Dans chacun des 127 routeurs qu’il a examinés, l’Institut Fraunhofer a découvert 53 vulnérabilités critiques en moyenne. Aucun appareil n’était totalement protégé.
L’étude de l’Institut Fraunhofer a mis en évidence plusieurs niveaux de défaillances de sécurité de base dans les routeurs SoHo du marché. (Crédit Belkin)
Voilà des années que l’on sait que les routeurs SoHo sont truffés de vulnérabilités de sécurité et que la responsabilité de la mise à jour du firmware est abandonnée à la discrétion des utilisateurs. Mais un rapport accablant de l’Institut Fraunhofer indique que les fabricants de routeurs eux-mêmes attendent des années avant de livrer des correctifs, alors que les vieux routeurs abritent potentiellement des dizaines de vulnérabilités critiques. Pour son rapport, publié au mois de juin, le Fraunhofer-Institut fur Kommunikation (FKIE) a extrait les images de firmwares de 127 routeurs fabriqués par Asus, AVM, D-Link, Linksys, Netgear, TP-Link et Zyxel pour les exposer à des vulnérabilités connues et a des techniques d’atténuation, et voir si, en cas de tentative d’exploitation d’une des vulnérabilités, la conception du routeur pourrait l’atténuer.
Quelle que soit la manière dont on regarde le problème, l’étude de l’Institut Fraunhofer a mis en évidence plusieurs niveaux de défaillances de sécurité de base. Déjà, au cours de l’année dernière, 46 des 127 routeurs examinés n’ont reçu aucune mise à jour. De plus, beaucoup utilisaient des noyaux Linux obsolètes affectés par des vulnérabilités connues. Cinquante routeurs utilisaient des identifiants codés en dur, avec un nom d’utilisateur et un mot de passe connus encodés dans le routeur comme identifiant par défaut, à charge pour l’utilisateur de les modifier.
Tous les fournisseurs défaillants
Tous les routeurs examinés par l’Institut FKIE présentaient des vulnérabilités. L’Institut n’a pas pu non plus citer un seul fournisseur de routeurs permettant d’éviter les problèmes de sécurité. « AVM fait un meilleur travail que les autres fournisseurs sur la plupart des questions de sécurité », conclut simplement le rapport qui ajoute : « Asus et Netgear font un meilleur travail à certains égards que D-Link, Linksys, TP-Link et Zyxel ». Après la lecture du rapport, nos confrères de PCWorld ont contacté Belkin (Linksys) et D-Link, deux fournisseurs cités par l’Institut, pour avoir leurs réactions. Seul Belkin a répondu (voir en fin d’article). « En conclusion, la politique de mise à jour des vendeurs de routeurs est très en retard sur les normes en vigueur pour les systèmes d’exploitation des ordinateurs de bureau ou des serveurs », a déclaré l’Institut FKIE dans une autre partie du rapport. « Pourtant, les routeurs sont exposés à Internet 24/24, et ils présentent donc un risque encore plus élevé d’infection par des logiciels malveillants ».
Dans son rapport, le Fraunhofer-Institut fur Kommunikation a classé les failles des fournisseurs de routeurs en plusieurs catégories :
Date de dernière release du firmware : même si 81 routeurs ont été mis à jour au cours des 365 derniers jours précédant l’enquête du FKIE (elle a été réalisée entre le 27 mars 2019 et le 27 mars 2020), en moyenne, le temps entre deux mises à jour était de 378 jours, tous appareils confondus. Le FKIE a indiqué que 27 appareils n’avaient pas été mis à jour depuis deux ans, la pire période étant de 1969 jours, soit plus de cinq ans. Asus, AVM et Netgear ont livré des mises à jour pour tous leurs appareils dans un délai d’un an et demi au moins. Comparativement, au minimum, la plupart des programmes antivirus livrent des mises à jour quotidiennes.
Âge de l’OS : La plupart des routeurs fonctionnent sous Linux. Ce modèle de logiciel open source permet aux chercheurs d’examiner le code de base du noyau Linux et d’appliquer des correctifs. Cependant, quand le noyau lui-même est obsolète, les vulnérabilités fondamentales connues du système d’exploitation deviennent des cibles de choix. Avec l’outil d’analyse et de comparaison des firmwares (FACT) utilisé pour extraire le microprogramme du routeur, le FKIE a constaté qu’un tiers des routeurs exécutaient le noyau Linux 2.6.36. Or, selon l’Institut, la dernière mise à jour de sécurité pour la version 2.6.36 du noyau a été livrée il y a neuf ans. Tous les routeurs testés étaient affectés de vulnérabilités critiques. Le FKIE a trouvé en moyenne 53 vulnérabilités critiques dans chaque routeur, et même les meilleurs routeurs comportaient 21 vulnérabilités critiques. Au total, le nombre de vulnérabilités critiques atteignaient le nombre colossal de 348.
Atténuation de l’exploitation : différentes techniques peuvent permettre aux constructeurs d’atténuer les exploits et de protéger le noyau de leurs routeurs, notamment en utilisant le bit non exécutable (NX) pour rendre une région de la mémoire non exécutable. C’est en l’espèce une méthode de protection courante du routeur. Mais le FKIE a constaté que l’utilisation de techniques d’atténuation des exploits était rare.
Clés privées : « Nous voulons dire très clairement que la publication d’une clé privée n’apporte aucune sécurité ! » a écrit l’Institut. La publication de la clé cryptographique privée dans le firmware permet à un attaquant de se faire passer pour l’appareil lui-même et de réaliser des attaques de type « man-in-the-middle ». Cet exploit consiste à tromper le PC de l’utilisateur et le serveur en leur faisant croire que l’attaquant est le routeur de confiance. Le FKIE a constaté que chaque image de firmware comportait au moins cinq clés privées. Le Netgear R6800 fournit un nombre total de 13 clés privées dans un seul appareil. AVM est le seul fournisseur identifié par le FKIE qui ne publie pas de clés privées.
Identifiants de connexion codés en dur : les routeurs « codés en dur » utilisent « admin » et « password » comme identifiants par défaut. Si cela permet de récupérer facilement un mot de passe perdu, ce codage en dur permet aussi à un attaquant de prendre le contrôle très facilement de ces routeurs. « De plus, si l’utilisateur ne peut pas changer un mot de passe, on peut imaginer que le mot de passe est lié à une porte dérobée », a fait remarquer l’Institut, ce qui implique que ces informations d’identification en dur peuvent avoir été ajoutées pour permettre la surveillance de l’appareil. « La bonne nouvelle, c’est que plus de 60 % des images de firmware de routeur ne comportent pas d’identifiants codés en dur », a écrit le FKIE. « La mauvaise nouvelle, c’est que 50 routeurs parmi ceux passés au crible contenaient des identifiants codés en dur, et que 16 routeurs avaient des identifiants bien connus ou faciles à cracker ».
Les cyberhackers traquent les failles de routeurs
Dans son rapport, le Fraunhofer-Institut fur Kommunikation ne suggère pas de choisir un firmware open source de remplacement pour le routeur, même si c’est une option possible. Malheureusement, certains de ces firmwares ne sont plus supportés ou ne fonctionnent que sur quelques routeurs (plus anciens). Au final, il semble que pour s’introduire dans un réseau domestique, les cybercriminels ont tout intérêt à cibler le routeur plutôt que le PC ou le système d’exploitation de l’utilisateur.
Belkin/Linksys ont répondu à la demande de commentaires de nos confrères le 21 juillet, soit quinze jours après la publication de leur premier article sur le sujet. « Le rapport de l’Institut FKIE, lequel précise que leur outil d’analyse peut être sujet à des résultats faussement positifs et faussement négatifs, repose uniquement sur une analyse statique des firmwares et ne mentionne aucune vulnérabilité de sécurité spécifique ni aucun exploit pour aucun des dispositifs testés », indique le communiqué. Linksys conseille à ses clients de prendre différentes précautions : par exemple, de s’assurer que les mises à jour automatiques des firmwares sont activées (si la fonction est disponible), de changer le mot de passe par défaut, et de mettre en place un réseau d’invités pour tous les visiteurs. « Linksys s’appuie sur une stratégie à trois volets pour les audits de sécurité de ses produits : les tests de pénétration (internes et externes), l’analyse du code source et un programme de divulgation publique des vulnérabilités », indique le constructeur dans un communiqué. « Linksys prend la sécurité au sérieux et fournit des mises à jour de firmware pour ses produits actifs dont les vulnérabilités connues nous ont été signalées par le biais de notre programme de divulgation ou ont été découvertes en interne ».