Les menaces cachées derrière nos routeurs
Le routeur est souvent négligé. Nous l’installons, vérifions la connexion, puis le laissons fonctionner pendant des mois, voire des années. Pourtant, cet appareil essentiel qui relie notre domicile ou notre bureau à Internet peut également devenir un outil pour des cybercriminels cherchant à dissimuler leurs opérations. Le problème réside non seulement dans ce que nous voyons, mais aussi dans ce qui se passe en arrière-plan lorsque la configuration est faible ou que le firmware n’est pas mis à jour. Cette situation touche un public bien plus large que les seuls experts en cybersécurité.
La découverte inquiétante
Le refuge mal configuré. Le 13 juillet 2026, la CISA, l’agence de cybersécurité et de sécurité des infrastructures des États-Unis, a lancé une alerte concernant des acteurs liés à la sécurité russe. Ces individus exploitent des routeurs vulnérables ou mal configurés à travers le monde. Cette activité a déjà permis de compromettre des réseaux dans divers secteurs critiques. L’avertissement a été émis en collaboration avec des organismes de surveillance de pays comme l’Australie, le Danemark, la Nouvelle-Zélande et le Royaume-Uni.
Un masquage par proxy
Une identité usurpée. Les attaquants n’ont pas seulement pour objectif de contrôler le routeur, mais de l’utiliser comme point intermédiaire pour d’autres opérations. Lorsque le trafic passe par un routeur situé chez un particulier, il peut sembler provenir d’un utilisateur légitime. Ce système est connu sous le nom de proxy résidentiel, rendant ainsi difficile pour les défenses d’une organisation de distinguer une connexion normale d’une activité malveillante.
Les étapes du traçage
Une recherche active sur Internet. Pour localiser de nouveaux dispositifs, les cybercriminels parcourent des plages d’adresses IP à la recherche de routeurs avec des agents SNMP actifs. Le danger surgit lorsque ce service est exposé et qu’il accepte des identifiants standards ou ceux fournis par défaut. Dans ces cas, l’appareil peut répondre à une requête comme s’il s’agissait d’un utilisateur autorisé.
De victime à outil d’attaque. Trouver un routeur vulnérable ne suffit pas. Selon la CISA, les acteurs envoient un trafic malveillant avec des adresses IP usurpées et exploitent les failles de configuration pour implanter des malwares sur le dispositif. De plus, cette exploitation s’effectue depuis d’autres réseaux de routeurs compromis, créant un cycle d’attaques où chaque appareil infecté participe à la recherche de nouvelles cibles.
Une menace difficile à éradiquer
Des connexions trompeuses. Une fois intégré à ces réseaux de machines, le routeur agit comme un point de sortie. Ainsi, la connexion semble provenir d’une adresse IP normale, rendant plus compliqué le travail des analystes tentant de suivre la trace des attaques. Cela accroît les chances de succès des cybercriminels et leur permet de mener des actions contre des secteurs stratégiques tels que les communications, la défense, et les services financiers.
Des recommandations pour une meilleure sécurité
Fermer les portes d’accès. La CISA recommande de désactiver les versions SNMP 1 et 2, qui ne protègent pas les mots de passe, et d’utiliser SNMP 3 uniquement lorsque nécessaire. Si ce protocole n’est pas utilisé pour gérer le réseau, la solution la plus sûre reste de le désactiver totalement. Par ailleurs, il est conseillé de désactiver Cisco Smart Install, de changer les identifiants faibles, de mettre à jour le firmware et de limiter l’utilisation d’autres protocoles réseau superflus. Bien que le routeur puisse passer inaperçu pendant des années, il est crucial de ne pas le laisser fonctionner sans maintenance appropriée.

