Le marché des routeurs domestiques ressemble beaucoup au marché des smartphones Android. Les fabricants produisent un grand nombre de périphériques différents sans se soucier de les mettre à jour, ce qui les laisse attaquer.
Comment votre routeur peut rejoindre le côté obscur
Les pirates cherchent souvent à modifier le paramètre du serveur DNS sur votre routeur, en le pointant sur un serveur DNS malveillant. Lorsque vous essayez de vous connecter à un site Web (par exemple, le site Web de votre banque), le serveur DNS malveillant vous invite à consulter un site de phishing. Vous pouvez toujours dire bankofamerica.com dans votre barre d’adresse, mais vous serez sur un site de phishing. Le serveur DNS malveillant ne répond pas nécessairement à toutes les requêtes. Il se peut simplement que le délai d’expiration de la plupart des demandes soit dépassé, puis que les requêtes soient redirigées vers le serveur DNS par défaut de votre fournisseur de services Internet. Des requêtes DNS inhabituellement lentes indiquent que vous pouvez avoir une infection.
Les personnes aux yeux pointus peuvent remarquer qu'un tel site de phishing n'aura pas de cryptage HTTPS, mais beaucoup de personnes ne le remarqueront pas. Les attaques par suppression de SSL peuvent même supprimer le cryptage en transit.
Les pirates peuvent également simplement injecter des publicités, rediriger les résultats de la recherche ou tenter d’installer des téléchargements à l’arrivée. Ils peuvent capturer les demandes de Google Analytics ou d’autres scripts utilisés par presque tous les sites Web et les rediriger vers un serveur fournissant un script qui injecte des annonces. Si vous voyez des publicités pornographiques sur un site Web légitime comme How-To Geek ou le New York Times, vous êtes presque certainement infecté par quelque chose - sur votre routeur ou sur votre ordinateur lui-même.
De nombreuses attaques utilisent des attaques de type CSRF (Cross-Request Request Forgering). Un attaquant incorpore du code JavaScript malveillant dans une page Web. Ce dernier tente de charger la page d’administration Web du routeur et de modifier les paramètres. Étant donné que JavaScript est exécuté sur un périphérique de votre réseau local, le code peut accéder à l'interface Web uniquement disponible sur votre réseau.
Certains routeurs peuvent avoir leurs interfaces d'administration à distance activées, ainsi que leurs noms d'utilisateur et mots de passe par défaut. Les bots peuvent rechercher ces routeurs sur Internet et obtenir un accès. D'autres exploits peuvent tirer parti d'autres problèmes de routeur. UPnP semble être vulnérable sur de nombreux routeurs, par exemple.
Comment vérifier
Le seul signe qu'un routeur a été compromis est que son serveur DNS a été modifié. Vous souhaiterez visiter l'interface Web de votre routeur et vérifier ses paramètres de serveur DNS.
Tout d’abord, vous devez accéder à la page de configuration Web de votre routeur. Vérifiez l’adresse de passerelle de votre connexion réseau ou consultez la documentation de votre routeur pour savoir comment.
Connectez-vous avec le nom d’utilisateur et le mot de passe de votre routeur, si nécessaire. Recherchez un paramètre «DNS» quelque part, souvent dans l'écran des paramètres de connexion WAN ou Internet. Si elle est réglée sur «Automatique», c'est très bien - elle est obtenue par votre fournisseur de services Internet. S'il est réglé sur «Manuel» et que des serveurs DNS personnalisés y sont entrés, cela pourrait très bien poser un problème.
Ce n’est pas un problème si vous avez configuré votre routeur pour utiliser de bons serveurs DNS alternatifs - par exemple, 8.8.8.8 et 8.8.4.4 pour Google DNS ou 208.67.222.222 et 208.67.220.220 pour OpenDNS. Mais, s’il existe des serveurs DNS que vous ne reconnaissez pas, c’est un signe que le malware a changé votre routeur pour qu’il utilise les serveurs DNS. En cas de doute, effectuez une recherche sur le Web pour connaître les adresses des serveurs DNS et vérifiez si elles sont légitimes ou non. Quelque chose comme «0.0.0.0» convient et signifie souvent que le champ est vide et que le routeur reçoit automatiquement un serveur DNS.
Les experts conseillent de vérifier ce paramètre de temps en temps pour voir si votre routeur a été compromis ou non.
Aide, il y a un serveur DNS malveillant!
Si un serveur DNS malveillant est configuré ici, vous pouvez le désactiver et dire à votre routeur d'utiliser le serveur DNS automatique de votre fournisseur de services Internet ou d'entrer les adresses de serveurs DNS légitimes tels que Google DNS ou OpenDNS ici.
Si un serveur DNS malveillant est entré ici, vous pouvez effacer tous les paramètres de votre routeur et le réinitialiser en usine avant de le restaurer - pour votre sécurité. Utilisez ensuite les astuces ci-dessous pour protéger le routeur contre de nouvelles attaques.
Renforcer votre routeur contre les attaques
Vous pouvez certainement durcir votre routeur contre ces attaques - un peu. Si le routeur présente des failles de sécurité que le fabricant n’a pas corrigées, vous ne pouvez pas le sécuriser complètement.
- Installer les mises à jour du micrologiciel: Assurez-vous que le dernier micrologiciel de votre routeur est installé. Activez les mises à jour automatiques du microprogramme si le routeur le propose - malheureusement, la plupart des routeurs ne le font pas. Cela garantit au moins que vous êtes protégé contre les failles qui ont été corrigées.
- Désactiver l'accès à distance: Désactivez l’accès à distance aux pages d’administration Web du routeur.
- Changer le mot de passe: Modifiez le mot de passe pour l’interface Web d’administration du routeur afin que les attaquants ne puissent pas entrer avec celui par défaut.
- Désactiver UPnP: UPnP a été particulièrement vulnérable. Même si UPnP n’est pas vulnérable sur votre routeur, un malware s’exécutant quelque part sur votre réseau local peut utiliser UPnP pour modifier votre serveur DNS.C’est ainsi que fonctionne UPnP: il approuve toutes les demandes provenant de votre réseau local.
DNSSEC est censé fournir une sécurité supplémentaire, mais ce n’est pas une panacée ici. Dans le monde réel, chaque système d'exploitation client ne fait confiance qu'au serveur DNS configuré. Le serveur DNS malveillant pourrait réclamer qu'un enregistrement DNS ne contienne aucune information DNSSEC ou qu'il possède des informations DNSSEC et que l'adresse IP transmise est la véritable.
