Une attaque informatique est en cours à l’encontre d’une vaste gamme de périphériques réseau, rapportent nos confrères de Bleeping Computer. Depuis le mois dernier, des dispositifs de sécurité périphériques, comme un pare-feu (Firewall) ou un VPN (Virtual Private Network), subissent une vague d’attaques par force brute.
Ce type de cyberattaque consiste à essayer de multiples combinaisons d’identifiants jusqu’à trouver la bonne. Pour tester les combinaisons, les cybercriminels se servent de programmes automatisés. C’est ce qui ressort des données recensées par une organisation à but non lucratif spécialisée dans la lutte contre le cybercrime, The Shadowserver Foundation.
Large increase in web login brute forcing attacks against edge devices seen last few weeks in our honeypots, with up to 2.8M IPs per day seen with attempts (especially Palo Alto Networks, Ivanti, SonicWall etc). Over 1M from Brazil. Source IPs shared in https://t.co/kapIq2pIBI pic.twitter.com/LMhFEvAEEL
— The Shadowserver Foundation (@Shadowserver) February 7, 2025
L’association a constaté une « forte augmentation des attaques de connexion Web par force brute contre les appareils périphériques » au cours des dernières semaines. L’offensive, dont le coup d’envoi n’est pas récent, a connu un regain d’activité. Parmi les cibles privilégiées des pirates, on trouve les périphériques réseau de Palo Alto Networks, Ivanti et SonicWall.
À lire aussi : Des milliers d’appareils piratés – un botnet exploite plus de 20 failles pour lancer des cyberattaques
2,8 millions d’adresses IP impliquées
L’ampleur de l’attaque est particulièrement préoccupante. Les tentatives de connexion émanent en effet de près de 2,8 millions d’adresses IP à travers le monde, indique The Shadowserver Foundation. La plupart des adresses proviennent du Brésil, de la Turquie, de la Russie, de l’Argentine, du Maroc et du Mexique.
« Ces attaques, qui consistent en des tentatives de connexion par mot de passe visant des appareils périphériques exposés, se déroulent depuis plusieurs années et s’intensifient progressivement. Cependant, le récent pic est inédit. Le nombre d’adresses IP uniques impliquées est sans précédent et révèle l’ampleur des infections par des logiciels malveillants », relate Piotr Kijewski, PDG de la Shadowserver Foundation, interrogé par l’Information Security Media Group.
Pour orchestrer l’attaque, les hackers se servent essentiellement d’appareils compromis par un botnet, comme des routeurs signés MikroTik, Huawei, Cisco, Boa et ZTE. Ceux-ci sont tombés sous la coupe d’un réseau malveillant à la suite du déploiement d’un malware. Pour arriver à leurs fins, le virus exploite généralement des failles de sécurité. C’est pourquoi les pirates s’attaquent le plus souvent à des routeurs obsolètes ou en fin de vie, dépourvus de mises à jour de sécurité. Sous la coupe des pirates, les routeurs peuvent servir à bombarder des périphériques avec des tentatives de connexion. Le botnet est l’une des armes clés dans l’arsenal des cybercriminels.
À lire aussi : Un hack en moins d’une minute – comment les hackers peuvent vous pirater en un temps record
Comment les pirates échappent au blocage ?
Afin d’éviter que leurs tentatives soient bloquées, les hackers s’appuient sur des réseaux proxy résidentiels. Il s’agit d’une adresse IP associée à un véritable utilisateur qui a souscrit à un fournisseur d’accès Internet. Cette astuce permet de berner les mécanismes de sécurité, censés s’assurer que les demandes de connexion ne viennent pas d’un robot ou d’un réseau d’appareils compromis. Contrairement aux proxies classiques hébergés sur des serveurs, ces adresses IP sont plus difficiles à détecter et à bloquer.
« L’ampleur de cette attaque par force brute souligne une tendance croissante : les cybercriminels utilisent de plus en plus les proxys résidentiels pour rendre leurs attaques plus difficiles à détecter. Ces adresses IP imitent les utilisateurs légitimes, ce qui permet aux attaquants d’échapper aux mesures de sécurité traditionnelles et de déjouer les défenses », explique Benjamin Fabre, cofondateur de DataDome, la plateforme française spécialisée dans la protection contre les bots malveillants.
Il ajoute que « la capacité à identifier avec précision si une requête provient d’un proxy résidentiel est désormais essentielle pour stopper les attaques à grande échelle, telles que les campagnes de credential stuffing et de brute force, avant qu’elles ne réussissent ».
Ce n’est pas la première vague massive d’attaques contre les périphériques réseau recensée ces dernières années. En avril dernier, Cisco alertait déjà au sujet d’une recrudescence des attaques par force brute sur des appareils Cisco, CheckPoint, Fortinet, SonicWall et Ubiquiti à travers le monde.
Comment se protéger contre la cyberattaque en cours ?
Pour protéger les appareils périphériques contre les attaques de force brute, il est important d’opter pour un mot de passe complexe et difficile à deviner. Cette précaution mettra des bâtons dans les roues des programmes employés par les criminels.
À lire aussi : Voici les 20 pires mots de passe de France en 2024, ne les utilisez surtout pas
Comme l’explique Darren James, expert en cybersécurité chez Specops Software, à Forbes, « de nombreuses personnes ne changent toujours pas le mot de passe par défaut ou utilisent plutôt des informations d’identification génériques et faciles à déchiffrer ». Le chercheur pointe aussi du doigt le recyclage de mots de passe, une pratique toujours très populaire qui facilite la vie des cybercriminels.
« La plupart d’entre nous ont déjà utilisé des mots de passe trop simples ou réutilisé des identifiants à un moment donné de leur vie », ajoute l’expert.
Même si « les cybercriminels font évoluer leurs tactiques en permanence », « une bonne gestion des mots de passe peut faire la différence entre rester protégé et voir ses informations compromises dans une fuite de données », abonde Daniel Pearson, PDG de KnownHost.
Par ailleurs, on recommande à tous les utilisateurs d’activer l’authentification à deux facteurs et de restreindre les connexions en autorisant uniquement certaines adresses IP de confiance. Enfin, il est important d’installer toutes les mises à jour disponibles. Si votre appareil est obsolète, il est temps de penser à le remplacer.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Bleeping Computer
