Les attaques contre les routeurs domestiques ont été multipliées par 10 ces dernières semaines selon une nouvelle étude Trend Micro. Les cybercriminels se livrent une guerre pour prendre le contrôle des box vulnérables et les intégrer au sein de botnets monétisés pour porter des cyberattaques d’envergure.

Une nouvelle étude publiée par Trend Micro Research montre une recrudescence des attaques ciblant et exploitant les routeurs domestiques. Rappelons que les Box des opérateurs entrent dans cette catégorie d’appareil. Ces attaques ne sont pas nouvelles. Depuis plusieurs années déjà, les spécialistes de la cybersécurité alertent le grand public contre les risques liés à ces boîtiers qui assurent la connexion du foyer à Internet. Car les routeurs actuels sont des machines finalement assez performantes avec de la mémoire et un processeur. Ils présentent un intérêt particulier car ils sont facilement accessibles et directement connectés à Internet. Dès lors de plus en plus de cyberattaquants tentent désormais de les compromettre pour en prendre le contrôle et les transformer en « botnet IoT ». Autrement dit, une fois compromis, ces routeurs infectés sont monétisés et utilisés pour porter des attaques par déni de service, diffuser du spam, ou parfois même faciliter des attaques contre les entreprises qui emploient les membres du foyer.

« Une grande majorité de la population dépend de plus en plus des réseaux domestiques dans le cadre de son activité professionnelle ou de ses études ; c’est pourquoi ce qui se passe sur votre routeur n’a jamais été aussi important », explique Renaud Bidou, Directeur Technique Europe du Sud, Trend Micro. « Conscients que nombre de routeurs domestiques comportent des informations d’identification par défaut et ne sont pas suffisamment sécurisés, les cybercriminels ont multiplié les attaques à grande échelle. Des attaques qui se traduisent pour l’utilisateur par un détournement de sa bande passante et un ralentissement de son réseau. Comme nous avons déjà pu le voir par le passé, ces botnets peuvent totalement détruire le site web des entreprises ciblées par ces attaques. »

Trend Micro a ainsi relevé une multiplication par 10 des attaques contre les routeurs : 23 millions de tentatives sur les 9 premiers mois de l’année 2019 contre 249 millions de tentatives sur les 3 derniers mois. Sur le simple mois de mars 2020 (en plein début de confinement), Trend Micro a même enregistré 194 millions de connexions par « brute force ».

Trend Micro a également détecté à la mi-mars 2020, en une semaine, près de 16 000 routeurs infectés tentant d’ouvrir des connexions Telnet sur d’autres appareils IoT, une attaque classique pour prendre le contrôle d’autres appareils intelligents du réseau à partir d’un routeur compromis.

L’étude démontre qu’il existe un marché noir florissant des malwares et de location de botnets. Des groupes de cybercriminels se livreraient une vraie cyberguerre pour disposer du réseau botnet le plus vaste et se battent entre eux pour prendre le contrôle des appareils. Kaiten, Qbot, JenX, ou leur ancêtre toujours actif Mirai, sont les nouveaux Botnets qui se livrent bataille au détriment des internautes.

Face à cette menace grandissante, Trend Micro formule plusieurs recommandations à destination du grand public :

  • Protéger l’accès à la Box avec un mot de passe personnalisé complexe  fort, comportant lettres, chiffres et caractères spéciaux. Lorsque c’est possible, ne pas utiliser le login « admin » mais un autre nom moins générique. Penser également à changer le mot de passe de temps en temps.
  • Contrôler régulièrement que le routeur exécute le dernier firmware, et le mettre à jour le cas  échéant.
  • Pour ceux qui ont un minimum de compétences techniques en la matière, vérifier régulièrement les  fichiers  journaux  consignés  par  le  routeur  pour  identifier  tout  comportement  anormal sur le réseau.
  • N’autoriser  les  connexions  au  routeur  qu’à  partir  du  réseau  local  en  activant  le  filtrage  par  adresse MAC des appareils connus du domicile.

Au final, l’important est de ne jamais perdre de vue que la Box de l’opérateur, ou le routeur qui vous connecte à Internet, n’est pas un appareil anodin. C’est une machine sophistiquée, avec ses failles et des capacités d’action, directement exposée à Internet, qui, si elle est compromise, expose aux attaques tous les appareils qui y sont connectés (PC, tablettes, smartphones, enceintes connectées, appareils domotiques, smart devices, etc.) et tous les utilisateurs.


Source :
Worm War, The Botnet Battle for IoT Territory