De grosses failles de sécurité touchent des millions de routeurs, les constructeurs ne font rien

Une récente étude de Kaspersky pointe du doigt les fabricants de routeurs : si plus de 500 failles ont été découvertes en 2021, la plupart n’ont pas été corrigées. Les constructeurs appliquent la politique de l'autruche en laissant leur matériel à la merci des pirates.

Si l'on évoque souvent dans nos colonnes les failles de sécurité récemment découvertes dans les systèmes d'exploitation et les applications, la partie matérielle est certes plus discrète, mais elle n'est pas en reste. Les routeurs sont par exemple l'une des cibles privilégiées des attaquants, puisqu'on les trouve partout, chez les particuliers comme dans les petites et grandes entreprises.

Sur ces appareils, ce sont ainsi pas moins de 506 failles de sécurité qui ont été découvertes en 2021. Parmi elles, on trouve 87 vulnérabilités critiques (soit un peu plus de 17%). Un chiffre qui peut sembler faible au regard des failles dans Windows ou des logiciels comme un navigateur ou une suite bureautique. En revanche, il y a de quoi s'inquiéter quand on considère la réactivité des constructeurs. Car un an plus tard, près de 30% de ces 87 failles critiques n'ont pas été corrigés.

Fabricants et vendeurs de routeurs laissent les utilisateurs se débrouiller par eux-mêmes

Toujours selon Kaspersky, seulement 26% des vulnérabilités critiques publiées en 2021 ont été assorties d'une alerte de la part des fournisseurs. Mais ils ne sont pas toujours accompagnés d'un correctif, les fournisseurs se contentant de demander aux propriétaires de se rapprocher du support technique.

Par ailleurs, même lorsqu'ils sont prévenus d'un problème sur leur matériel, les utilisateurs ne sont pas toujours aguerris quant à la marche à suivre. Et la plupart ne sont pas enclins à effectuer la moindre modification sur leur routeur. Ainsi, 48% des utilisateurs n'ont jamais modifié le moindre paramètre sur leur matériel et n'ont jamais changé le mot de passe d'accès au Wi-Fi. 73% d'entre eux ne voient aucune raison de se rendre dans les réglages de leur routeur, et 20% avouent ne pas savoir comment s'y prendre.

Ces failles de sécurité touchent tout type de routeur, qu'il s'agisse d'un modèle dédié à un réseau domestique, ou à un appareil plus sophistiqué destiné à une grande entreprise. Elles permettent à un attaquant de contourner l'authentification, de prendre le contrôle de l'appareil à distance ou de le neutraliser.

Repartition traitement failles securite routeur — Répartition du traitement des vulnérabilités découvertes sur les routeurs en 2021.

Comment empêcher les pirates de s'en prendre à votre routeur

Pour se prémunir des attaques, Kaspersky rappelle quelques conseils de bon aloi :

Remplacer le mot de passe par défaut par un mot de passe long et complexe.
Toujours utiliser un chiffrement WPA2.
Désactiver l'accès à distance de l'appareil.
Mettre à jour le firmware du routeur.
Utiliser une adresse IP fixe et désactiver le DHCP, tout en activant le filtrage MAC sur le réseau Wi-Fi.

Bien évidemment, ces mesures ne vous garantissent pas d'être totalement invulnérables aux attaques des pirates. Mais elles vous prémuniront de la quasi-totalité des tentatives d'acte malveillant.