Netcrook Logo
👤 TRUSTBREAKER
🗓️ 18 Apr 2026  

Les routeurs TP-Link obsolètes deviennent des proies pour les botnets : les attaquants Mirai exploitent du matériel abandonné

Alors que des hackers liés à Mirai ciblent d’anciens routeurs TP-Link avec une nouvelle faille dangereuse, les réseaux domestiques du monde entier font face à une nouvelle vague de menaces automatisées.

Imaginez la scène : votre modeste routeur Wi-Fi domestique, clignotant discrètement dans un coin, vient d’être enrôlé dans une cyberguerre mondiale. C’est la réalité inquiétante à laquelle sont confrontés des milliers de foyers et de petites entreprises, alors que des hackers lancent une nouvelle série d’attaques contre des routeurs TP-Link vieillissants - des appareils si dépassés que leurs fabricants les ont abandonnés. Désormais, ces routeurs sont scannés, sondés et, dans de nombreux cas, détournés pour rejoindre des botnets de type Mirai, tout cela à cause d’une faille fraîchement militarisée connue sous le nom de CVE-2023-33538.

Anatomie d’une offensive de botnet

La vulnérabilité au cœur de cette histoire se cache dans l’interface de gestion web de certains routeurs TP-Link, plus précisément dans la gestion des paramètres Wi-Fi. Des chercheurs en sécurité ont découvert qu’en manipulant le champ “ssid1” - destiné au nom du réseau Wi-Fi - un attaquant pouvait injecter des commandes malveillantes directement dans le système d’exploitation du routeur. Cette faille, officiellement répertoriée sous le nom CVE-2023-33538, transforme un simple formulaire de configuration en tremplin pour l’exécution de code à distance.

Dès que la faille a été rendue publique et que la CISA (l’Agence américaine de cybersécurité et de sécurité des infrastructures) l’a signalée comme activement exploitée, les attaquants n’ont pas perdu de temps. Des scripts automatisés ont commencé à balayer Internet à la recherche de routeurs vulnérables, envoyant des requêtes spécialement conçues pour télécharger et exécuter une charge malveillante baptisée “arm7” - une variante connue du tristement célèbre botnet Mirai. Une fois infectés, ces routeurs sont enrôlés dans de vastes attaques par déni de service distribué (DDoS), capables de paralyser des sites web et des services en ligne critiques.

Mais il y a un rebondissement : jusqu’à présent, la plupart des tentatives d’attaque observées ont échoué sur des détails techniques, ciblant les mauvais paramètres ou n’arrivant pas à s’authentifier correctement auprès des routeurs. Beaucoup de scripts d’exploitation utilisent les identifiants basiques admin:admin, mais sans session valide, l’attaque échoue. Autre complication pour les hackers : le firmware ciblé manque souvent des outils nécessaires pour télécharger directement les charges malveillantes. Pourtant, les chercheurs préviennent que ces limitations ne sont que temporaires. La vulnérabilité elle-même est bien réelle, et un attaquant déterminé disposant des bons identifiants peut compromettre un appareil non corrigé en quelques secondes.

Comme TP-Link a officiellement mis fin au support des modèles concernés, aucun correctif ne sera publié. Les utilisateurs sont fortement invités à remplacer ces routeurs immédiatement et, en attendant, à désactiver la gestion à distance, à définir des mots de passe forts et uniques, et à surveiller toute activité suspecte. Les entreprises devraient bloquer le trafic associé et enquêter sur tout comportement inhabituel des routeurs.

Conclusion : Quand l’obsolescence devient une menace

Dans un monde hyperconnecté, même le matériel oublié peut devenir la première ligne du cybercrime. Les attaques Mirai sur les anciens routeurs TP-Link sont un avertissement clair : si un appareil n’est plus pris en charge, il n’est pas seulement obsolète - il devient un risque. Pour tous ceux qui comptent encore sur ces routeurs, le message est sans équivoque : mettez à niveau maintenant, avant que votre réseau ne devienne le prochain soldat enrôlé dans une armée de botnet.

WIKICROOK

  • Injection de commandes : L’injection de commandes est une vulnérabilité où les attaquants trompent les systèmes pour exécuter des commandes non autorisées en insérant des entrées malveillantes dans des champs ou interfaces utilisateur.
  • Chiffrement de bout en bout : Le chiffrement de bout en bout est une méthode de sécurité où seuls l’expéditeur et le destinataire peuvent lire les messages, gardant les données privées face aux fournisseurs de services et aux hackers.
  • Botnet : Un botnet est un réseau d’appareils infectés contrôlés à distance par des cybercriminels, souvent utilisé pour lancer des attaques à grande échelle ou voler des données sensibles.
  • DDoS (Déni de service distribué) : Une attaque DDoS submerge un service en ligne avec du trafic provenant de multiples sources, le rendant lent ou indisponible pour les utilisateurs légitimes.
  • Firmware : Le firmware est un logiciel spécialisé stocké dans les appareils matériels, gérant leurs opérations de base et leur sécurité, et leur permettant de fonctionner correctement.
TP-Link routers Mirai botnet cybersecurity threats
TRUSTBREAKER TRUSTBREAKER
Zero-Trust Validation Specialist
← Back to news