Presque tous les routeurs Wi-Fi domestiques testés dans une étude de masse par le célèbre Institut Fraunhofer en Allemagne présentaient de graves failles de sécurité qui pourraient facilement être corrigées par les fabricants de routeurs, indique un rapport récemment publié.
« Presque tous ont été identifiés comme présentant des failles de sécurité, dont certaines très graves », a déclaré l’Institut Fraunhofer dans un communiqué de presse. « Les problèmes vont des mises à jour de sécurité manquantes aux mots de passe facilement déchiffrés et codés en dur sans oublier les vulnérabilités connues qui auraient dû être corrigées depuis longtemps ».
À l’aide de son propre logiciel d’analyse, l’institut a testé le dernier micrologiciel disponible pour 117 modèles Wi-Fi domestiques actuellement vendus en Europe, y compris les routeurs ASUS, D-Link, Linksys, Netgear, TP-Link, Zyxel et la petite marque allemande AVM . Les modèles eux-mêmes n’ont pas été testés physiquement.
Une liste complète des modèles et micrologiciels testés se trouve sur GitHub. L’institut n’a pas pu examiner le micrologiciel de 10 autres modèles, principalement de Linksys. Le rapport note que de nombreuses mises à jour du firmware sont publiées sans corriger les failles connues.
Étant donné que l’étude a commencé fin mars et s’est intéressée aux micrologiciels disponibles le 27 mars, elle n’a pas inclus pas les dizaines de correctifs de micrologiciel que Netgear a publiés fin juin pour corriger une série de failles.
Pendant ce temps, les routeurs Huawei n’ont pas été examinés parce que la société ne rend pas son micrologiciel de routeur accessible au public, et les routeurs et passerelles émis par les FAI n’ont pas été examinés parce que les FAI externalisent le développement du micrologiciel à de nombreux tiers.
Bien entendu, il ne s’agit pas de la première enquête du genre. Une étude distincte sur la sécurité des routeurs a fourni un rapport tout aussi désastreux en décembre 2018, mais il n’y a pas eu beaucoup d’amélioration u cours des 18 mois suivants.
Comment pouvez-vous protéger votre routeur ?
Alors que pouvez-vous faire ? Vous pouvez vous assurer que le prochain routeur que vous achetez installe automatiquement les mises à jour du firmware. Vous pouvez vérifier si votre routeur actuel le fait ou facilite l’installation manuelle des mises à jour du micrologiciel.
Vous devez également vous assurer que le mot de passe administrateur de votre routeur a été modifié par rapport au mot de passe par défaut. Vous devez également vérifier son interface d’administration pour vous assurer que UPnP et l’accès à distance sont désactivés.
Et si votre routeur a été mis à la vente pour la première fois il y a plus de 5 ans, envisagez d’acheter un modèle plus récent à moins qu’il ne réponde à tous les critères ci-dessus. Alternativement, vous pouvez essayer de « flasher » votre ancien routeur pour exécuter un firmware de routeur open source plus sécurisé tel que OpenWrt, DD-WRT ou Tomato.
Le pire
AVM est sorti de loin le meilleur parmi les sept fabricants examinés, même s’il n’était pas sans défauts. ASUS et Netgear ne s’en sont pas bien sorti, mais leurs résultats étaient moins terribles que ceux de D-Link, Linksys, TP-Link et Zyxel.
Les failles comprenaient un firmware obsolète (le DSL-321B Z de D-Link n’avait pas été mis à jour depuis 2014), des kernel Linux obsolètes (le Linksys WRT54GL utilise un noyau de 2002), un échec de la mise en œuvre de techniques de sécurité communes (AVM a fait mieux que les autres ici), des clés privées secrètes intégrées dans le firmware ce qui fait que tout le monde pouvait les trouver (le Netgear R6800 en avait 13) et des noms d’utilisateur et mots de passe administratifs codés en dur permettant une prise en charge complète de l’appareil (seul ASUS n’en avait pas).
« Il n’y a pas de routeur sans défauts et aucun fournisseur ne fait un travail parfait en ce qui concerne tous les aspects de sécurité », a conclu le rapport Fraunhofer. « Beaucoup plus d’efforts sont nécessaires pour rendre les routeurs domestiques aussi sûrs que les ordinateurs de bureau ou les serveurs actuels ».
Les routeurs que vous ne devriez vraiment pas utiliser
Il y a quelques routeurs nommés dans l’étude que vous ne devriez certainement pas utiliser, même s’il semble que vous puissiez toujours les acheter.
« Le pire cas concernant les CVE de gravité élevée [défauts largement connus] est le Linksys WRT54GL alimenté par le plus ancien noyau trouvé dans notre étude », indique le rapport, notant que ce modèle utilise le noyau 2.4.20 de 2002. « Il y a 579 failles catégorisées comme étant graves sur l’échelle CVE affectant ce produit ».
Le dernier firmware de ce modèle a été mis à jour en janvier 2016, l’un des plus anciens firmwares de l’étude. Le Linksys WRT54GL est sorti pour la première fois en 2005 et est toujours vendu aujourd’hui, même s’il ne gère les protocoles Wi-Fi que jusqu’à 802.11g.
Cependant, la série WRT54G est probablement la famille de routeurs Wi-Fi la plus vendue de tous les temps. L’intérêt du WRT54GL peut être suscité par sa réputation de fiabilité et le fait qu’il peut être facilement « flashé » pour exécuter un firmware open source (le firmware OpenWrt a été initialement développé pour fonctionner sur cette série de routeurs).
Cela ne signifie pas que d’autres modèles s’appuyaient sur des noyaux Linux à jour (plus de 90 % des routeurs de l’étude fonctionnaient sous Linux). De loin, la version la plus courante du noyau Linux était 2.6.36, publiée en 2010. Seul AVM n’exécutait aucun noyau 2.x, sa version la plus ancienne étant 3.10.10 de 2013.
« Néanmoins, plus de la moitié des appareils AVM exécutent des versions de noyau qui ne sont plus maintenues », note le rapport.
Linux intègre systématiquement de nouvelles fonctionnalités de sécurité directement dans son noyau, et il n’est pas si difficile de mettre à jour le noyau sur des périphériques Linux. Les fabricants de distributions Linux pour PC et serveurs le font tout le temps.
Alors que le noyau Linux le plus récent au moment des tests Fraunhofer (27 mars 2020) était la version 5.4, aucun des routeurs testés n’utilisait une version plus récente que Linux 4.4.60, publiée en 2016 (AVM et Netgear l’ont utilisé.)
« Linux travaille en permanence pour supprimer les failles de sécurité de son système d’exploitation et développer de nouvelles fonctionnalités », a déclaré le chercheur Johannes vom Dorp dans le communiqué de presse de Fraunhofer. « Tout ce que les fabricants auraient à faire serait d’installer le dernier logiciel, mais ils ne l’intègrent pas dans la mesure où ils le pourraient et le devraient ».
Tout le monde a votre clé secrète privée
Mention spéciale également au Netgear R6800, qui, comme mentionné ci-dessus, avait 13 clés de sécurité privées codées en dur intégrées dans son firmware. Sa dernière mise à jour du firmware remonte à août 2019 et ce modèle ne faisait pas partie de la série de correctifs Netgear fin juin.)
Les clés privées sont un élément crucial des mécanismes régissant la sécurité Internet, et les routeurs les utilisent pour lancer des transmissions sécurisées et vérifier les mises à jour du micrologiciel. Elles doivent être bien gardées pour être efficaces, mais cela est assez mal parti si les clés peuvent être trouvées dans le firmware d’un routeur.
« Cela signifie que n’importe quel attaquant peut usurper l’identité de l’appareil et lancer des attaques de type homme au milieu », indique le rapport. « Ces clés sont partagées avec tous les appareils du même modèle. Cela signifie qu’une clé privée publiée dans un micrologiciel met en danger des milliers d’appareils ».
Seul AVM n’avait aucune clé privée dans toutes ses images de micrologiciel. Netgear en avait le plus.
D-Link a la traîne
Ensuite, il y a le D-Link DSL-321B Z, qui n’avait pas eu de mise à jour du firmware depuis août 2014. Au total, 46 modèles n’avaient pas reçu de mises à jour depuis plus d’un an, bien que la plupart l’aient fait au cours des deux années précédentes.
« Si un fournisseur n’a pas mis à jour un micrologiciel depuis longtemps, il est certain qu’il existe plusieurs vulnérabilités connues dans l’appareil », indique le rapport. « L’inverse n’est pas nécessairement vrai ».
En termes de protections de sécurité disponibles, AVM était de loin le meilleur pour les déployer sur ses appareils, Netgear étant loin derrière. D-Link a eu le pire résultat.
Mais encore une fois, la plupart de ces protections sont standard sur les ordinateurs et serveurs Linux, et même sur les téléphones Android. Il n’y a aucune vraie bonne raison pour laquelle ils ne peuvent pas être utilisés sur plus de routeurs.
source : 01net