Une mise à jour ne concerne pas que le système d’exploitation et les applications sur votre appareil. N’oubliez pas le routeur qui relaie les données depuis et vers l’appareil en face de vous et sa vulnérabilité potentielle face au logiciel malveillant VPNFilter.
Votre routeur n’est pas inviolable
On a l’habitude de considérer les routeurs comme des switches réseau légèrement plus sophistiqués : il suffit de l’allumer, le brancher à un ordinateur puis de faire le strict minimum et l’on peut repartir à nos tâches quotidiennes. Cette approche pose problème, comme le montre la progression du malware VPNFilter qui affecte les routeurs. En effet, les cybercriminels ont trouvé le moyen de s’immiscer dans un demi-million de routeurs et les manipuler, pour potentiellement lire les messages, altérer des informations, attaquer les appareils derrière le routeur et même transformer l’appareil en vulgaire boîte inutile. Et ce n’est que le début de la mauvaise nouvelle.
Vous n’avez pas fini d’en entendre parler
Les rapports sur les dégâts du logiciel malveillant VPNFilter ne font qu’empirer. Les rapports initiaux faisaient état d’un demi-million d’appareils infectés. Depuis, la liste d’appareils vulnérables s’est considérablement allongée et le compte rendu des dommages potentiels aussi. À la mi-juin, la liste des entreprises ayant produit les appareils vulnérables comprenait ASUS, D-Link, Huawei, Lynksys, MikroTik, Netgear, TP-Link, QNAP storage kit, Ubiquiti, UPVEL et ZTE. La plupart des routeurs vulnérables se situent dans le segment SOHO (appareils de petits bureaux) toutefois, la liste s’étend maintenant au segment des particuliers.
Alors que cette liste des appareils vulnérables continue de s’allonger, il vous revient la responsabilité de vérifier la marque et le modèle de votre routeur, puis de vous informer sur l’état de votre appareil sur Internet.
Les problèmes en bref
VPNFilter aurait existé discrètement depuis deux ans, avant de faire la couverture des médias au printemps dernier, lorsque le FBI a annoncé son démantèlement. Il n’existe aucune nouvelle attaque au jour zéro connectée à VPNFilter. Au lieu de cela, l’on pense que les pirates auraient utilisé plusieurs vulnérabilités connues pour s’immiscer dans les routeurs infectés.
Ce logiciel malveillant aurait pu être développé par APT28, aussi connu sous le nom de Fancy Bear et Sofacy Group, un groupe lié au gouvernement russe qui a également été accusé d’ingérance dans les élections présidentielles américaines et de diffusion de rançongiciels.
Au départ, le FBI avait recommandé de désactiver puis de réactiver les routeurs vulnérables, afin de supprimer temporairement la deuxième phase du malware et pousser la première phase à appeler les centres de Commande&Contrôle pour recevoir des instructions – ce qui aurait permis aux chercheurs en sécurité d’en savoir plus sur la structure du malware.
On n’est jamais à l’abri
Concernant VPNFilter et votre routeur, il faut garder deux choses en tête.
Premièrement, aucune vulnérabilité unique au jour zéro n’a été liée au routeur. Il semblerait que les pirates aient trafiqué plusieurs vulnérabilités existantes afin de commettre leur acte. Il n’existe pas non plus de solution toute faite. Adieu les certitudes.
Deuxièmement, votre réseau au complet est à risque. La capacité de VPNFilter de transmettre d’autres malware sur les autres appareils de votre réseau et de faire passer les communications en mode non chiffré signifie que tous les appareils et les activités sur le réseau pourraient être piratés et manipulés.
La « To-do list » spéciale routeurs
Voici quatre étapes de base permettant d’améliorer la sécurité de votre routeur dans un monde post-VPNFilter :
- Redémarrez – Éteignez-le (plusieurs fois). Allez vous promener.
- Vérifiez la liste. Si votre appareil se trouve sur cette liste (passez-la complètement au crible), vous pouvez procéder à la réinitialisation aux paramètres d’usine et saisir à nouveau les identifiants du réseau.
- Vérifiez s’il y a des mises à jour disponibles pour votre routeur. Pourquoi rester vulnérable ?
Saisissez cette opportunité. VPNFilter vous donne l’occasion de tout remettre à plat. Avez-vous modifié vos identifiants de connexion depuis que vous avez sorti votre routeur de l’emballage ? Vos mots de passe sont-ils plus complexes que Admin123 ? Et pendant que vous y êtes, vérifiez les ports ouverts du routeur. Pourquoi laisser les fenêtres ouvertes pour faciliter la tâche aux voleurs ?