avec 29.9 millions d’abonnements internet actifs en France au premier trimestre 2020 (Source Arcep), et donc autant de box internet, auxquelles il faudrait rajouter le nombre de routeurs, la manne est très intéressante pour les hackers.

Pourquoi est-ce que des hackers voudraient prendre le contrôle de votre box ou de votre routeur ? Pour vous dérober vos dernières photos prisent pendant l’anniversaire de tata Jeanine ? Non, ça ils s’en moquent, ce que les piratent cherchent, c’est à avoir une main mise sur vos objets connectés afin de les intégrer dans leur(s) botnet(s).

C’est quoi un botnet ?

Ce mot est la contraction de « robot » et de « network ». Un botnet est un réseau d’appareils connectés à internet, sous l’emprise d’un tiers, et pilotables à distance. Une fois que l’appareil, ordinateur ou objet connecté, rejoint ce botnet, il est alors qualifié de « zombie ».

Le botnet, une fois qu’il a atteint une taille suffisante est utilisé afin de mener des attaques coordonnées, comme par exemple une attaque DDoS (attaque par dénis de service), ou bien une campagne de spam. Un botnet est rarement utilisé par celui qui l’a créé. Celui, ou plutôt ceux, qui créent un botnet ne le font pas dans le but direct de mener une attaque, mais plutôt dans celui de louer les services de ce réseau zombie. Ainsi n’importe qui disposant d’assez de fonds, peu mener une attaque DDoS contre qui il souhaite, en louant simplement l’infrastructure nécessaire.

Il y a encore quelques années, les botnets étaient très majoritairement constitués de PC, mais l’émergence des objets connectés a changé la donne. Moins protégés, moins surveillés, de plus en plus nombreux, les objets connectés sont un rêve éveillé pour les créateurs de botnets. Et si, quand on parle d’objets connectés, on pense fatalement à des périphériques comme les caméras IP, les imprimantes connectées, ou bien autres serrures, thermostats… les routeurs en eux-mêmes sont également visés par ces attaques.

Ces objets connectés, constituant l’IoT, Internet of Things, sont tellement intéressants pour les cybers criminels, qu’il se déroule actuellement une véritable guerre de territoire pour savoir qui contrôlera ces dits objets. Comme nous le disions, Trend Micro Research a publié une étude sur le sujet, « Worm War: The Botnet Battle for IoT Territory », et note que depuis le début de l’année 2020, les tentatives de piratage des box et routeurs ont été multipliées par 10.

« Une grande majorité de la population dépend de plus en plus des réseaux domestiques dans le cadre de son activité professionnelle ou de ses études ; c’est pourquoi ce qui se passe sur votre routeur n’a jamais été aussi important », Renaud Bidou, Directeur Technique Europe du Sud, Trend Micro.

La recrudescence des attaques

En 2019, de janvier à septembre, 23 millions de tentatives de piratage sur les box et routeurs ont été enregistrées. Mais de septembre à décembre, ce nombre est monté à 249 millions. Et cela n’a pas l’air de fléchir puisque sur le simple mois de mars 2020, ce nombre d’attaques était de 194 millions.

Si le nombre de tentatives de piratage est énorme, il est de plus exponentiel, puisqu’un routeur compromis essaiera de prendre le contrôle des objets connectés lui étant connecté.

Comment ces attaques sont-elles menées ?

« Conscients que nombre de routeurs domestiques comportent des informations d’identification par défaut et ne sont pas suffisamment sécurisés, les cybercriminels ont multiplié les attaques à grande échelle. », Renaud Bidou, Directeur Technique Europe du Sud, Trend Micro.

Il ne faut pas sombrer dans la psychose, si vous avez une hygiène numérique suffisante, vous devez être plus ou moins hors d’atteinte de ces attaques. Car ces dernières reposent sur quelque chose d’assez simple, le postulat que, du moins pour les anciens modèles, les box et les routeurs avaient un nom d’utilisateur et un mot de passe par défaut.

Vous avez forcément vécu ça, vous acheter un routeur (ou un objet connecté), et dans la notice, on vous explique, que, pour paramétrer votre appareil, il faut vous connecter à son interface en ligne, puis vous connecter avec le nom d’utilisateur « admin » et le mot de passe « admin », ou bien « root » et « root », ou bien encore « admin » et la marque de l’appareil en mot de passe. Dans la notice, il est également indiqué que c’est une bonne idée de changer ces identifiants. Et une grande partie du problème vient de là. Laisser aux utilisateurs la responsabilité de devoir changer leur mot de passe… beaucoup ne le font pas.

Pour pallier à cela, deux techniques ont été mises en place par les constructeurs sur les produits plus récents.

La première de ces techniques consistent à générer, en usine, un nom d’utilisateur et un mot de passe unique pour chaque appareil. C’est pourquoi, vous pourrez trouver dans la notice de certains de vos appareils des identifiants comme « BlueBanana », « BigMonkey » ou d’autres trucs bizarres comme ça.

La seconde méthode consiste à obliger l’utilisateur à définir lui-même de nouveaux identifiants lors de sa première utilisation.

Donc, la plupart de ces attaques se résument, finalement, à essayer de se connecter à des routeurs ou box, avec différents identifiants standards. Techniquement, un script génère un pool d’adresses IP, par exemple de 1.1.1.1 à 2.2.2.2 (attention c’est de la simplification, mais ça permet de comprendre), ensuite, le script va essayer de se connecter sur chacune de ces adresses. S’il semble y avoir quelque chose sur l’adresse que le script est en train de traiter, alors, il va essayer de se connecter avec les bons vieux « admin » / « admin », « root » / « root » etc…

Alors, vous allez me dire, donc il faut, qu’il y ait une boxe ou un routeur sur l’adresse que le script est en train de traiter, que l’administration à distance soit activée, que cette box ou ce routeur soit assez ancien pour encore avoir des identifiants par défaut, que ces identifiants n’aient jamais été changés…

Et vous avez raison, dans la majorité des attaques, il faut que tout cela soit réuni pour que le script de l’attaquant arrive à se connecter à votre routeur. Mais, il y a beaucoup de box et de routeurs de par le monde, et beaucoup d’attaquants, et les machines qui mènent ces attaques sont capables de tester énormément d’adresses en peu de temps. Vous l’aurez compris, ces attaques reposent sur le volume de machines ciblées. Si vous testez ne serait-ce que 100 000 IP par jour (ce qui est peut), et que seulement 1% répondent à tous ces prérequis (ce qui est peut aussi), alors vous avez la main sur 1000 routeurs… Ça donne à réfléchir.

Bien entendu, il peut y avoir d’autres types d’attaques, comme celles qui profitent d’une faille dans le firmware du routeur par exemple, mais pour la plupart, il s’agit simplement d’essayer les identifiants par défaut, comme nous l’avons vu.

Plus rarement, il est possible que l’attaquant essai de prendre le contrôle du routeur par Brute Force, mais c’est tout de même plus rare. Si vous ne savez pas de quoi il s’agit, une attaque par Brute Force, va tout simplement essayer toutes les combinaisons de mot de passe possible.

Prenons un exemple, mettons que l’attaquant parte du principe que votre nom d’utilisateur est « admin » (c’est très souvent le cas, puisque si on change le mot passe, on le fait par contre plus rarement pour le nom d’utilisateur). Il n’a donc plus qu’à trouver le mot de passe.

La plupart des mots de passe faisant au moins 4 caractères, l’attaquant va commencer par là et essayer uniquement des mots de passe de cette taille, pour commencer.

Le programme de l’attaquant va donc essayer le mot de passe « aaaa », puis « aaab », puis « aaac » … jusqu’à « zzzz ». Suivant comment le programme attaquant est réglé, il est possible d’intégrer aussi dans les essais, les accents, chiffres et caractères spéciaux. Si aucune des combinaisons ne permet d’accéder à la machine, le script passera à des mots de passe sur 5 caractères et ainsi de suite.

Vous allez me dire que ça représente « des milliards de combinaisons ! » et vous aurez raison, mais plusieurs choses permettent que cela soit tout de même possible. Premièrement, les gens qui vont utiliser un mot de passe du type « Thhv!xrePlA ?^! » sont rares… la plupart des mots de passe vont plutôt ressembler à « Annabelle13 », « Sophie2003 », « motdepasse », « 12345 »… bref, certains sont prévisibles, les programmes essayant d’enter sur votre machine vont donc, en premier lieux, essayer des combinaisons possibles, on parle d’attaque par dictionnaire.

Comme le nom de l’attaque l’indique clairement, le script malveillant va essayer d’entrer comme mot de passe, la liste des mots de passe les plus utilisés, une liste est appelée un dictionnaire. Une fois que les mots de passe les plus utilisés auront été tous essayés, le script va passer, par exemple, à un dictionnaire des prénoms, puis a une combinaison de prénoms et d’années, sur deux ou quatre caractères… si tous les dictionnaires préconçus (toutes les listes) ont échoué, le script peut passer au vrai dictionnaire, et ainsi essayer tous les mots d’une langue, voire de plusieurs langues. Si votre mot de passe est « ArbresEtFleurs » une attaque par dictionnaire devrait le trouver, même si votre sésame est un peu plus complexe.

Comment se protéger ?

Comme nous l’avons vu, si votre routeur est assez récent, il est très possible que vous ayez déjà changé son mot de passe. Si vous possédez un modèle plus ancien, il est temps de le faire.

Ce que je vous conseille :

Changez votre mot de passe pour quelque chose d’assez complexe, au minimum 10 caractères avec des chiffres, des lettres minuscules et majuscules et des caractères spéciaux. Si vous êtes en manque d’imagination, vous pouvez générer des mots de passe de ce type sur le site de la CNIL.

Si vous avez peur d’oublier ce mot de passe, une bonne technique est d’utiliser des phrases de passe, facile à retenir, dont vous ne garderez que les premières lettres de chaque mot. Par exemple, « Les Oiseaux Chantent Quand Il Fait Beau, Mais Pas Quand Il Pleut » donnerait « LOCQIFB,MPQIP ». On remplace la virgule par un slash (par exemple) et on met la première partie en minuscules, et on obient « locqifb/MPQIP » ce qui est déjà un bien meilleur mot de passe, et de plus, facile à retenir.

Comme nous l’avons vu, si les mots de passe sont assez souvent changés, ce n’est pas souvent le cas des noms d’utilisateurs. Ne pas changer le nom d’utilisateur, c’est simplifier par deux la tâche de l’attaquant…

C’est donc une bonne idée d’en choisir un nouveau. Bien entendu, vous éviterez « admin », « root », « administrateur », la marque de votre matériel, votre prénom…

Ensuite, une autre chose très importante est de maintenir à jour le firmware de votre routeur. Simplement car les failles existent, et que les fabricants les patchent (les corrigent), dans les mises à jour du logiciel des routeurs.

Dernier conseil, si vous n’en avez pas besoin coupez tout simplement (en plus du reste), l’administration à distance de votre routeur. C’est-à-dire que l’interface en ligne ne sera accessible que depuis une machine connectée à votre réseau local.

Vous pouvez, en plus, restreindre l’accès à cette interface en ligne à une ou deux machine de votre réseau, en indiquant quelles adresse MAC est autorisée à se connecter.

Si vraiment, vous devez accéder à votre routeur depuis l’extérieur, la meilleure des manières de faire est alors de n’autoriser la connexion que depuis le réseau local, puis d’accéder à votre réseau local via un VPN.

Il ne faut pas, comme nous le disions au début de l’article, tomber dans la psychose, mais il ne faut pas pour autant totalement négliger votre sécurité informatique. Il est important d’adopter une politique de mot de passe fort, et de maintien à jour de vos différents appareils. Juste avec ces deux points, vous éviterez 99% des attaques.

  • septembre 9, 2020
S’abonner
Notifier de
0 Commentaires
Inline Feedbacks
Voir tous les commentaires
0
Nous voulons connaitre votre avis, commentez !x
()
x