Au moins 700 000 routeurs ADSL dans le monde auraient des failles de sécurités majeures
Le chercheur en sécurité Kyle Lovett s'est intéressé à ses heures perdues à une faille de sécurité découverte en 2011. Il a découvert qu'au moins 700 000 routeurs ADSL distribués par des opérateurs dans 12 pays seraient touchés par cette dernière. Les produits en question seraient les ZTE H108N et H108NV2.1, D-Link 2750E, 2730E et 2730U, Sitecom WLM-3600, WLR-6100 et WLR-4100, FiberHome HG110, Planète ADN-4101, Digisol DG-BG4011N, et Observa Telecom BHS_RTA_R1A, ainsi que des leurs pendants rebrandés par des opérateurs.
La faille en question permet de récupérer à distance le fichier config.xml sans avoir à s'identifier au routeur. Or, ce dernier contient l'essentiel des paramètres du routeur. Certains sont en clair, d'autres comme les mots de passe sont chiffrés mais de manière faible, ce qui permet de les décoder sans grandes difficultés.
Une fois ce travail fait, il est possible de se connecter en tant qu'administrateur aux routeurs et soit d'écouter ce qui s'y passe, soit modifier des paramètres comme ceux des DNS pour détourner des requêtes vers des sites de phishing.
En fait, tout est alors accessible, du mot de passe administrateur aux informations de connexion Wi-Fi ou aux identifiants de connection PPPoE.
Environ 60% de ces routeurs ont également une seconde faille qui permet tout simplement d'accéder à un dump de leur RAM et ainsi d'y récupérer aussi tout ce qui y passe.
Visiblement tous les firmwares de ces produits auraient été développés par une même société appelée Shenzhen Gongjin Electronics et basée en Chine. Le chercheur se demande si cette faille est fortuite et liée à un mauvais codage ou si elle a délibérément été introduite. Elle n'a en tout cas répondu à aucune des questions du chercheur.
Notez pour finir que le chiffre de 700 000 a été obtenu en allant sur des moteurs de recherche spécialisés qui permettent de trouver des équipements connectés à internet. Il reste prudent étant donné qu'il ne prend pas en compte les appareils dont l'administration à distance est désactivée mais qui restent néanmoins faillibles si l'on connaît leur adresse IP.