Un routeur est aussi susceptible d'être infecté par un virus qu'un ordinateur. Une raison courante pour laquelle les routeurs sont infectés est que le propriétaire a oublié de modifier le mot de passe administrateur par défaut.
Comment un routeur peut-il attraper un virus ?
Un routeur peut attraper un virus si les pirates parviennent à franchir l'écran de connexion initial et à modifier les paramètres du routeur. Dans certains cas, les virus peuvent modifier le micrologiciel intégré qui contrôle le logiciel du routeur.
Vous n'avez pas besoin de jeter une réparation de routeur infectée et de protéger ensuite cet appareil contre d'autres infections à l'avenir.
Deux virus de routeur courants qui ont infecté des milliers de routeurs dans le passé incluent le cheval de Troie Switcher et VPNFilter.
Comment le virus cheval de Troie Switcher infecte les routeurs
Le cheval de Troie Switcher infecte un smartphone Android via une application ou par un clic sur un e-mail de phishing. Après que le téléphone Android infecté se connecte à n'importe quel réseau Wi-Fi:
- Le cheval de Troie communique avec un serveur central pour rapporter le nom de l'identification de ce réseau.
- Il tente ensuite de se connecter au routeur à l'aide du mot de passe administrateur par défaut de la marque du routeur, ainsi que de tester d'autres mots de passe.
- S'il se connecte, le cheval de Troie modifie les adresses de serveur DNS par défaut en un serveur DNS sous le contrôle de l'auteur du virus.
- Le serveur DNS alternatif redirige tout le trafic Internet de ce réseau Wi-Fi vers les nouveaux serveurs, qui tentent de supprimer les informations sensibles telles que les détails du compte bancaire et de la carte de crédit, les identifiants de connexion, etc.
- Parfois, les faux serveurs DNS renvoient un autre site Web (comme Paypal ou le site Web de votre banque) pour récupérer vos informations de connexion.
Un serveur DNS standard convertit l'URL que vous saisissez dans un navigateur Web (comme google.com) en une adresse IP. Switcher IP modifie les paramètres DNS corrects du routeur (pour les serveurs DNS de votre fournisseur d'accès Internet) aux serveurs DNS du pirate. Les serveurs DNS compromis fournissent alors au navigateur des adresses IP incorrectes pour les sites Web que vous visitez.
Comment le virus VPNFilter infecte les routeurs
VPNFilter infecte les routeurs Wi-Fi domestiques de la même manière que le cheval de Troie Switcher. Habituellement, un appareil se connectant au réseau Wi-Fi est infecté et ce logiciel pénètre dans le routeur domestique. Cette infection se produit en trois étapes.
- Étape 1: Un chargeur de logiciels malveillants infecte le micrologiciel du routeur. Ce code installe des logiciels malveillants supplémentaires sur le routeur.
- Étape 2: Le code de la première étape installe un code supplémentaire qui réside sur le routeur et effectue des actions telles que la collecte de fichiers et de données à partir d'appareils connectés au réseau. Il tente également d'exécuter des commandes à distance sur ces appareils.
- Stage 3: le logiciel malveillant de deuxième étape installe des plug-ins malveillants supplémentaires qui font des choses comme surveiller le trafic réseau pour capturer des informations utilisateur sensibles. Un autre module complémentaire s'appelle Ssler, qui convertit le trafic Web HTTPS sécurisé (comme lorsque vous vous connectez à votre compte bancaire) en trafic HTTP non sécurisé afin que les pirates puissent extraire vos identifiants de connexion ou les informations de votre compte.
Contrairement à la plupart des virus de routeur qui sont effacés lorsque vous redémarrez un routeur, le code VPNfilter reste intégré au micrologiciel après un redémarrage. La seule façon de nettoyer le virus d'un routeur est d'effectuer une réinitialisation d'usine complète en suivant les instructions de réinitialisation d'usine du fabricant.
Il existe d'autres virus de routeur sur Internet, et tous suivent la même tactique. Ces virus infectent d'abord un appareil. Lorsque cet appareil se connecte à un réseau Wi-Fi, le virus tente de se connecter au routeur en utilisant le mot de passe par défaut ou en recherchant un mot de passe mal créé.
Mon routeur a-t-il un virus ?
Si les comportements suivants se produisent sur votre réseau, il est possible que votre routeur soit infecté.
-
Lorsque vous visitez des sites Web qui devraient être sécurisés (comme Paypal ou votre banque), mais que vous ne voyez pas l'icône de verrouillage dans le champ URL, vous êtes peut-être infecté. Chaque institution financière utilise le protocole sécurisé HTTPS. Si vous ne voyez pas l'icône de verrouillage, vos mouvements sur ce site Web ne sont pas cryptés et pourraient être consultés par des pirates.
-
Au fil du temps, les logiciels malveillants peuvent consommer le processeur de l'ordinateur et ralentir les performances. Les logiciels malveillants exécutés sur l'ordinateur ou sur le routeur peuvent provoquer ce comportement. Combiné avec les autres comportements répertoriés, cela peut signifier que le routeur est infecté.
-
Si, après avoir analysé et nettoyé l'ordinateur des logiciels malveillants et des virus, vous voyez toujours des fenêtres pop-up de ransomware exigeant un paiement ou vos fichiers seront détruits, c'est une bonne indication que le routeur est infecté.
-
Lorsque vous visitez des sites Web normaux mais que vous êtes redirigé vers des sites Web étranges que vous ne reconnaissez pas, cela peut indiquer que votre routeur est infecté. Parfois, ces sites peuvent être des sites usurpés qui ressemblent au vrai site.
Si vous êtes redirigé vers des sites qui ne semblent pas corrects, ne cliquez jamais sur les liens et n'entrez jamais les informations de connexion de votre compte. Au lieu de cela, suivez les étapes pour déterminer si un virus est à l'origine du comportement.
-
Si vous cliquez sur les liens de recherche Google et que vous vous retrouvez sur une page Web inattendue qui ne semble pas correcte, cela pourrait être un autre signe que le routeur est infecté par un logiciel malveillant.
Comment réparer un routeur infecté
Pour vérifier si votre routeur est infecté, exécutez une analyse à l'aide des outils en ligne disponibles. Il en existe beaucoup, mais choisissez-en un qui provient d'une source connue et fiable. Un exemple est F-Secure, qui analyse le routeur et détermine si un virus a piraté les paramètres DNS du routeur.
Si votre routeur est propre, vous verrez un message avec un fond vert indiquant qu'il est propre.
Un autre exemple est l'analyse Symantec qui recherche spécifiquement le cheval de Troie VPNFilter. Pour exécuter l'analyse, cochez la case pour indiquer que vous acceptez les conditions, puis sélectionnez Run VPNFilter Check.
Lisez toujours les conditions d'utilisation et l'accord de confidentialité. Parfois, on essaie d'être sournois sur la façon dont il collecte et utilise les données personnelles.
Si des analyses indiquent que votre routeur est infecté, procédez comme suit:
-
Réinitialiser le routeurDans de nombreux cas, le redémarrage du routeur ne le nettoiera pas complètement d'une infection virale. Au lieu de cela, effectuez une réinitialisation complète du routeur. Ce processus nécessite généralement d'insérer un objet pointu comme une épingle dans un petit trou et d'appuyer sur le bouton pendant plusieurs secondes. Consultez le site Web du fabricant pour obtenir des instructions de réinitialisation d'usine.
Une réinitialisation complète des paramètres d'usine efface tous les paramètres du routeur. Vous devrez reconfigurer tous les paramètres à nouveau, donc n'effectuez une réinitialisation d'usine que si vous êtes sûr qu'un virus ou un cheval de Troie a infecté le routeur.
- Mettre à jour le micrologiciel Si votre FAI a fourni le routeur, il y a de fortes chances que le FAI envoie automatiquement les mises à jour du micrologiciel au routeur. Si vous possédez le routeur, visitez le site Web du fabricant pour rechercher et télécharger la dernière mise à jour du micrologiciel pour votre modèle de routeur. Ce processus garantit que le routeur dispose des derniers correctifs pour se protéger contre les derniers virus.
-
Modifier le mot de passe administrateur. Pour empêcher tout virus ou cheval de Troie de réinfecter le routeur, remplacez immédiatement le mot de passe administrateur par quelque chose de plus complexe. Un bon mot de passe est votre meilleure défense contre un routeur infecté.
- Après avoir éliminé le virus, exécutez une analyse antivirus complète sur tous les appareils qui se connectent au routeur infecté.