Ouvrir le menu principal

MacGeneration

Recherche

Un malware particulièrement résistant a infecté des milliers de routeurs Asus

Pierre Dandumont

vendredi 30 mai 2025 à 17:30 • 34

Matériel

Les chercheurs de chez GreyNoise viennent de documenter une attaque d'ampleur, qui cible des routeurs de la marque Asus (RT-AC3100, RT-AC3200, RT-AX55). Le malware, qui touche selon eux environ 9 000 appareils dans le monde, est particulièrement résistant et survit par exemple à une mise à jour de firmware.

L'attaque a été détectée par les outils de la société, qui reposent sur de l'IA. Ensuite, mi-mars 2025, les développeurs de GreyNoise ont pris le relais pour comprendre le fonctionnement du malware. Selon eux, il sert dans ce que l'on appelle un botnet, c'est-à-dire un réseau d'appareils compromis. Les malandrins peuvent les utiliser pour des attaques de type DDOS (déni de service), par exemple.

Le RT-AX55, un des modèles touchés. Image Asus.

L'analyse technique est intéressante, car le malware s'incruste littéralement dans le système du routeur. La première partie de l'attaque consiste à se connecter à distance sur un routeur de la marque, avec des mécanismes d'attaques en force brute (ce qui consiste à tester toutes les possibilités) et l'usage d'une astuce pour éviter la double authentification. Une fois l'accès obtenu, le malware active un accès SSH et coupe l'enregistrement des journaux dans le routeur, pour se cacher. L'accès SSH lui-même est parfaitement légitime, car il est activé grâce à une faille dans les routeurs Asus. Une fois l'accès ouvert, il est persistant et le malware peut être effacé.

Si Asus a depuis corrigé les failles employées par le malware, la mise à jour de firmware n'a pas d'impact sur les appareils déjà compromis. En effet, l'accès SSH ouvert est considéré comme légitime et la clé stockée dans une zone qui n'est pas effacée lors d'une mise à jour de firmware (NVRAM), ce qui est logique : effacer cette mémoire remettrait tous les paramètres à zéro. Le seul moyen de se débarrasser du malware consiste donc à effectuer une remise à zéro totale en effaçant les paramètres, avant d'effectuer la mise à jour.

Dans tous les cas, l'attaque est très élaborée et (surtout) très persistante : l'obligation de remettre à zéro totalement les routeurs est un problème dans certains cas. Et elle est aussi difficile à détecter, étant donné que le malware lui-même disparaît. Il est tout de même possible de vérifier l'accès à certaines adresses, données par GreyNoise.

Source :

Image d'ouverture : CC0

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Les bêtas publiques d'iOS 26, iPadOS 26 ou macOS Tahoe prennent du retard

07:42

• 38


Pornhub, Redtube et YouPorn abandonnent une seconde fois la France

15/07/2025 à 21:10

• 37


On a testé Comet, le navigateur de Perplexity qui explore le web comme nul autre

15/07/2025 à 20:30

• 13


La version Mac de Cyberpunk 2077 sera disponible le 17 juillet sur Steam et le Mac App Store

15/07/2025 à 16:25

• 36


Guide d’achat : nos accessoires tech pratiques pour les télétravailleurs

15/07/2025 à 15:02

• 6


Apple investit 500 millions dans les terres rares et la fabrication d'aimants aux États-Unis

15/07/2025 à 14:57

• 16


Les disques durs de 30 To pour NAS de Seagate sont disponibles

15/07/2025 à 12:11

• 10


Apple envisagerait plus sérieusement d’acheter Mistral pour rattraper son retard dans le monde des IA

15/07/2025 à 10:45

• 87


WeTransfer va utiliser vos fichiers pour former ses IA

15/07/2025 à 10:01

• 47


Découvrez iOS 26 avant l’heure avec du vrai Liquid Glass sur l’écran

15/07/2025 à 08:23

• 9


Orange offre la 5G à tous ses clients pour l’été

15/07/2025 à 07:23

• 30


Une troisième bêta développeurs pour iOS 18.6

15/07/2025 à 07:23

• 13


Tim Cook et Eddy Cue présents cette année à la Sun Valley Conference

14/07/2025 à 21:00

• 9


Une troisième bêta développeurs pour macOS 15.6

14/07/2025 à 20:00

• 2


Le LED Cinema Display fonctionne à merveille avec la Switch 2

14/07/2025 à 13:19

• 23


Le keynote de présentation de l’iPhone 17 aura probablement lieu le 9 ou 10 septembre

14/07/2025 à 10:48

• 18