Les vulnérabilités de sécurité de votre routeur domestique sont la règle depuis des années, la responsabilité étant placée aux pieds des utilisateurs de maintenir à jour le firmware de leur routeur. Mais un rapport accablant de Fraunhofer dit que les fabricants de routeurs eux-mêmes ont mis des années à publier des correctifs, avec potentiellement des dizaines de vulnérabilités critiques qui se cachent dans les routeurs plus anciens.
Le rapport de juin du Fraunhofer-Institut fur Kommunikation (FKIE) a extrait des images de micrologiciel de routeurs fabriqués par Asus, AVM, D-Link, Linksys, Netgear, TP-Link et Zyxel – 127 en tout. Le rapport (comme c’est noté par ZDNet) a comparé les images du micrologiciel aux vulnérabilités connues et exploité les techniques d’atténuation, de sorte que même si une vulnérabilité était exposée, la conception du routeur pourrait l’atténuer.
Peu importe comment vous le coupez, Étude de Fraunhofer a souligné les lacunes de base en matière de sécurité sous plusieurs aspects. Au niveau le plus élémentaire, 46 routeurs n’ont reçu aucune mise à jour du tout l’année dernière. Beaucoup utilisaient des noyaux Linux obsolètes avec leurs propres vulnérabilités connues. Cinquante routeurs utilisaient des informations d’identification codées en dur, où un nom d’utilisateur et un mot de passe connus étaient encodés dans le routeur comme informations d’identification par défaut qui demandaient à l’utilisateur de les modifier, mais ils seraient toujours là, accessibles, s’ils ne le faisaient pas.
FKIE n’a pas pu trouver un seul routeur sans défauts. L’institut ne pouvait pas non plus nommer un seul fournisseur de routeurs qui a évité les problèmes de sécurité.
« AVM ne [a] meilleur travail que les autres fournisseurs sur la plupart des aspects », conclut le rapport. «Asus et Netgear font un meilleur travail à certains égards que D-Link, Linksys, TP-Link et Zyxel.» Nous avons contacté Belkin (Linksys) et D-Link, deux fournisseurs nommés dans le rapport, pour commentaires, mais nous n’avons pas eu de réponse au moment de la presse.
« En conclusion, la politique de mise à jour des fournisseurs de routeurs est loin derrière les normes que nous connaissons depuis les systèmes d’exploitation de bureau ou de serveur », a déclaré FKIE ailleurs dans le rapport. «Cependant, les routeurs sont exposés à Internet 24 heures sur 24, ce qui entraîne un risque encore plus élevé d’infection par des logiciels malveillants.»
Fraunhofer a expliqué comment les fournisseurs de routeurs n’étaient pas à la hauteur de plusieurs catégories.
Jours depuis la dernière version du firmware: Bien que 81 routeurs aient été mis à jour au cours des 365 derniers jours avant la collecte des résultats par le FKIE (27 mars 2019 au match 27 2020), le nombre moyen de jours avant la mise à jour précédente, sur tous les appareils, était de 378. FKIE a déclaré que 27 des appareils n’avait pas été mis à jour dans les deux ans, le pire absolu s’étalant à 1 969 jours, soit plus de cinq ans.
Asus, AVM et Netgear ont publié des mises à jour pour tous leurs appareils dans un an et demi au moins. En comparaison, la plupart des programmes antivirus publient des mises à jour au moins quotidiennement.
Âge de l’OS: La plupart des routeurs exécutent Linux, un modèle logiciel open source qui offre aux chercheurs la possibilité d’examiner le code de base du noyau Linux et d’appliquer des correctifs. Cependant, lorsque le noyau lui-même est obsolète, les vulnérabilités fondamentales connues du système d’exploitation sont mûres pour l’exploitation. FKIE a utilisé l’Outil d’analyse et de comparaison de micrologiciel open source (FACT) pour extraire le micrologiciel du routeur, constatant qu’un tiers des routeurs fonctionnaient au-dessus du noyau Linux 2.6.36, une version plus ancienne. L’étude a révélé que la dernière mise à jour de sécurité pour la version 2.6.36 du noyau a été fournie il y a neuf ans.
Les vulnérabilités critiques des routeurs testés abondaient. le moyenne Le nombre de vulnérabilités critiques trouvées pour chaque routeur était de 53, et même les meilleurs routeurs étaient soumis à 21 vulnérabilités critiques (il y avait également 348 vulnérabilités hautement cotées).
Exploiter l’atténuation: Les routeurs peuvent être construits pour protéger leur noyau en utilisant une variété de techniques d’atténuation des exploits, y compris le bit non exécutable (NX) pour marquer une région de mémoire comme non exécutable. C’était une façon courante de protéger le routeur, mais FKIE a constaté que l’utilisation des techniques d’atténuation des exploits était rare.
Clés privées: «Nous voulons que ce soit absolument clair qu’il n’y a pas de bonne raison de publier une clé privée, car une clé privée publiée ne fournit aucune sécurité!» A écrit FKIE. La publication de la clé cryptographique privée dans le micrologiciel permet à un attaquant d’usurper l’identité de l’appareil lui-même et de lancer des attaques «homme au milieu», un exploit qui tente de tromper le PC de l’utilisateur et le serveur en lui faisant croire que l’attaquant est le routeur de confiance.
FKIE a constaté qu’au moins cinq clés privées sont publiées par image de micrologiciel. Le Netgear R6800 fournit un nombre total de 13 clés privées dans un seul appareil. AVM était le seul fournisseur trouvé par FKIE à ne pas publier de clés privées.
Identifiants de connexion codés en dur: Vous connaissez peut-être déjà les informations d’identification «codées en dur»: un routeur qui utilise «admin» et «mot de passe» comme informations d’identification par défaut. Bien que cela facilite la récupération d’un mot de passe perdu, il est également extrêmement facile pour un attaquant de prendre le contrôle de votre routeur. «De plus, si l’utilisateur ne peut pas changer un mot de passe, vous pourriez avoir l’impression que le mot de passe est lié à une porte dérobée», a écrit FKIE, impliquant que des informations d’identification codées en dur auraient pu être ajoutées pour permettre la surveillance de votre appareil.
« La bonne nouvelle est que plus de 60% des images du micrologiciel du routeur n’ont pas d’informations d’identification de connexion codées en dur », a écrit FKIE. «La mauvaise nouvelle est que 50 routeurs fournissent des informations d’identification codées en dur. Seize routeurs ont des identifiants crackables bien connus ou faciles. »
Le rapport de FKIE ne suggère pas de choisir un remplacement de firmware open source pour votre routeur, bien que cette option soit certainement disponible. Malheureusement, certaines des options du micrologiciel ne sont plus maintenues ou ne fonctionnent que sur un sous-ensemble de routeurs (plus anciens). Il est décevant de constater que le moyen le plus simple pour les criminels de pénétrer votre réseau domestique semble être non pas votre PC ou votre système d’exploitation, mais le routeur que vous utilisez pour vous connecter au reste du monde.