Des routeurs domestiques piratés | Blog officiel de Kaspersky

Business enterprise RDP RSA Conference RSA2021 RSAC VPN

D’un point de vue de sécurité informatique, le point négatif de la tendance généralisée du télétravail a été la perte de contrôle des environnements réseau locaux des postes de travail. Ce qui est particulièrement dangereux, ce sont les routeurs domestiques des employés qui ont remplacé le réseau de l’entreprise généralement surveillé par des spécialistes en sécurité. Lors de la RSA Conference 2021, les chercheurs Charl van der Walt et Wicus Ross ont révélé comment les criminels peuvent s’en prendre aux ordinateurs via les routeurs dans « Tous vos LAN nous appartiennent. Gérer les menaces qui planent sur les télétravailleurs« .

Pourquoi les routeurs domestiques des employés posent un gros problème ?

Même si les politiques de sécurité des entreprises pourraient couvrir toutes les mises à jour du systèmes d’exploitation et autres paramètres pertinents des ordinateurs, les routeurs domestiques échappent toujours au contrôle des administrateurs du système de l’entreprise. En ce qui concerne le télétravail, le département informatique ne peut pas savoir quels sont les appareils connectés au réseau, si le micrologiciel du routeur est à jour et si le mot de passe qui le protège est fort (ou si l’utilisateur a changé le mot de passe par défaut).

Ce manque de contrôle n’est qu’une partie du problème. De nombreuses vulnérabilités qui peuvent être exploitées par les cybercriminels ont été trouvées dans un grand nombre de routeurs SOHO ainsi que dans les routeurs domestiques, ce qui a pour conséquence d’augmenter le nombre de botnets, comme par exemple le botnet Mirai qui combine des dizaines voire des centaines de milliers de routeurs piratés dans des buts différents.

Il est nécessaire de rappeler que chaque routeur est comme un mini-ordinateur fonctionnant sous une distribution Linux. Les possibilités sont nombreuses pour les cybercriminels qui ont piraté un routeur. Voici quelques exemples tirés du compte rendu des chercheurs.

Pirater une connexion VPN

Afin de pallier le réseau bancal des télétravailleurs, les entreprises utilisent principalement un VPN (réseau privé virtuel). Les VPN offrent un canal chiffré via lequel les données circulent entre un ordinateur et le réseau de l’entreprise.

De nombreuses entreprises utilisent un VPN avec la fonctionnalité split tunneling. Le trafic Internet qui va vers les serveurs de l’entreprise, comme un protocole RDP (Remote Desktop Protocol), passe par le VPN. Quant aux autre trafics, ils passent par le réseau public non chiffré, ce qui est généralement suffisant. Cependant, un cybercriminel qui contrôle le routeur peut créer un protocole DHCP (Dynamic Host Configuration Protocol) et rediriger le trafic RDP vers son serveur. Bien que cela ne lui permette pas de déchiffrer le VPN, il peut créer une fausse page de connexion afin d’intercepter les identifiants de connexion RDP. Les cybercriminels experts en ransomwares adorent utiliser un protocole RDP.

Chargement d’un système d’exploitation externe

Une autre méthode que les cybercriminels utilisent pour mener une attaque contre un routeur consiste à exploiter l’amorçage PXE (Preboot Execution Environment). Les adaptateurs réseau modernes utilisent PXE afin de démarrer les ordinateurs ayant un système d’exploitation depuis le réseau. Cette fonctionnalité est normalement désactivée, mais certaines entreprises l’utilisent, par exemple pour restaurer à distance le système d’exploitation d’un employé si ce dernier ne fonctionne plus.

Un cybercriminel qui contrôle le serveur DHCP d’un routeur peut fournir un adaptateur réseau du poste de travail avec une adresse d’un système modifié pour permettre le contrôle à distance. Il y a peu de chances que les employés le remarquent et encore moins qu’ils sachent ce qu’il se passe vraiment (surtout s’ils sont distraits par les notifications de mises à jour). Pendant ce temps, les cybercriminels ont pleinement accès au système de fichiers.

Comment se protéger

Afin de protéger les ordinateurs des employés de tout ceci et empêcher des attaques similaires, voici ce que vous pouvez faire :

  • Optez pour un tunneling forcé au lieu d’un Split Tunneling. De nombreux VPN pour entreprises autorisent le tunneling forcé avec quelques exceptions (par défaut, vous pouvez contourner le VPN si tout le trafic passe par un canal chiffré ayant des ressources spécifiques) ;
  • Désactivez Preboot Execution Environment dans les paramètres du BIOS ;
  • Chiffrez entièrement le disque dur de l’ordinateur en utilisant un chiffrement intégral du disque (par exemple avec BitLocker pour Windows).

Il est primordial de privilégier la sécurité des routeurs des employés afin d’améliorer la protection de n’importe quelle infrastructure qui fonctionne en télétravail ou en travail hybride. Dans certaines entreprises, le personnel d’assistance technique consulte les employés pour savoir quel paramètres sont les meilleurs pour leur routeur domestique. D’autres entreprises, quant à elles, préconfigurent les routeurs des télétravailleurs et les employés ne peuvent se connecter aux ressources de l’entreprise que via ces routeurs. De plus, former les employés à contrer les menaces d’aujourd’hui est primordial pour assurer la sécurité du réseau.

Source: Kaspersky