C'est une opération de grande ampleur que vient de mener le FBI, en collaboration avec des partenaires internationaux. Un réseau tentaculaire, baptisé par certains experts "le botnet des routeurs résidentiels", a été neutralisé. Ce réseau malveillant exploitait discrètement les failles de sécurité de nos box internet et routeurs, en particulier les anciens modèles considérés "en fin de vie", pour les enrôler dans une armée de machines zombies. Une menace silencieuse qui planait sur nos connexions depuis une vingtaine d'années !
Vieux routeurs, nouvelles menaces : le talon d'Achille de votre réseau
Le mode opératoire de ce botnet était redoutable d'efficacité. Les cybercriminels prenaient pour cible privilégiée les routeurs domestiques et de petites entreprises, avec un penchant particulier pour les appareils anciens. Pourquoi ceux-là ? Tout simplement parce que les routeurs "en fin de vie" ne reçoivent plus de mises à jour de sécurité de la part de leurs fabricants. Ils deviennent alors des proies faciles, truffées de vulnérabilités connues et non corrigées. Une fois le routeur infecté, il était transformé en zombie et rejoignait ainsi une armée de milliers d'autres appareils, il pouvait être utilisé pour une myriade d'activités illégales : lancement d'attaques par déni de service (DDoS), envoi massif de spams, dissimulation d'activités criminelles en servant de relais (proxy), voire vol de données personnelles. Imaginez votre propre routeur participant à son insu à des cyberattaques mondiales !
L'intervention du FBI : un grand coup de balai
Face à l'ampleur de la menace, le FBI a donc décidé de passer à l'action. L'opération, dont les détails précis restent souvent confidentiels pour des raisons de sécurité, a permis de perturber significativement l'infrastructure de ce botnet. Les serveurs ont été désactivés, les noms de domaine saisis, et la tête du réseau interpellée.
Étaient principalement ciblés les routeurs Lunksys E1200, Cisco Valet M10, Cradlepoint E100, Linksys WRT310N mais plus largement tous le matériel abandonné par les constructeurs disposant de failles non corrigées.
Actif depuis 2004, le botnet était proposé à la location sur le DarkWeb sous la forme de services baptisés 5Socks et Anyproxy. Il aura fallu une année d'enquête pour que le FBI mette la main sur les domaines utilisés pour proposer le service, menant a l'arrestation de quatre ressortissants russes et kazakhstanais.
Le botnet était piloté depuis la Turquie et s'agrandissait grâce à la propagation d'une variante du malware TheMoon qui permettait de reconfigurer les routeurs à distance en proxys. Au total, le botnet reposait sur 5 serveurs : 4 échangeaient avec les routeurs via le port 80 tandis que le 5e recevait du trafic en UDP sur le port 1443. Au total, le botnet était composé de plus de 7000 proxys répartis dans 80 pays. La location du service aurait rapporté plus de 46 millions de dollars via des abonnements mensuels proposés entre 10 et 110 dollars.
Votre routeur est-il sûr ? Les bons réflexes à adopter
Cette affaire nous rappelle une chose : la sécurité de notre réseau domestique commence par celle de notre routeur. Alors, que faire pour éviter de devenir une victime ? D'abord, si votre routeur a de nombreuses années au compteur et n'est plus supporté par son fabricant, il est sérieusement temps d'envisager son remplacement. Ensuite, changez toujours les identifiants de connexion par défaut de l'interface d'administration de votre routeur. Appliquez systématiquement les mises à jour du micrologiciel (firmware) dès qu'elles sont disponibles. Utilisez des mots de passe robustes pour votre réseau Wi-Fi. Ce sont des gestes simples, mais qui peuvent grandement compliquer la tâche des pirates cherchant à s'emparer de votre routeur. Restez vigilants !