Un chercheur en sécurité a découvert une porte dérobée dans de nombreux routeurs D-Link, permettant à quiconque d’accéder au routeur sans connaître le nom d’utilisateur ou le mot de passe. Ce n’était pas le premier problème de sécurité d’un routeur et ce ne sera pas le dernier.
Pour vous protéger, vous devez vous assurer que votre routeur est configuré de manière sécurisée. Il ne s’agit pas seulement d’activer le cryptage Wi-Fi et de ne pas héberger un réseau Wi-Fi ouvert.
Désactiver l’accès à distance
Les routeurs offrent une interface web, ce qui vous permet de les configurer via un navigateur. Le routeur exécute un serveur Web et rend cette page Web disponible lorsque vous vous trouvez sur le réseau local du routeur.
Cependant, la plupart des routeurs offrent une fonction d' »accès à distance » qui vous permet d’accéder à cette interface Web de n’importe où dans le monde. Il arrive parfois que des pépins ou des problèmes de micrologiciels rendent les routeurs dont l’accès à distance est activé vulnérables aux attaques. Si vous désactivez l’accès à distance, vous serez à l’abri des personnes qui pourraient accéder à distance à votre routeur et le modifier.
Pour ce faire, ouvrez l’interface Web de votre routeur et recherchez la fonction « Accès à distance », « Administration à distance » ou « Gestion à distance ». Assurez-vous qu’elle est désactivée – elle devrait être désactivée par défaut sur la plupart des routeurs, mais il est bon de vérifier.
COMMENT VOIR FACILEMENT LE MOT DE PASSE WIFI ENREGISTRÉ SUR ANDROID ?
Mettez à jour le micrologiciel
Comme nos systèmes d’exploitation, nos navigateurs Web et tous les autres logiciels que nous utilisons, le logiciel du routeur n’est pas parfait. Le micrologiciel du routeur, c’est-à-dire le logiciel qui fonctionne sur le routeur, peut présenter des failles de sécurité. Les fabricants de routeurs peuvent publier des mises à jour du micrologiciel qui corrigent ces failles de sécurité, mais ils cessent rapidement de prendre en charge la plupart des routeurs et passent aux modèles suivants.
La plupart des routeurs récents disposent d’une fonction de mise à jour automatique, comme c’est le cas pour Windows et nos navigateurs Web. Toutefois, si votre routeur est un peu plus ancien, vous devrez peut-être consulter le site Web de son fabricant pour trouver une mise à jour du microprogramme et l’installer manuellement via l’interface Web du routeur. Vérifiez que votre routeur est équipé du dernier micrologiciel disponible.
Modifiez les informations de connexion par défaut
Les identifiants de connexion par défaut de nombreux routeurs sont assez évidents, comme le mot de passe « admin ». Si quelqu’un accédait à l’interface Web de votre routeur par le biais d’une vulnérabilité quelconque ou simplement en se connectant à votre réseau Wi-Fi, il lui serait facile de se connecter et de modifier les paramètres du routeur.
Pour éviter cela, remplacez le mot de passe du routeur par un mot de passe par défaut qu’un attaquant ne pourrait pas facilement deviner. Certains routeurs vous permettent même de changer le nom d’utilisateur que vous utilisez pour vous connecter à votre routeur.
Verrouillez l’accès Wi-Fi
Si quelqu’un accède à votre réseau Wi-Fi, il peut tenter de modifier votre routeur, ou faire d’autres bêtises, comme espionner vos partages de fichiers locaux ou utiliser votre connexion pour télécharger du contenu protégé par le droit d’auteur et vous causer des problèmes. L’exploitation d’un réseau Wi-Fi ouvert peut être dangereuse.
Pour éviter cela, assurez-vous que le Wi-Fi de votre routeur est sécurisé. C’est très simple : Configurez-le pour utiliser le cryptage WPA2 ou WPA3 et utilisez une phrase de passe raisonnablement sûre. N’utilisez pas le cryptage WEP, plus faible, et ne définissez pas une phrase de passe évidente comme « password ».
Désactiver UPnP
Diverses failles dans UPnP ont été découvertes dans des routeurs grand public. Des dizaines de millions de routeurs grand public répondent aux demandes UPnP provenant d’Internet, ce qui permet à des attaquants sur Internet de configurer votre routeur à distance. Les applets Flash de votre navigateur pourraient utiliser UPnP pour ouvrir des ports, rendant votre ordinateur plus vulnérable. UPnP est relativement peu sûr pour diverses raisons.
Pour éviter les problèmes liés à UPnP, désactivez UPnP sur votre routeur via son interface Web. Si vous utilisez un logiciel qui nécessite le transfert de ports, comme un client BitTorrent, un serveur de jeu ou un programme de communication, vous devrez transférer les ports sur votre routeur sans vous appuyer sur UPnP.
Déconnectez-vous de l’interface Web du routeur lorsque vous avez terminé de le configurer.
Des failles XSS (Cross Site Scripting) ont été découvertes dans certains routeurs. Un routeur présentant une telle faille XSS peut être contrôlé par une page Web malveillante, ce qui permet à cette dernière de configurer les paramètres lorsque vous êtes connecté. Si votre routeur utilise son nom d’utilisateur et son mot de passe par défaut, il sera facile pour la page Web malveillante d’y accéder.
Même si vous avez modifié le mot de passe de votre routeur, il serait théoriquement possible pour un site Web d’utiliser votre session de connexion pour accéder à votre routeur et modifier ses paramètres.
Pour éviter cela, déconnectez-vous de votre routeur lorsque vous avez fini de le configurer. Si vous ne pouvez pas le faire, effacez les cookies de votre navigateur. Il n’y a pas lieu d’être trop paranoïaque, mais la déconnexion de votre routeur lorsque vous avez fini de l’utiliser est une chose simple et rapide à faire.
Modifiez l’adresse IP locale du routeur
Si vous êtes vraiment paranoïaque, vous pouvez peut-être modifier l’adresse IP locale de votre routeur. Par exemple, si son adresse par défaut est 192.168.0.1, vous pouvez la remplacer par 192.168.0.150. Si le routeur lui-même était vulnérable et qu’une sorte de script malveillant dans votre navigateur Web tentait d’exploiter une vulnérabilité de type « cross site scripting », en accédant à des routeurs connus pour être vulnérables à leur adresse IP locale et en les modifiant, l’attaque échouerait.
Cette étape n’est pas totalement nécessaire, d’autant plus qu’elle ne protège pas contre les attaquants locaux. Si quelqu’un se trouvait sur votre réseau ou si un logiciel était exécuté sur votre PC, il serait en mesure de déterminer l’adresse IP de votre routeur et de s’y connecter.
Installez des microprogrammes tiers
Si la sécurité vous préoccupe vraiment, vous pouvez également installer un micrologiciel tiers tel que DD-WRT ou OpenWRT. Vous ne trouverez pas de portes dérobées obscures ajoutées par le fabricant du routeur dans ces firmwares alternatifs.
Si vous vous sentez particulièrement ambitieux, vous pouvez même construire votre propre routeur à partir d’un vieil (ou nouvel) ordinateur en utilisant une carte d’interface réseau haut de gamme et un logiciel comme pfSense ou OPNsense.
Les routeurs grand public se sont considérablement améliorés au cours des dix dernières années. Ils disposent généralement de mises à jour automatiques du micrologiciel, un plus grand nombre de routeurs obligent désormais les utilisateurs à changer leur mot de passe par défaut, ils sont plus riches en fonctionnalités et les nouveaux protocoles de sécurité sont sans aucun doute supérieurs aux anciens.
Malgré toutes ces améliorations, les routeurs (et les unités combinées modem-routeur) représentent toujours une cible de choix pour les attaques malveillantes, surtout si votre sécurité est laxiste. Faites-vous une faveur : prenez 15 minutes pour vous assurer que vous faites tout ce qui est en votre pouvoir pour sécuriser votre réseau.