Un chercheur en sécurité a découvert une porte dérobée dans de nombreux routeurs D-Link, permettant à quiconque d’accéder au routeur sans connaître le nom d’utilisateur ou le mot de passe. Ce n’était pas le premier problème de sécurité du routeur et ce ne sera pas le dernier.
Pour vous protéger, vous devez vous assurer que votre routeur est configuré en toute sécurité. Il ne s’agit pas seulement d’activer le cryptage Wi-Fi et de ne pas héberger un réseau Wi-Fi ouvert.
Désactiver l’accès à distance
Les routeurs offrent une interface Web, vous permettant de les configurer via un navigateur. Le routeur exécute un serveur Web et rend cette page Web disponible lorsque vous êtes sur le réseau local du routeur.
Cependant, la plupart des routeurs offrent une fonctionnalité « d’accès à distance » qui vous permet d’accéder à cette interface Web de n’importe où dans le monde. Parfois, des problèmes ou des problèmes de micrologiciel sont apparus, rendant les routeurs avec accès à distance activés vulnérables aux attaques. Si l’accès à distance est désactivé, vous serez à l’abri des personnes accédant à distance à votre routeur et le falsifiant.
Pour ce faire, ouvrez l’interface Web de votre routeur et recherchez la fonction « Accès à distance », « Administration à distance » ou « Gestion à distance ». Assurez-vous qu’il est désactivé – il devrait être désactivé par défaut sur la plupart des routeurs, mais il est bon de vérifier.
Mettre à jour le micrologiciel
Comme nos systèmes d’exploitation, nos navigateurs Web et tous les autres logiciels que nous utilisons, le logiciel du routeur n’est pas parfait. Le micrologiciel du routeur – essentiellement le logiciel exécuté sur le routeur – peut présenter des failles de sécurité. Les fabricants de routeurs peuvent publier des mises à jour du micrologiciel qui corrigent ces failles de sécurité, bien qu’ils interrompent rapidement la prise en charge de la plupart des routeurs et passent aux modèles suivants.
La plupart des nouveaux routeurs ont une fonction de mise à jour automatique comme Windows et nos navigateurs Web. Cependant, si votre routeur est un peu plus ancien, vous devrez peut-être consulter le site Web du fabricant de votre routeur pour une mise à jour du micrologiciel et l’installer manuellement via l’interface Web du routeur. Vérifiez que votre routeur dispose du dernier micrologiciel disponible installé.
Modifier les identifiants de connexion par défaut
De nombreux routeurs ont des identifiants de connexion par défaut qui sont assez évidents, comme le mot de passe « admin ». Si quelqu’un accédait à l’interface Web de votre routeur via une sorte de vulnérabilité ou simplement en se connectant à votre réseau Wi-Fi, il serait facile de se connecter et de modifier les paramètres du routeur.
Pour éviter cela, remplacez le mot de passe du routeur par un mot de passe autre que celui par défaut qu’un attaquant ne pourrait pas facilement deviner. Certains routeurs vous permettent même de modifier le nom d’utilisateur que vous utilisez pour vous connecter à votre routeur.
Verrouiller l’accès Wi-Fi
EN RELATION: N’ayez pas un faux sentiment de sécurité : 5 façons non sécurisées de sécuriser votre Wi-Fi
Si quelqu’un accède à votre réseau Wi-Fi, il pourrait tenter de falsifier votre routeur ou simplement faire d’autres mauvaises choses comme espionner vos partages de fichiers locaux ou utiliser votre connexion pour télécharger du contenu protégé par des droits d’auteur et vous causer des ennuis. Exécuter un réseau Wi-Fi ouvert peut être dangereux.
Pour éviter cela, assurez-vous que le Wi-Fi de votre routeur est sécurisé. C’est assez simple : configurez-le pour utiliser le cryptage WPA2 ou WPA3 et utilisez une phrase de passe raisonnablement sécurisée. N’utilisez pas le cryptage WEP le plus faible ou ne définissez pas une phrase de passe évidente comme « mot de passe ».
Désactiver l’UPnP
EN RELATION: L’UPnP est-il un risque pour la sécurité ?
Diverses failles UPnP ont été découvertes dans les routeurs grand public. Des dizaines de millions de routeurs grand public répondent aux requêtes UPnP d’Internet, permettant aux attaquants sur Internet de configurer votre routeur à distance. Les applets Flash de votre navigateur peuvent utiliser UPnP pour ouvrir des ports, ce qui rend votre ordinateur plus vulnérable. L’UPnP est assez peu sûr pour diverses raisons.
Pour éviter les problèmes liés à l’UPnP, désactivez l’UPnP sur votre routeur via son interface Web. Si vous utilisez un logiciel qui nécessite des ports redirigés, comme un client BitTorrent, un serveur de jeu ou un programme de communication, vous devrez rediriger les ports sur votre routeur sans compter sur UPnP.
Déconnectez-vous de l’interface Web du routeur lorsque vous avez terminé de le configurer
Des failles de cross site scripting (XSS) ont été trouvées dans certains routeurs. Un routeur avec une telle faille XSS pourrait être contrôlé par une page Web malveillante, permettant à la page Web de configurer les paramètres pendant que vous êtes connecté. Si votre routeur utilise son nom d’utilisateur et son mot de passe par défaut, il serait facile pour la page Web malveillante obtenir l’accès.
Même si vous changiez le mot de passe de votre routeur, il serait théoriquement possible qu’un site Web utilise votre session de connexion pour accéder à votre routeur et modifier ses paramètres.
Pour éviter cela, déconnectez-vous simplement de votre routeur lorsque vous avez terminé de le configurer. Si vous ne pouvez pas le faire, vous pouvez effacer les cookies de votre navigateur. Ce n’est pas quelque chose dont il faut être trop paranoïaque, mais se déconnecter de votre routeur lorsque vous avez fini de l’utiliser est une chose rapide et facile à faire.
Modifier l’adresse IP locale du routeur
Si vous êtes vraiment paranoïaque, vous pourrez peut-être changer l’adresse IP locale de votre routeur. Par exemple, si son adresse par défaut est 192.168.0.1, vous pouvez la remplacer par 192.168.0.150. Si le routeur lui-même était vulnérable et qu’une sorte de script malveillant dans votre navigateur Web tentait d’exploiter une vulnérabilité de script intersite, accédant à des routeurs vulnérables connus à leur adresse IP locale et les falsifiant, l’attaque échouerait.
Cette étape n’est pas complètement nécessaire, d’autant plus qu’elle ne protégerait pas contre les attaquants locaux – si quelqu’un se trouvait sur votre réseau ou si un logiciel s’exécutait sur votre PC, il serait en mesure de déterminer l’adresse IP de votre routeur et de s’y connecter.
Installer des micrologiciels tiers
Si vous êtes vraiment préoccupé par la sécurité, vous pouvez également installer un micrologiciel tiers tel que DD-WRT ou OpenWRT. Vous ne trouverez pas de portes dérobées obscures ajoutées par le fabricant du routeur dans ces firmwares alternatifs.
Si vous vous sentez particulièrement ambitieux, vous pouvez même créer votre propre routeur à l’aide d’un ancien (ou d’un nouvel ordinateur) à l’aide d’une carte d’interface réseau haut de gamme et de logiciels comme pfSense ou OPNsense.
Les routeurs grand public se sont considérablement améliorés au cours des dix dernières années. Ils ont généralement des mises à jour automatiques du micrologiciel, davantage de routeurs obligent désormais les utilisateurs à modifier leurs mots de passe par défaut, ils sont plus riches en fonctionnalités et les nouveaux protocoles de sécurité sont sans aucun doute supérieurs aux anciens. Malgré toutes les améliorations, les routeurs (et les unités combinées modem-routeur) représentent toujours une cible de choix pour les attaques malveillantes, surtout si votre sécurité est laxiste. Faites-vous une faveur — prenez 15 minutes et assurez-vous que vous faites tout votre possible pour assurer la sécurité de votre réseau.