Votre vieux routeur est devenu la cible préférée des pirates

Les routeurs sont la porte d'entrée de notre vie numérique. Ils connectent les ordinateurs portables, les téléphones, les caméras, les télés intelligentes, les consoles de jeux, les babyphones et une pile croissante de gadgets domestiques liés à Internet. Pourtant, on les traite comme du papier peint. Une fois que le Wi-Fi fonctionne, la plupart des gens ne s'y connectent plus jamais. Cette habitude a créé une cible immense et facile à atteindre. Depuis des années, les agences de sécurité de plusieurs pays alertent sur le fait que les routeurs anciens et non mis à jour sont intégrés à des botnets, utilisés comme points d'appui pour l'espionnage, ou exploités pour rediriger le trafic et voler des données. Aux États-Unis, le FBI a mis en garde à plusieurs reprises contre les routeurs compromis à la maison et au bureau. Le Centre national de cybersécurité du Royaume-Uni a fait de même. Ce n'est pas une panique marginale. C'est une faiblesse bien connue, cachée sous nos yeux.

Les preuves sont claires. En 2018, le malware VPNFilter a infecté des centaines de milliers d'appareils réseau dans le monde, y compris des routeurs utilisés dans les foyers et les petites entreprises. Les chercheurs de Cisco ont lié cette campagne à une opération sophistiquée. Le FBI a ensuite exhorté les gens à redémarrer les appareils concernés pendant que des efforts de neutralisation plus larges étaient en cours. Redémarrer n'était qu'une solution temporaire. La leçon plus importante était brutale : du matériel Internet de tous les jours avait été discrètement transformé en arme à grande échelle. Des années auparavant, le botnet Mirai avait montré ce qui arrive lorsque des appareils connectés non sécurisés sont laissés sans protection. En 2016, il a contribué à paralyser de grands services en ligne en mobilisant une immense armée d'appareils piratés. Mirai est devenu célèbre pour avoir exploité les mots de passe par défaut faibles sur les caméras et autres gadgets, mais la leçon plus large reste valable. Le matériel Internet bon marché et négligé peut être transformé en infrastructure d'attaque.

Depuis, le problème n'a pas disparu. Il s'est aggravé. Les attaquants n'ont pas toujours besoin d'exploits complexes. Parfois, ils utilisent les identifiants de connexion par défaut que les propriétaires n'ont jamais changés. Parfois, ils exploitent des vulnérabilités connues dans d'anciens logiciels que les fabricants ont corrigées depuis longtemps, en supposant que quelqu'un se donnerait la peine d'installer la mise à jour. Parfois, il n'y a aucune mise à jour du tout parce que l'appareil est en fin de vie et que le fabricant l'a simplement abandonné. L'association de consommateurs Which? au Royaume-Uni et l'Internet Society ont toutes deux souligné une réalité simple mais inquiétante : de nombreux appareils connectés sont vendus avec de faibles promesses de support, des durées de mise à jour floues ou des fonctions de sécurité que les acheteurs ordinaires n'apprennent jamais à utiliser.

C'est là que le marché a échoué, et de manière spectaculaire. On dit aux consommateurs d'être plus responsables en ligne, mais on leur vend des produits qui rendent cette responsabilité irréaliste. Les paramètres du routeur sont souvent cachés derrière des interfaces compliquées. Les mises à jour de sécurité peuvent nécessiter une installation manuelle. Les pages de support sont difficiles à trouver. Les avis de fin de vie sont obscurs. Certains fournisseurs d'accès à Internet livrent du matériel que les clients comprennent à peine et ne peuvent pas facilement remplacer. Ce n'est pas une erreur de l'utilisateur au sens ordinaire. C'est un choix de conception de l'industrie. Le système suppose la négligence, puis s'étonne lorsque les criminels l'exploitent.

Les petites entreprises sont particulièrement vulnérables. Elles fonctionnent souvent avec du matériel réseau grand public ou vieillissant parce que c'est bon marché et familier. Elles n'ont peut-être pas de personnel informatique dédié. Elles peuvent utiliser le même routeur pendant des années tout en stockant derrière lui des fiches de paie, des données clients et des informations de paiement. Lorsque cet appareil est compromis, les dégâts peuvent se propager discrètement. Les criminels peuvent intercepter le trafic, installer des malwares, enrôler l'appareil dans un botnet ou l'utiliser comme point de pivot vers des systèmes plus précieux. L'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a averti à plusieurs reprises que les appareils en périphérie de réseau, comme les routeurs et les pare-feux, sont des cibles attrayantes car ils se trouvent à la frontière des réseaux et sont souvent mal surveillés.

Il y a aussi un enjeu de sécurité nationale qui mérite plus d'attention du public. Les groupes soutenus par des États ne s'attaquent pas seulement aux géants de la défense ou aux agences de renseignement. Ils exploitent souvent le matériel courant connecté à Internet parce que c'est efficace et que ça permet de passer à grande échelle. Ces dernières années, les gouvernements occidentaux ont publié des avis conjoints sur des groupes d'espionnage ciblant les routeurs, les pare-feux et les appareils VPN fabriqués par les grands fournisseurs. L'idée n'est pas que chaque vieux routeur est activement surveillé par un État. Ce serait imprudent de l'affirmer. L'idée est que ces appareils sont reconnus comme des cibles stratégiques, car les compromettre peut offrir discrétion, persistance et un point d'accès. Cela devrait alarmer tous ceux qui pensent que seules les institutions de haut niveau comptent.

Les conséquences touchent d'abord les gens ordinaires. Un routeur piraté peut ralentir les connexions, pousser les utilisateurs vers de faux sites web via des changements de DNS malveillants, exposer le trafic de navigation ou laisser les appareils domestiques intelligents vulnérables aux abus. Dans une maison familiale, cela peut signifier que les appareils des enfants, les ordinateurs portables de travail et les communications privées partagent tous la même passerelle infectée. Dans une clinique, un magasin ou un bureau local, cela peut entraîner une réelle perturbation de l'activité et une reprise coûteuse. On présente souvent la cybersécurité comme une guerre abstraite dans le cloud. En réalité, elle peut commencer avec une simple boîte en plastique obsolète posée à côté d'une télévision.

Il existe des solutions, et elles n'ont rien de mystérieux. La première est d'une simplicité brutale : remplacez les vieux routeurs avant qu'ils ne tombent en panne, pas après. Si un appareil ne reçoit plus de mises à jour de sécurité, il doit être considéré comme une infrastructure Internet dangereuse, pas comme une bonne affaire. Les acheteurs devraient privilégier les fabricants qui communiquent clairement leurs politiques de mise à jour. La deuxième est de changer les mots de passe administrateur par défaut et de désactiver la gestion à distance, sauf si c'est vraiment nécessaire. La troisième est d'installer rapidement les mises à jour du logiciel, que l'appareil vienne d'un magasin ou d'un fournisseur d'accès à Internet. Des agences comme la CISA et le NCSC recommandent également de désactiver les fonctionnalités inutilisées, d'utiliser un chiffrement Wi-Fi fort et de redémarrer les appareils en cas de menace active crédible, bien qu'un redémarrage seul ne soit jamais suffisant si la faiblesse sous-jacente persiste.

Mais les actions individuelles ne suffisent pas. Les régulateurs et les fabricants doivent cesser de prétendre que la sécurité est une fonctionnalité optionnelle et payante. Quelques progrès sont enfin visibles. La loi britannique sur la sécurité des produits et les infrastructures de télécommunication s'attaque aux mots de passe par défaut non sécurisés et à d'autres défaillances de base dans les produits connectés. Le règlement sur la cyber-résilience de l'Union européenne vise à imposer des obligations de sécurité aux fabricants. Ces mesures sont importantes car le modèle actuel est à l'envers. Les consommateurs ne devraient pas avoir besoin d'une vigilance d'expert pour posséder en toute sécurité un équipement Internet de base.

Le vieux fantasme de la cybersécurité veut que le danger vienne d'un simple clic imprudent. C'est parfois le cas. Mais la réalité plus dérangeante est que le risque est souvent intégré aux appareils auxquels on nous dit de faire confiance, puis de les oublier. Le routeur dans le coin n'est plus un simple équipement ennuyeux. C'est un terrain contesté. Et chaque année où nous continuons à le traiter comme un appareil électroménager plutôt que comme un dispositif de sécurité, nous offrons aux criminels une victoire facile de plus.