le Bureau fédéral d’enquête (FBI) avertit qu’une nouvelle menace malveillante a rapidement infecté plus d’un demi-million d’appareils grand public. Pour aider à arrêter la propagation du logiciel malveillant, le FBI et les sociétés de sécurité exhortent les utilisateurs d’Internet à domicile à redémarrer les routeurs et les périphériques de stockage en réseau fabriqués par une gamme de fabricants de technologies.
La menace croissante — surnommée VPNFiltre — cibles Linksys, MikroTik, NETGEAR et Lien TP équipement de mise en réseau dans les petits bureaux et les bureaux à domicile, ainsi que QNAP périphériques de stockage en réseau (NAS), selon des chercheurs de Cisco.
Les experts essaient toujours d’apprendre tout ce que VPNFilter est conçu pour faire, mais pour l’instant, ils savent qu’il peut bien faire deux choses : voler les informations d’identification du site Web ; et émettre une commande d’autodestruction, rendant efficacement les appareils infectés inutilisables pour la plupart des consommateurs.
Les chercheurs de Cisco ont déclaré qu’ils ne savaient pas encore comment ces 500 000 appareils ont été infectés par VPNFilter, mais que la plupart des appareils ciblés ont des exploits publics connus ou des informations d’identification par défaut qui rendent leur compromis relativement simple.
« Tout cela a contribué à la croissance silencieuse de cette menace depuis au moins 2016 », a déclaré la société. a écrit sur son Blog de Talos Intelligence.
Le ministère de la Justice dit la semaine dernière que VPNFilter est l’œuvre de « APT28« , le nom de code de l’industrie de la sécurité pour un groupe de pirates informatiques parrainés par l’État russe, également connu sous le nom de »Ours fantaisie» et le « Groupe Sofacy ». Il s’agit du même groupe accusé d’avoir mené des attaques d’ingérence électorale lors de la course présidentielle américaine de 2016.
« Les cyber-acteurs étrangers ont compromis des centaines de milliers de routeurs domestiques et de bureau et d’autres appareils en réseau dans le monde entier », a déclaré le FBI dans un avertissement affiché sur le site Web de la Centre de plainte contre la criminalité sur Internet (IC3). « Les acteurs ont utilisé le logiciel malveillant VPNFilter pour cibler les routeurs des petites entreprises et des bureaux à domicile. Le logiciel malveillant est capable d’exécuter plusieurs fonctions, y compris la collecte d’informations, l’exploitation de l’appareil et le blocage du trafic réseau.
Selon Cisco, voici une liste des appareils concernés connus :
APPAREILS LINKSYS :
E1200
E2500
WRVS4400N
VERSIONS DES ROUTEURS MIKROTIK POUR LES ROUTEURS CLOUD CORE :
1016
1036
1072
APPAREILS NETGEAR :
DGN2200
R6400
R7000
R8000
WNR1000
WNR2000
APPAREILS QNAP :
TS251
TS439 Pro
Autres appareils NAS QNAP exécutant le logiciel QTS
APPAREILS TP-LINK :
R600VPN
Malheureusement, il n’existe aucun moyen simple de savoir si votre appareil est infecté. Si vous possédez l’un de ces appareils et qu’il est connecté à Internet, vous devez redémarrer (ou débrancher, attendre quelques secondes, rebrancher) l’appareil maintenant. Cela devrait effacer une partie de l’infection, s’il y en a une. Mais vous n’êtes pas encore tiré d’affaire.
Cisco a déclaré qu’une partie du code utilisé par VPNFilter peut encore persister jusqu’à ce que l’appareil concerné soit réinitialisé à ses paramètres d’usine par défaut. La plupart des modems et des DVR auront un petit bouton encastré qui ne peut être pressé qu’avec quelque chose de petit et pointu, comme un trombone. Maintenez ce bouton enfoncé pendant au moins 10 secondes (certains appareils nécessitent plus de temps) avec l’appareil sous tension, et cela devrait suffire à réinitialiser l’appareil à ses paramètres d’usine par défaut. Dans certains cas, vous devrez peut-être maintenir le petit bouton enfoncé et le maintenir enfoncé pendant que vous branchez le cordon d’alimentation, puis le maintenir enfoncé pendant 30 secondes.
Après avoir réinitialisé l’appareil, vous devrez vous connecter à sa page d’administration à l’aide d’un navigateur Web. La page d’administration de la plupart des routeurs commerciaux est accessible en tapant 192.168.1.1 ou 192.168.0.1 dans la barre d’adresse d’un navigateur Web. Si aucune de ces solutions ne fonctionne, essayez de consulter la documentation sur le site du fabricant du routeur ou vérifiez si l’adresse est répertoriée. ici. Si vous ne le trouvez toujours pas, ouvrez l’invite de commande (Démarrer > Exécuter/ou recherchez « cmd »), puis entrez ipconfig. L’adresse dont vous avez besoin doit être à côté de la passerelle par défaut sous votre connexion au réseau local.
Une fois que vous y êtes, assurez-vous d’avoir changé le mot de passe par défaut qui vous permet de vous connecter à l’appareil (choisissez quelque chose de fort dont vous vous souviendrez).
Vous voudrez également vous assurer que votre appareil dispose des dernières mises à jour du micrologiciel. La plupart des interfaces Web de routeur ont un lien ou un bouton sur lequel vous cliquez pour rechercher un micrologiciel de périphérique plus récent. Si des mises à jour sont disponibles, installez-les avant de faire quoi que ce soit d’autre.
Si vous avez réinitialisé les paramètres du routeur, vous souhaiterez également crypter votre connexion si vous utilisez un routeur sans fil (un routeur qui diffuse la connexion Internet de votre modem afin qu’il soit accessible via des appareils sans fil, comme des tablettes et des téléphones intelligents) . WPA2 est la technologie de cryptage la plus puissante disponible dans la plupart des routeurs modernes, suivie de WPA et WEP (ce dernier est assez simple à craquer avec des outils open source, alors ne l’utilisez pas à moins que ce ne soit votre seule option).
Mais même les utilisateurs qui ont un mot de passe de routeur fort et qui ont protégé leur connexion Internet sans fil avec une phrase de passe WPA2 forte peuvent voir la sécurité de leurs routeurs compromise par des failles de sécurité intégrées à ces routeurs. Le problème est une technologie appelée « Wi-Fi Protected Setup » (WPS) qui est livrée avec de nombreux routeurs commercialisés auprès des consommateurs et des petites entreprises. Selon Wi-Fi Alliance, un groupe industriel, le WPS est « conçu pour faciliter la mise en place et la configuration de la sécurité sur les réseaux locaux sans fil. WPS permet aux utilisateurs typiques qui connaissent peu la configuration Wi-Fi traditionnelle et les paramètres de sécurité de configurer automatiquement de nouveaux réseaux sans fil, d’ajouter de nouveaux appareils et d’activer la sécurité.
Cependant, WPS peut également exposer les routeurs à des compromis faciles. En savoir plus sur cette vulnérabilité ici. Si votre routeur fait partie de ceux répertoriés comme utilisant le WPS, voyez si vous pouvez désactiver le WPS à partir de la page d’administration du routeur. Si vous ne savez pas si c’est possible ou si vous souhaitez savoir si le fabricant de votre routeur a fourni une mise à jour pour résoudre le problème WPS sur son matériel, vérifiez cette feuille de calcul.
Désactiver toutes les fonctionnalités d’administration à distance qui peuvent être activées par défaut est toujours une bonne idée, tout comme la désactivation Plug and Play universel (UPnP), qui peut facilement percer des trous dans votre pare-feu sans que vous le sachiez). Cependant, les chercheurs de Cisco affirment que rien n’indique que VPNFilter utilise UPnP.
Pour plus de conseils sur la façon de vivre avec vos différents appareils Internet des objets (IoT) sans devenir une nuisance pour vous-même ou Internet en général, veuillez consulter Quelques règles de base pour sécuriser vos éléments IoT.
Mise à jour, 2 juin, 10 h 30 HE : Netgear a fourni la déclaration suivante à propos de VPNFilter :
Pour se protéger contre cet éventuel malware, nous conseillons vivement à tous les propriétaires de routeurs NETGEAR de suivre les étapes suivantes :
• Assurez-vous que vous exécutez le dernier firmware sur votre routeur NETGEAR. Les mises à jour du micrologiciel incluent des correctifs et des mises à niveau de sécurité importants. Pour plus d’informations, consultez Comment mettre à jour le micrologiciel de mon routeur NETGEAR à l’aide du bouton Vérifier de l’interface Web du routeur ?.
• Assurez-vous d’avoir modifié votre mot de passe administrateur par défaut. Pour plus d’informations, consultez Comment changer le mot de passe administrateur sur mon routeur NETGEAR ?.
• Assurez-vous que la gestion à distance est désactivée sur votre routeur. La gestion à distance est désactivée par défaut et ne peut être activée que dans les paramètres avancés de votre routeur.Pour vous assurer que la gestion à distance est désactivée sur votre routeur :
1. Sur un ordinateur faisant partie de votre réseau domestique, saisissez http://www.routerlogin.net dans la barre d’adresse de votre navigateur et appuyez sur Entrée.
2. Entrez votre nom d’utilisateur et votre mot de passe d’administrateur et cliquez sur OK.
Si vous n’avez jamais changé votre nom d’utilisateur et votre mot de passe après avoir configuré votre routeur, le nom d’utilisateur est admin et le mot de passe est password.
3. Cliquez sur Avancé > Gestion à distance.
4. Si la case Activer la gestion à distance est cochée, décochez-la et cliquez sur Appliquer pour enregistrer vos modifications.
Si la case Activer la gestion à distance n’est pas cochée, vous n’avez rien à faire.NETGEAR enquête et mettra à jour cet avis au fur et à mesure que de nouvelles informations seront disponibles.