C’est un à-priori relativement répandu qui vient d’être confirmé aujourd’hui : les modems-routeurs grand public, disponibles dans le commerce, sont de vrais désastres en termes de sécurité. Ces résultats nous proviennent d’une étude en profondeur du très sérieux Institut Fraunhoffer, en Allemagne. Cette structure de recherche en sciences appliquée, réputée pour la solidité de ses travaux juge néanmoins ses résultats “alarmants”. Un terme loin d’être anodin, quand on connaît la mesure dont fait systématiquement preuve l’organisation dans ses publications.
L’institution a analysé pas moins de 127 firmwares, utilisés par sept marques différentes, bien connues du grand public : Asus, AVM, D-Link, Linksys, Netgear, TP-Link et Zyxel. Pour juger du niveau de sécurité, l’étude s’appuie sur de nombreux critères parmi lesquels le temps moyen entre deux mises à jour, les vulnérabilités connues de l’OS, les contremesures mises en place par les fabricants, et la présence ou non d’une clé cryptographique privée ou d’identifiants hard-codés (c’est à dire inscrits de façon explicite dans le code de l’appareil). Et le Fraunhofer Institute n’y va pas de main morte, en attaquant avec un premier paragraphe accablant. Le texte explique qu’aucun des routeurs analysés n’était exempt de faille. Pire : “de nombreux routeurs” présenteraient “des centaines de vulnérabilités connues”, encore accentuées par la rareté des mesures d’atténuation (censées limiter les dégâts).
Une fréquence de mise à jour insuffisante
Pour commencer, l’archi-majorité du panel testé était mis à jour en moyenne tous les 378 jours, soit bien moins fréquemment que nécessaire. Pour certains appareils testés, le délai était même de plusieurs années. Une composante particulièrement importante, quand on sait que la cybersécurité est en substance un vaste jeu du chat et de la souris où tout l’enjeu pour les fabricants est de garder une longueur d’avance sur les pirates… Avec des délais pareils, un malfaiteur dispose de tout le temps nécessaire pour s’attaquer au système de sécurité sans transpirer, un peu comme si votre adversaire au football attendait bien sagement votre replacement avant de lancer une contre-attaque.
L’autre souci, c’est que ces mises à jour ne représentent pas systématiquement une solution : encore faut-il que le constructeur cible précisément les vulnérabilités de son matériel… et la majorité semble avoir des difficultés le faire. Dans de nombreux cas, cela vient du système d’exploitation utilisé qui est très, très souvent obsolète. On s’étonne même de constater que près d’un tiers des appareils testés soient commercialisés avec un kernel Linux 2.6… vieux de plus de dix ans, et donc complètement obsolète malgré toute tentative de mise à jour. Le plus vieux modèle embarque même un kernel 2.4.20, publié en 2002.Un chiffre qui grimpe même à 50% pour Netgear, fabricant pourtant réputé sur ce segment…
Des failles critiques à la pelle
La conséquence, c’est que ces modems-routeurs sont criblés de failles à tous les niveaux. L’étude explique que même les “meilleurs” appareils comportent au moins 21 failles critiques et 348 failles de haute priorité. Un constat d’autant plus déplorable que l’emploi de contre mesures pour atténuer les attaques est qualifié d’ “assez rare, avec peu d’exceptions”. Enfin, la plupart des boîtiers comprendraient plusieurs clés secrètes codées en dur, et donc facile à extraire avec un exploit relativement basique. D’autant plus que les fabricants ne se sont pas forcément cassés la tête, avec des couples mot de passe/identifiant parfois très alambiqués comme “admin/password”…
L’étude conclut que seul le fabricant AVM se distingue. Il parvient à s’extraire de la mêlée grâce à une fréquence de mise à jour décente, un kernel encore supporté et aucune clé secrète hard-codée dans ses modèles les plus récents. Mais globalement, le tableau est vraiment affligeant, car il s’agit de vraies vulnérabilités concrètes, bien loin des menaces parfois abstraites qui planent sur différents services. Il reste simplement à espérer que les fabricants prendront bonne note de cette étude dans les plus brefs délais, même si on peut imaginer qu’ils peuvent difficilement ignorer certains des faits exposés par l’institut Fraunhofer, car ce problème systémique ne va pas aller en s’arrangeant ni se résoudre de lui-même. Et pendant ce temps, ce sont les citoyens qui seront de plus en plus exposés.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Pas rassurant tout ça
Quelqu’un sait si les box a proprement parler souffrent des mêmes soucis ? Firmware hs etc…
Je trouve l’étude suspect car l’institut est Allemand comme marque conseillé. Et aucun mot sur la solution open source openwrt qui peut remplacer l’os de certain routeur.
Fritzbox et unify je suis bien equipe a la casa , et la box de mon fournisseur pourri ds une armoire depuis l unique heure ou elle a fonctionne a l activation de la ligne
bien sur que non. Rassure toi c’est un ramassi de conneries
OPEN-WRT les gars (sur un unify ubiquity) et la vous etes good 😉
Quoi donc qu’est un ramassis de conneries ?
Et je cherchais plus une source fiable qu’un “bien sur” sorti de derrière les fagots en fait
dommage pour toi, essaie de mieux lire, il est indiqué que ca ne concerne en rien les operateurs, comme a la grande epoque de google street view où ces polemiques stupides etaient deja là.
la raison est simple, une box operateur, les reglages sont geres en partie par l’operateur et tenu a jour regulierement.
Pour de sraisons plus qu’evidentes, une faille sur une box operateur serait beaucoup plus dramatique que ca.
Resultat cet article parle d’une partie tres faible de la population, celle qui rajoute de srouteurs par dessus les routeurs
Des que tu as un article qui rapporte une etude de securité sans apporter la moindre analyse, tu peux deja te dire que ca pue. C’est tres souvent de grosses conneries, et pour une raison souvent commerciale ! Non pas des mensonges mais un risque tres limité et tres faible. Je me souviens encore de la faille de securité qui permettait de transformer une souris en clavier ou un truc du genre… une faille dont on se souviendra longtemps !
Bien sur que ca concerne une petite partie de la pop, (francaise) jai vu personne hurler a lapocalypse mondial de securite que je sache
Mais je dirais juste que oui en France ces routeurs sont rares mais il y a des pays où la box tout en un comme ici c’est pas le cas general et ou le routeur a part c’est très, très courant, la problématique est assez différente dans ce cas
En attendant je sais toujours pas ce que tu designes comme ramassis de conneries ; la méthodologie de fraunhofer ? Si c’est ça, tu tombes au niveau du gus qui dit que l’étude est pas fiable juste parce que une marque allemande sen sort moins mal sur qq modèles… et la, aucun intérêt de continuer cette discussion ma foi
sisi j’ai repondu j’ai peut etre exageré, ces etudes sont toujours juste, souvent alarmiste, mais rarement utiles, voila tout. (et je te parle meme pas de l’absence totale d’avis du JDG qui se contente de rapporter)
Rapporter objectivement des infos c’est un peu le job de tout média dans un article de news en fait, pour donner son avis ya des tribunes ou des editos …