06.02.2024 - Un cas d’intrusion cybercriminelle dans le réseau d’un particulier a été signalé à l’OFCS. Après avoir chiffré les photos de famille privées et d’autres données, ils ont déposé une lettre de chantage réclamant une somme considérable à titre de rançon.
Les modes de fonctionnement des routeurs privés
Toute personne disposant d’Internet à la maison utilise généralement un « routeur », qui sert de point de connexion entre le réseau domestique et Internet. La plupart du temps, le routeur est mis à disposition par le fournisseur d’accès à Internet. Les routeurs gèrent le trafic Internet et les données entre les appareils de différents réseaux et permettent à plusieurs appareils d’un réseau interne d’utiliser la même connexion Internet. Ainsi, différents membres d’un même foyer peuvent également utiliser la même connexion Internet avec leurs appareils. Lorsque le routeur est en mode « routeur », un réseau privé est créé et les appareils qui y sont connectés - ordinateurs, tablettes, téléphones portables, etc. - ne sont donc pas directement visibles et accessibles depuis Internet. Cela concerne également les périphériques de stockage en réseau connectés (Network Attached Storage NAS).
Malheureusement, certains fournisseurs d’accès continuent de livrer leurs appareils en mode « bridge » (pont). Dans cette configuration, aucune fonctionnalité « routeur » n’est disponible, ce qui implique que les appareils utilisés dans le réseau domestique sont directement connectés à Internet et ainsi exposés à toutes sortes d’attaques lancées depuis Internet. Il convient d’éviter cela à tout prix et d’insister auprès du fournisseur d’accès pour que la configuration soit en mode « routeur ». Des exceptions se justifient uniquement si l’on exploite un routeur séparé entre le routeur et les appareils connectés. Mais cela n’est recommandé qu’aux utilisateurs avertis.
La reprise du périphérique NAS
Dans le cas présent, le routeur de la victime était pourtant bien dans le mode « routeur » recommandé. Mais alors, comment les pirates ont-ils pu s’introduire ? Et bien, il s’agit de la « redirection de port » (ou transfert de port), également appelée « port forwarding » ou « network address translation (NAT) » selon l’appareil. Cela consiste à rendre disponible vers l’extérieur un service particulier proposé par un appareil interne. Cela est utile lorsqu’un service tel qu’un serveur de fichiers, une caméra de surveillance ou la commande du chauffage doit être accessible à distance. L’ouverture de certains ports n’expose pas directement tout le réseau, mais seulement ce service. Mais si ce service n’est pas suffisamment protégé (mot de passe faible) ou s’il est techniquement vulnérable, une intrusion peut se produire, parfois avec des conséquences fatales. C’est exactement ce qui s’est passé dans notre cas actuel : une vulnérabilité du système de stockage en réseau a permis aux malfaiteurs de prendre le contrôle de l’appareil, de se déployer sur le réseau domestique pour crypter des données, comme les photos de famille. Conformément aux recommandations de l’OFCS, la victime n’a pas payé de rançon et a déposé plainte auprès de la police cantonale. Les photos restent toutefois malheureusement chiffrées.
Quand est-ce que le routeur protège - et quand n’est-ce pas le cas ?
Un routeur en mode « routeur » n’offre une sécurité suffisante pour le réseau domestique que s’il est doté des derniers patchs de sécurité et qu’aucune redirection de port n’est configurée, c’est-à-dire qu’aucun service n’est accessible de l’extérieur.
L’administration du routeur ne doit notamment pas être visible de l’extérieur. Tous les appareils courants supportent la désactivation de cette fonction ou sont déjà configurés de la sorte à la livraison.
Il convient de noter qu’un routeur ne protège en aucun cas contre le phishing et les logiciels malveillants. En règle générale, les connexions de l’intérieur vers l’extérieur (vers Internet) sont autorisées à volonté - le phishing et les logiciels malveillants exploitent de telles connexions. D’autres mécanismes de protection sont donc nécessaires (p. ex. un logiciel antivirus).
Solutions de protection du réseau domestique
Si, malgré tous les avertissements et les dangers, il est nécessaire de rendre un service interne visible depuis Internet, des moyens de réduire les risques existent.
Mises à jour et mots de passe robustes
D’une part, il est indispensable que tous les appareils du réseau interne bénéficient également des dernières mises à jour. D’autre part, il faut éviter les mots de passe trop courts ou très simples. L’OFCS recommande d’utiliser des mots de passe d’au moins 12 caractères pour les services exposés.
Ne pas tout mettre sur le même réseau
Les services qui sont rendus visibles de l’extérieur ne devraient idéalement pas se trouver dans la même partie du réseau (segment de réseau) que les autres appareils domestiques. Certains routeurs domestiques proposent cette fonction. Le terme « DMZ » est devenu courant pour désigner cette fonction. « DMZ » signifie zone démilitarisée. L’idée est que même si l’appareil exposé est compromis, le reste du réseau interne demeure protégé.
Restreindre l’accès réseau
Il convient de bien réfléchir à la question de savoir si l’accès doit être possible depuis tout l’Internet. Le concept de « geofencing » consiste à n’autoriser l’accès qu’à partir de certains pays. Les fabricants de routeurs intègrent déjà en partie des solutions correspondantes dans leurs appareils. Afin d’éviter de devoir essayer des listes de mots de passe, certains produits permettent également de définir un nombre maximal de tentatives infructueuses après lesquelles l’accès est bloqué.
Utiliser un VPN
L’OFCS recommande l’utilisation d’un VPN (« Virtual Private Network »). Cela permet d’obtenir un accès authentifié et chiffré au réseau domestique sans devoir exposer directement des services. La plupart des appareils prennent en charge un ou plusieurs des protocoles VPN courants tels qu’IPsec, OpenVPN ou Wireguard.
Dans la mesure du possible, les services exposés et les accès VPN devraient être protégés par un deuxième facteur (authentification à deux facteurs, en abrégé « 2FA »).
Si vous n’êtes pas sûr de la sécurité de votre réseau domestique, n’hésitez pas à demander conseil à une connaissance expérimentée ou à une entreprise spécialisée, par exemple.
Statistiques et chiffres actuels
Les annonces de la dernière semaine selon les catégories sont publiées sous:
Dernière modification 06.02.2024