Sécurité des modems-routeurs : une étude dresse un tableau alarmant

Sécurité

Par Antoine Gautherie le

Le très sérieux institut Fraunhofer a publié une étude accablante sur la sécurité des modems-routeurs grand public. Entre les innombrables failles de sécurité et les politiques de mise à jour souvent loin d’être au niveau, une bonne partie du parc souffrirait de vulnérabilités très concrètes, et facilement exploitables.

© OpenClipart-Vectors – Pixabay

C’est un à-priori relativement répandu qui vient d’être confirmé aujourd’hui : les modems-routeurs grand public, disponibles dans le commerce, sont de vrais désastres en termes de sécurité. Ces résultats nous proviennent d’une étude en profondeur du très sérieux Institut Fraunhoffer, en Allemagne. Cette structure de recherche en sciences appliquée, réputée pour la solidité de ses travaux juge néanmoins ses résultats “alarmants”. Un terme loin d’être anodin, quand on connaît la mesure dont fait systématiquement preuve l’organisation dans ses publications.

L’institution a analysé pas moins de 127 firmwares, utilisés par sept marques différentes, bien connues du grand public : Asus, AVM, D-Link, Linksys, Netgear, TP-Link et Zyxel. Pour juger du niveau de sécurité, l’étude s’appuie sur de nombreux critères parmi lesquels le temps moyen entre deux mises à jour, les vulnérabilités connues de l’OS, les contremesures mises en place par les fabricants, et la présence ou non d’une clé cryptographique privée ou d’identifiants hard-codés (c’est à dire inscrits de façon explicite dans le code de l’appareil). Et le Fraunhofer Institute n’y va pas de main morte, en attaquant avec un premier paragraphe accablant.  Le texte explique qu’aucun des routeurs analysés n’était exempt de faille. Pire : “de nombreux routeursprésenteraient des centaines de vulnérabilités connues, encore accentuées par la rareté des mesures d’atténuation (censées limiter les dégâts).

Une fréquence de mise à jour insuffisante

Pour commencer, l’archi-majorité du panel testé était mis à jour en moyenne tous les 378 jours, soit bien moins fréquemment que nécessaire. Pour certains appareils testés, le délai était même de plusieurs années. Une composante particulièrement importante, quand on sait que la cybersécurité est en substance un vaste jeu du chat et de la souris où tout l’enjeu pour les fabricants est de garder une longueur d’avance sur les pirates… Avec des délais pareils, un malfaiteur dispose de tout le temps nécessaire pour s’attaquer au système de sécurité sans transpirer, un peu comme si votre adversaire au football attendait bien sagement votre replacement avant de lancer une contre-attaque.

L’autre souci, c’est que ces mises à jour ne représentent pas systématiquement une solution : encore faut-il que le constructeur cible précisément les vulnérabilités de son matériel… et la majorité semble avoir des difficultés le faire. Dans de nombreux cas, cela vient du système d’exploitation utilisé qui est très, très souvent obsolète. On s’étonne même de constater que près d’un tiers des appareils testés soient commercialisés avec un kernel Linux 2.6… vieux de plus de dix ans, et donc complètement obsolète malgré toute tentative de mise à jour. Le plus vieux modèle embarque même un kernel 2.4.20, publié en 2002.Un chiffre qui grimpe même à 50% pour Netgear, fabricant pourtant réputé sur ce segment…

Des failles critiques à la pelle

La conséquence, c’est que ces modems-routeurs sont criblés de failles à tous les niveaux. L’étude explique que même les “meilleurs” appareils comportent au moins 21 failles critiques et 348 failles de haute priorité. Un constat d’autant plus déplorable que l’emploi de contre mesures pour atténuer les attaques est qualifié d’ “assez rare, avec peu d’exceptions”. Enfin, la plupart des boîtiers comprendraient plusieurs clés secrètes codées en dur, et donc facile à extraire avec un exploit relativement basique. D’autant plus que les fabricants ne se sont pas forcément cassés la tête, avec des couples mot de passe/identifiant parfois très alambiqués comme “admin/password”…

L’étude conclut que seul le fabricant AVM se distingue. Il parvient à s’extraire de la mêlée grâce à une fréquence de mise à jour décente, un kernel encore supporté et aucune clé secrète hard-codée dans ses modèles les plus récents. Mais globalement, le tableau est vraiment affligeant, car il s’agit de vraies vulnérabilités concrètes, bien loin des menaces parfois abstraites qui planent sur différents services. Il reste simplement à espérer que les fabricants prendront bonne note de cette étude dans les plus brefs délais, même si on peut imaginer qu’ils peuvent difficilement ignorer certains des faits exposés par l’institut Fraunhofer, car ce problème systémique ne va pas aller en s’arrangeant ni se résoudre de lui-même. Et pendant ce temps, ce sont les citoyens qui seront de plus en plus exposés.