Certains modèles de routeurs D-Link obsolètes sont particulièrement exposés. Parmi eux, on retrouve les modèles suivants :

• D-Link DIR-645 (firmware 1.04b12 et versions antérieures)
• D-Link DIR-806
• D-Link GO-RT-AC750 (révisions A et B)
• D-Link DIR-845L (v1.01KRb03 et versions plus anciennes)

Ces appareils sont vulnérables à plusieurs failles critiques, identifiées sous les références CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 et CVE-2024-33112. Ces failles permettent aux attaquants de prendre le contrôle des appareils et de les utiliser à des fins malveillantes, notamment pour des attaques DDoS.

Ficora : un botnet sophistiqué et persistant

Le botnet Ficora, une variante de l’infâme botnet Mirai, s’est particulièrement distingué depuis octobre 2024 par son activité soutenue. Il exploite le protocole HNAP (Home Network Administration Protocol), conçu pour faciliter la gestion des réseaux domestiques, en utilisant la fonction GetDeviceSettings. Cette méthode permet aux attaquants de déployer un script malveillant baptisé "multi", qui télécharge et exécute le malware principal.

Ce malware est capable de mener des attaques DDoS complexes en utilisant les protocoles UDP, TCP et DNS. De plus, il intègre une fonction de force brute pour compromettre d'autres appareils en utilisant des identifiants prédéfinis. Ces caractéristiques lui confèrent une grande efficacité et une large portée géographique. Bien que le Japon et les États-Unis soient les plus touchés, des pays européens comme la France, l’Espagne, l’Allemagne et l’Italie ne sont pas épargnés.

Capsaicin : un botnet discret mais redoutable

Contrairement à Ficora, le botnet Capsaicin est beaucoup plus ciblé et actif sur de courtes périodes. Développé par le groupe Keksec, connu pour d'autres botnets tels qu’EnemyBot, Capsaicin se distingue par sa capacité à neutraliser les autres logiciels malveillants présents sur les appareils infectés. Il utilise un script appelé "bins.sh" pour déployer des fichiers malveillants adaptés à différentes architectures Linux.

Capsaicin a concentré ses attaques sur deux jours, les 21 et 22 octobre 2024, avec une activité limitée principalement aux pays d’Asie de l’Est. Une fois installé, ce malware envoie des informations sur l’hôte au serveur de commande et contrôle (C2) pour coordonner de futures attaques. Bien que son impact soit moins global, il reste tout aussi dangereux pour les systèmes ciblés.

Pourquoi ces attaques perdurent-elles ?

Ces attaques exploitent des failles de sécurité connues depuis plusieurs années. Cependant, leur persistance s'explique par plusieurs facteurs :

- Appareils non mis à jour : Les utilisateurs ne mettent pas toujours à jour leurs firmwares, laissant les vulnérabilités ouvertes.

- Mots de passe par défaut : Les identifiants standards des routeurs restent souvent inchangés, facilitant les attaques par force brute.

- Accès distant activé : Les fonctionnalités d'accès à distance, rarement nécessaires pour un usage domestique, créent des points d'entrée supplémentaires.

Comment se protéger ?

Si vous utilisez un routeur D-Link, voici quelques mesures essentielles pour sécuriser votre appareil :

1. Mettez à jour votre firmware. Rendez-vous sur le site officiel de D-Link pour télécharger les dernières mises à jour correspondant à votre modèle.
2. Changez les mots de passe par défaut. Optez pour des mots de passe robustes et uniques.
3. Désactivez les fonctionnalités inutiles. Si vous n’utilisez pas l’accès distant, désactivez cette option dans les paramètres de votre routeur.
4. Surveillez votre réseau. Une activité inhabituelle peut être un signe d'infection ou d'attaque en cours.

Ces attaques sur les routeurs D-Link rappellent que la sécurité numérique repose sur des gestes simples mais essentiels : mettre à jour, sécuriser, surveiller.

Loin d’être un problème uniquement technique, ces vulnérabilités montrent comment des appareils du quotidien peuvent devenir des armes dans une guerre numérique globale. En protégeant vos routeurs, vous protégez aussi votre place dans un réseau interconnecté où chaque maillon compte.