Selon The Shadowserver Foundation, une plateforme qui surveille les cybermenaces, près de 2,8 millions d’adresses IP sont impliquées dans cette offensive quotidienne ! Ces assauts s’appuient sur la technique de la force brute : les attaquants tentent un grand nombre de combinaisons de noms d’utilisateur et de mots de passe jusqu’à tomber sur la bonne. Une fois la porte d’entrée trouvée, ils peuvent prendre le contrôle des appareils et s’infiltrer dans des réseaux d’entreprises.
Une attaque mondiale orchestrée par un botnet
L’attaque a commencé en janvier, mais son intensité a explosé ces dernières semaines. La majorité des adresses IP impliquées proviennent du Brésil (1,1 million), mais aussi de Turquie, de Russie, d’Argentine, du Maroc et du Mexique. En réalité, des appareils compromis du monde entier participent à l’opération.
Le mode opératoire laisse penser que cette attaque est orchestrée par un botnet, un réseau d’appareils infectés et contrôlés à distance par des cybercriminels. Les chercheurs de Shadowserver estiment que de nombreux routeurs et objets connectés de marques comme MikroTik, Huawei, Cisco, Boa et ZTE ont été réquisitionnés à leur insu.
Les dispositifs ciblés, comme les pare-feu et les passerelles VPN, sont souvent accessibles sur internet pour permettre le télétravail ou la connexion à distance. Ce sont donc des points d’entrée stratégiques pour les cyberattaquants. Heureusement, quelques mesures simples permettent de limiter les risques : modifier les mots de passe par défaut, car beaucoup d’appareils sont encore configurés avec des identifiants standards (« admin/admin » par exemple), ce qui les rend vulnérables.
Il faut aussi penser à activer l’authentification à deux facteurs (2FA) et limiter l’accès à certaines adresses IP de confiance, car cela réduit le risque d’intrusions indésirables. La désactivation de l’interface d’administration à distance peut être utile, si elle n’est pas indispensable. Et bien sûr, il faut mettre à jour régulièrement le firmware et les correctifs de sécurité pour combler les vulnérabilités connues.
Ce n’est pas la première fois qu’un assaut de cette ampleur a lieu. En avril dernier, Cisco avait déjà mis en garde contre une campagne de force brute ciblant ses équipements, mais aussi ceux de CheckPoint, Fortinet, SonicWall et Ubiquiti. En décembre, c’est Citrix qui alertait sur des attaques visant ses dispositifs Netscaler. Si les cybercriminels multiplient ces stratégies, c’est que beaucoup d’entreprises restent vulnérables… La vigilance et les bonnes pratiques sont donc indispensables pour s’éviter les problèmes.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
