En bref

• Trois vulnérabilités majeures d’exécution de code à distance (RCE) ont été découvertes dans les routeurs D-Link DIR-878.
• Les détails techniques et des exploits publics pour ces failles sont désormais disponibles en ligne.
• D-Link a mis fin au support du DIR-878 en 2021 et ne publiera pas de correctifs de sécurité.
• Les attaquants peuvent prendre le contrôle des routeurs vulnérables à distance, sans avoir besoin de mot de passe.
• Les experts recommandent aux utilisateurs de remplacer ou de restreindre strictement l’accès aux appareils concernés.

Quand le vieux matériel devient une cible ouverte

Imaginez votre routeur domestique comme un gardien autrefois digne de confiance, désormais à la retraite et laissé seul à son poste. Le DIR-878, un modèle D-Link populaire lancé en 2017, était présenté comme un champion double bande à haute vitesse. Mais aujourd’hui, il se retrouve exposé - une relique numérique criblée de failles, alors que des chercheurs révèlent un trio de vulnérabilités critiques permettant aux hackers de prendre le contrôle depuis n’importe où dans le monde.

Ces failles, connues sous le nom de vulnérabilités d’exécution de code à distance (RCE), sont aussi dangereuses que de laisser les clés de votre maison sur le perron. Sans aucune authentification requise, les attaquants peuvent exécuter n’importe quelle commande sur l’appareil, transformant essentiellement un réseau domestique en terrain de jeu personnel. Les détails techniques, y compris des codes d’attaque de type preuve de concept, ont été publiés par le chercheur en sécurité Yangyifan, déclenchant l’alarme dans la communauté cybersécurité.

Au cœur de la faille : comment fonctionnent les attaques

Les vulnérabilités - CVE-2025-60672, CVE-2025-60673 et CVE-2025-60676 - exploitent différentes faiblesses dans la gestion des paramètres réseau et des fichiers système par le routeur. En termes simples, les attaquants peuvent tromper le routeur pour qu’il exécute des instructions malveillantes en envoyant des messages spécialement conçus, sans avoir besoin de mot de passe. Une faille abuse des paramètres Dynamic DNS du routeur, une autre cible le champ IP de la DMZ (zone démilitarisée), et une troisième manipule les règles système temporaires. Il existe même un quatrième bug, moins critique, qui nécessite de brancher une clé USB, mais les principaux risques restent distants et faciles à exploiter.

Ce qui rend la situation particulièrement grave, c’est la disponibilité publique du code d’exploitation - ce qui signifie que n’importe qui, pas seulement des hackers chevronnés, peut lancer des attaques. Les opérateurs de botnets, comme ceux derrière RondoDox, sont connus pour traquer ce type d’appareils non corrigés, les ajoutant à des réseaux mondiaux de matériel détourné pouvant servir à des escroqueries, du vol de données ou à lancer d’autres attaques.

Pourquoi c’est important : leçons des attaques passées

Ce n’est pas la première fois que des routeurs deviennent la proie des cybercriminels. Le tristement célèbre botnet Mirai, par exemple, a exploité des vulnérabilités similaires dans des appareils obsolètes pour paralyser une partie d’Internet en 2016. La décision de D-Link de ne pas corriger le DIR-878 - puisqu’il a cessé de le supporter en 2021 - crée un dilemme bien connu : des milliers de routeurs encore actifs, disponibles neufs ou d’occasion, représentent désormais un risque pour leurs propriétaires et pour l’ensemble du web.

Des autorités comme la CISA (Cybersecurity and Infrastructure Security Agency) américaine classent ces vulnérabilités comme une menace modérée, mais avertissent que la disponibilité publique des exploits pourrait rapidement amplifier leur impact. Le marché du matériel réseau à bas prix, notamment dans les régions en développement, fait que de nombreux utilisateurs ignorent même que leurs appareils sont en fin de vie et exposés.

Que doivent faire les utilisateurs ?

Le conseil de D-Link est sans détour : remplacez les routeurs vulnérables par des modèles encore mis à jour. Pour ceux qui ne peuvent pas effectuer la mise à niveau immédiatement, les experts recommandent de désactiver la gestion à distance et de restreindre l’accès à l’interface web - en verrouillant l’appareil autant que possible. Mais à mesure que la frontière numérique devient de plus en plus hostile, l’histoire du DIR-878 rappelle cruellement que, en cybersécurité, le matériel d’hier peut devenir le maillon faible de demain.

WIKICROOK

• Exécution de code à distance (RCE) : L’exécution de code à distance (RCE) désigne le fait qu’un attaquant exécute son propre code sur le système d’une victime, menant souvent à une prise de contrôle totale ou à la compromission du système.
• Botnet : Un botnet est un réseau d’appareils infectés contrôlés à distance par des cybercriminels, souvent utilisé pour lancer des attaques à grande échelle ou voler des données sensibles.
• Preuve : Une preuve de concept (PoC) est une démonstration montrant qu’une vulnérabilité de cybersécurité peut être exploitée, aidant à valider et évaluer les risques réels.
• Fin : Le chiffrement de bout en bout est une méthode de sécurité où seuls l’expéditeur et le destinataire peuvent lire les messages, gardant les données privées face aux fournisseurs de services et aux hackers.
• DNS dynamique (DDNS) : Le DNS dynamique (DDNS) est un service qui maintient un nom de domaine lié à une adresse IP changeante, permettant un accès à distance fiable mais nécessitant une sécurité renforcée.