Votre routeur Asus fonctionne tranquillement dans son coin, votre connexion Internet fonctionne parfaitement, et pourtant… vous pourriez faire partie des 9 000 utilisateurs dont l’appareil a été secrètement compromis. Une cyberattaque frappe actuellement ces routeurs, et le plus inquiétant ? Elle reste totalement invisible.
Cette découverte de GreyNoise, entreprise spécialisée en cybersécurité, révèle une campagne de piratage particulièrement efficace. Les cybercriminels ont réussi à infiltrer des milliers de routeurs sans laisser la moindre trace suspecte. Pas de ralentissement, pas de dysfonctionnement, rien qui puisse alerter les propriétaires.
Pour aller plus loin
Comment sécuriser votre smartphone, votre tablette ou votre PC ? Le guide ultime !
L’art de l’intrusion invisible
Pour comprendre cette attaque, il faut s’intéresser à sa mécanique particulièrement ingénieuse. Les pirates ne procèdent pas comme dans les films : pas de codes qui défilent sur écran noir, mais une approche méthodique et patiente.
Tout commence par une phase de reconnaissance. Les attaquants testent différentes combinaisons de mots de e pour forcer l’accès aux routeurs, en utilisant des techniques d’évasion encore inconnues des experts en sécurité. Une fois cette première porte franchie, ils exploitent une faille référencée CVE-2023-39780, qui leur permet de prendre le contrôle total de l’appareil.
Mais voici où l’opération devient vraiment avancée : au lieu d’installer un virus classique que les antivirus pourraient détecter, ils optent pour une approche beaucoup plus subtile. Ils activent simplement un service d’accès à distance (SSH) sur un port inhabituel et glissent discrètement leur propre « clé d’accès » dans une zone de mémoire particulière du routeur.
Voici la nouvelle station électrique portable de Bluetti : l’Apex 300. Pour le camping, les coupures électriques ou la vie hors réseau : elle peut alimenter tous les appareils !
Cette zone, appelée NVRAM, présente une caractéristique spéciale : elle conserve ses données même quand vous redémarrez votre routeur ou installez une mise à jour.
Cette infrastructure piratée n’est destinée à voler vos données personnelles ou à espionner vos habitudes de navigation. Les chercheurs soupçonnent un objectif bien plus ambitieux : la construction d’un botnet massif.
Un botnet, c’est un réseau d’appareils compromis qui obéissent aux ordres d’un maître-marionnettiste. Avec 9 000 routeurs déjà sous contrôle et ce nombre qui continue de croître, les cybercriminels pourraient bientôt disposer d’une armée numérique capable de mener des attaques coordonnées.
Le profil de cette opération évoque les groupes APT (Advanced Persistent Threat), ces organisations de pirates particulièrement bien organisées qui opèrent généralement pour des objectifs stratégiques à long terme. Leur signature ? Une discrétion absolue, l’utilisation exclusive d’outils système légitimes, et la désactivation systématique des journaux qui pourraient trahir leur présence.
Pour aller plus loin
Les premiers gestes à avoir pour bien sécuriser ses objets connectés à la maison
Comment démasquer l’intrus silencieux
La bonne nouvelle ? Asus a corrigé la faille exploitée dans ses dernières mises à jour. La moins bonne ? Si votre routeur était déjà compromis avant l’installation du correctif, la porte dérobée reste active.
Heureusement, quelques vérifications peuvent vous aider à détecter une intrusion. Rendez-vous dans les paramètres avancés de votre routeur et vérifiez si l’accès SSH est activé, particulièrement sur le port 53282. Cette configuration est inhabituelle, il se peut que rien ne soit activé par défaut.
Plus technique mais tout aussi important : allez vérifier le contenu du fichier « authorized_keys » qui peut révéler des clés cryptographiques que vous n’avez jamais installées.
GreyNoise recommande également de bloquer immédiatement quatre adresses IP associées à cette campagne : 101.99.91.151, 101.99.94.173, 79.141.163.179 et 111.90.146.237. Considérez-les comme des adresses à éviter absolument.
Si vous soupçonnez que votre routeur a été compromis, une seule solution s’avère totalement efficace : la réinitialisation complète. Cette opération efface tout, y compris les traces laissées par les pirates dans la NVRAM.
Et puis, le conseil qui est toujours bon à prendre : faites les mises à jour du firmware quand elles sont proposées.
Pour aller plus loin
Comment sécuriser votre smartphone, votre tablette ou votre PC ? Le guide ultime !
Utilisez-vous Google News (Actualités en ) ? Vous pouvez suivre vos médias favoris. Suivez Frandroid sur Google News (et Numerama).
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix