Le FBI alerte sur une vague de cyberattaques ciblant des routeurs anciens. Privés de mises à jour, ce sont des cibles faciles pour les cybercriminels. Les pirates peuvent s’en servir pour masquer leur adresse IP dans le cadre de leurs activités illégales. Un malware vieux de plus de dix ans, remis au goût du jour, est impliqué dans la vague d’offensives…
Le FBI tire la sonnette d’alarme. Dans un communiqué publié le 7 mai 2025, la police fédérale américaine indique en effet avoir constaté une vague de cyberattaques contre certains routeurs « en fin de vie ». Comme l’explique le FBI, il s’agit de routeurs dépourvus de mises à jour logiciels et de sécurité.
« Lorsqu’un appareil matériel arrive en fin de vie, le fabricant cesse de le commercialiser et d’en assurer le support. Cela signifie qu’il ne publie plus de mises à jour logicielles ni de correctifs de sécurité. Les routeurs datant de 2010 ou d’avant ne reçoivent probablement plus aucune mise à jour du fabricant et sont donc vulnérables à des attaques », explique le FBI.À lire aussi : Un nouveau botnet prend d’assaut les appareils de vidéosurveillance avec des milliers d’adresses IP malveillantes
La liste des routeurs obsolètes dans le viseur des pirates
De facto, ces routeurs anciens sont des cibles idéales pour les cybercriminels. Il suffit en effet d’exploiter une vulnérabilité non corrigée de l’appareil pour le compromettre. Parmi les références visées par les attaques, on trouve plusieurs appareils commercialisés par Linksys et Cisco. Voici la liste complète communiquée par le FBI :
- Linksys E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550
- Linksys WRT320N, WRT310N, WRT610N
- Cradlepoint E100
- Cisco M10
Pour pirater les routeurs, les cybercriminels se servent de plusieurs types de botnets, dont un virus intitulé TheMoon. Selon le FBI, les pirates utilisent différentes variantes du malware, apparu il y a plus de dix ans. Le virus n’a pas besoin du mot de passe ou de l’identifiant pour s’installer sur le routeur. Il recherche les portes d’entrée sur le réseau et exploite un script vulnérable pour s’introduire en toute discrétion.
Ce logiciel malveillant « permet aux cyberacteurs d’installer des proxys sur les routeurs de victimes sans méfiance et de commettre des cybercrimes de manière anonyme ». Une fois le logiciel malveillant installé, « les attaquants conservent un accès permanent à l’appareil ». Ils peuvent ainsi « communiquer régulièrement avec lui (toutes les 60 secondes à 5 minutes) pour s’assurer qu’il reste infecté et prêt à être utilisé ».
Une fois le routeur sous contrôle, il est ajouté à des réseaux proxy comme 5Socks et Anyproxy. Tous les routeurs compromis servent de relais et permettent aux hackers d’orchestrer leurs méfaits sans se faire repérer. Le site Web visité par le pirate n’enregistre pas sa « véritable adresse IP et enregistre à la place l’adresse IP du proxy », c’est-à dire celle du routeur compromis en amont. Le FBI indique que les routeurs compromis sont massivement utilisés dans le cadre d’activités illégales, comme le vol de cryptomonnaies. Des pirates chinois s’en servent aussi pour mener des opérations d’espionnage aux États-Unis.
Changez de routeur
Plusieurs signes permettent de deviner qu’un routeur a été piraté par un botnet. Il arrive souvent que l’appareil se mette à surchauffer ou rencontre des problèmes de connexion réseau de plus en plus fréquemment. L’apparition de comptes administrateurs inconnus et d’un trafic réseau anormal ou excessif doit également vous alerter.
« Si vous pensez qu’il y a une activité suspecte sur un appareil, appliquez toutes les mises à jour de sécurité et de micrologiciel nécessaires, changez votre mot de passe et redémarrez le routeur », explique le FBI dans son avis.
Si c’est possible, prenez le temps d’installer la dernière mise à jour déployée par le fabricant sur tous vos routeurs. Dans le scénario dans lequel aucune mise à jour n’est disponible, il faut se résoudre à changer de routeur et opter pour un appareil plus récent. C’est la seule façon de se protéger contre les cyberattaques. Si vous ne pouvez pas changer de routeur, « connectez-vous aux paramètres du routeur et désactivez la gestion à distance/l’administration à distance », recommande le FBI.
Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
FBI