Des inconnus tentent apparemment actuellement d’obtenir l’accès à des cibles faciles sur Internet et visent également les routeurs domestiques. Nous avons reçu en peu de temps plusieurs courriers de lecteurs qui font état de nombreuses tentatives de connexion sur leurs Fritzbox. Ils demandent s’il s’agit d’une menace ou s’il existe des contre-mesures efficaces.
La bonne réponse d’abord : si l’on a tenu compte des consignes de sécurité habituelles (voir à ce sujet les check-lists de sécurité de c’t), il n’y a que peu de danger. Le fabricant de Fritzbox AVM livre les routeurs avec une configuration de sécurité raisonnable et des mots de passe individuels ; en outre, l’interface utilisateur est bloquée par défaut pour les accès depuis le réseau. En réponse à notre demande, AVM a déclaré qu’aucune vague d’attaques visant spécifiquement les Fritzbox n’était actuellement connue.
Sommaire
Consulter des listes
De nos jours, il est déjà normal que l’ensemble de l’Internet soit constamment scanné à la recherche de services vulnérables. Les chercheurs en sécurité, mais aussi les cybercriminels, s’en chargent. Google, par exemple, observe en permanence de tels scans, comme l’entreprise l’a récemment écrit dans une analyse d’attaques réussies sur des systèmes en nuage.
Ils tentent également de compromettre des services vulnérables, par exemple en s’introduisant dans des systèmes sécurisés par des données d’accès faibles. Important à savoir : Si vous créez un login pour le routeur en réutilisant des mots de passe d’autres services ou en utilisant un mot de passe faible, vous mettez votre réseau en danger..
Dans ces cas, les pirates testent apparemment des listes d’adresses électroniques et de mots de passe correspondants en se succédant lentement. En espaçant les connexions, ils tentent d’éviter les blocages automatiques en cas de trop nombreuses connexions erronées en peu de temps.
Autres anomalies
Les scans observés par nos lecteurs ont une source commune : ils proviennent d’une machine de la plage IP de l’hébergeur néerlandais Peenq. Il est toutefois impossible de dire à distance si le système est loué ou compromis. Bloquer cette adresse unique ne permet toutefois pas de lutter contre les scans. De telles cyberattaques ont lieu en permanence à partir de diverses adresses IP.
Qu’est-ce qui est donc utile dans la pratique ? La seule façon de se débarrasser des tentatives de connexion consignées est de rendre les services du routeur inaccessibles de l’extérieur. L’accès à distance à l’interface utilisateur ne devrait être activé qu’en cas de besoin et désactivé par la suite. Une autre solution consisterait à établir une connexion VPN et à accéder à la Fritzbox à partir de cette connexion en cas de besoin. Comme le service VPN est alors activé, les tentatives de connexion pourraient également avoir lieu et être consignées. Il s’agit ici d’un test pratique.
Il est également recommandé d’appliquer l’hygiène de sécurité habituelle : utiliser pour chaque service des mots de passe individuels et suffisamment complexes et longs, si possible avec une authentification supplémentaire via un deuxième facteur (2FA). AVM soutient par exemple les applications Authenticator comme celles de Google, qui créent un mot de passe à usage unique (TOTP) valable pendant une durée limitée. La surface d’attaque peut être minimisée en désactivant tous les services non nécessaires. En outre, toutes les mises à jour logicielles disponibles pour le routeur devraient être installées ; dans l’idéal, l’appareil propose une fonction de mise à jour automatique.
Lire aussi
