300 000 routeurs infectés par un malware

Par:
fredericmazue

ven, 07/03/2014 - 12:45

Mauvaise période pour les routeurs. Début février, des chercheurs de l'Internet Storm Center du SANS Institute ont découvert l'existence d'un ver qui infecte certains routeurs Syslink. Cette semaine, ce sont des experts en sécurité de Cymru qui ont mis au jour une attaque qui visent des routeurs destinés aux petites entreprises et aux particuliers, de marques TP-LINK, D-Link, Micronet ou encore Tenda.

Les experts de Cymru estiment que 300 000 routeurs de par le monde ont été touchés par cette attaque. Plus de la moitié des machines infectées se situeraient au Vietnam, puis en Inde,  en Italie ou encore en Thaïlande principalement. La France n'est pas citée parmi les payé touchés.

Les routeurs sont infectés via différentes failles parfois connues mais non corrigées. Les malwares provoquent une corruption DNS du routeur, ce qui permet ensuite des attaques de type "Man in the middle". Une attaque qui se situe entre le moment où la personne essaie de se connecter à un site via son routeur et le moment où elle atteint ce site.

La corruption DNS permet de rediriger l'internaute vers des sites contrefaits qui peuvent soutirer des informations sensibles à leurs visiteurs, ou des sites contenants des pages malveillantes capables d'injecter cette fois des malwares sur les machines des visiteurs.

Comme le souligne tous les experts en sécurité, les routeurs et autres appareils domestiques "qui s'installent en quelques secondes" vont devenir de plus en plus les vecteurs d'attaques. En effet, leurs utilisateurs ne sont en général pas sensibilisés à la sécurité et les mots de passe qu'ils choisissent sont très faibles quand le mot de passe par défaut n'est pas conservé. D'autre part, les fabricants de ces appareils ne corrigent pas toujours très régulièrement leur firmware.

Les chercheurs de Cymru ont publié un rapport très complet accessible à cette adresse.