Il y a quelques mois, le chercheur en sécurité Kyle Lovett est tombé sur une faille de sécurité affectant plus de 700 000 routeurs ADSL dans le monde. Ces boitiers fournis par les FAI à leurs clients possèdent donc une vulnérabilité au sein de leur firmware qui permettrait à un pirate de récupérer à distance et sans s’identifier le fichier config.xml. Ce dernier contient des données de configuration sensibles, y compris les informations d'identification comme les mots de passe de l’administrateur et des autres comptes sur l’appareil, le nom d'utilisateur et le mot de passe pour la connexion FAI de l'utilisateur (PPPoE), les clients et les serveurs d'identification pour le protocole de gestion à distance TR-069 utilisé par certains FAI, et le mot de passe pour le réseau sans fil configuré, si le dispositif a des capacités WiFi.

La faille n’est toutefois pas nouvelle et a été rapportée par plusieurs chercheurs depuis 2011 dans divers modèles de routeur. Kyle Lovett a toutefois creusé le sujet et découvert que des centaines de milliers de périphériques vulnérables de différents fabricants ont été distribués par des FAI à leurs abonnés Internet dans une douzaine de pays. Selon M. Lovett, l'algorithme de hachage utilisé par ces routeurs pour les mots de passe est faible et peut facilement être cassé. Les attaquants pourraient alors se connecter en tant qu'administrateur et modifier les paramètres DNS d'un routeur.

 Redirection vers des sites de pishing

En contrôlant les adresses DNS de ces routeurs, les attaquants peuvent diriger les utilisateurs vers des serveurs malveillants quand ils tentent d'accéder à des sites web légitimes. Les attaques par détournement DNS sont devenues monnaie courante ces deux dernières années et alimentent des sites de pishing.

La plupart des routeurs ont des failles supplémentaires. Par exemple, environ 60% de ces modèles donnent également accès à leur mémoire vive, une autre porte pour récupérer des données. Un point très négatif car la RAM peut contenir des informations sensibles sur le trafic Internet, comme les informations d'identification de divers sites web. En analysant plusieurs attaques exploitant cette dernière vulnérabilité, le chercheur a relevé des signes indiquant que les routeurs étaient déjà sondés par des pirates, la plupart du temps à partir d’adresses IP chinoises.

Des routeurs exploitant le firmware de Shenzhen Gongjin Electronics

La plupart des appareils vulnérables qu'il a identifié sont les modems/routeurs ADSL fournis à leurs clients par des FAI en Colombie, en Inde, en Argentine, en Thaïlande, en Moldavie, en Iran, au Pérou, au Chili, en Égypte, en Chine et en Italie. Quelques-uns ont également été trouvés aux États-Unis, mais ils semblaient être des dispositifs directement achetés par les utilisateurs et non pas fournis par les FAI.

Les modèles concernés comprennent les ZTE H108N et H108NV2.1, D-Link 2750E, 2730E et 2730U, Sitecom WLM-3600, WLR-6100 et WLR-4100, FiberHome HG110, Planète ADN-4101, Digisol DG-BG4011N, et Observa Telecom BHS_RTA_R1A. M. Lovett trouvé un point commun entre ces équipements : la grande majorité des routeurs touchés utilisent un firmware développé par Shenzhen Gongjin Electronics, une société chinoise également connue pour sa marque T & W. Shenzhen Gongjin Electronics est un sous-traitant pour les produits réseau et de télécommunications qui fabrique également des équipements basés sur ses propres spécifications. Suite à une recherche sur WikiDevi, une base de données en ligne pour le matériel informatique, on découvre que Shenzhen Gongjin Electronics est répertorié comme le sous-traitant de D-Link, Asus, Alcatel-Lucent, Belkin, ZyXEL et Netgear. Impossible de savoir combien de périphériques reposent sur le firmware développé par la société qui pourrait contenir les vulnérabilités identifiées par le chercheur.

 Mise à jour du microcode ? 

Pour trouver les routeurs vulnérables sur Internet, M. Lovett a utilisé Shodan, un moteur spécialisé dans la recherche d’appareils connectés. Selon lui, 700 000 est une estimation prudente, qui ne couvre que les dispositifs pouvant être ciblées à distance via leur interface d'administration web exposée sur Internet. Il est également difficile de savoir si Shenzhen Gongjin Electronics est consciente des défauts ou si elle a déjà distribué des versions corrigées de son microcode à ses partenaires. La société n'a pas répondu à une demande de commentaire et, selon M. Lovett, ses tentatives pour informer la société sont restées sans réponse.