Votre routeur n’est pas forcément étanche aux cyber-attaques. On vous explique comment y remédier.
On ne le répète jamais assez, prudence est mère de sûreté, surtout en matière de sécurité numérique. Les routeurs, en particulier ceux mis à la disposition des clients par les grands fournisseurs d’accès à Internet, divulguent leurs numéros d’identification via leurs adresses IP. Ces numéros d’identification s’identifient sur des maps accessibles au public. Celles-ci affichent les emplacements des réseaux Wi-Fi.
Les chercheurs Rob Beverly et Erik Rye expliquent : « Un grand nombre de routeurs utilisent un adressage IPv6 hérité qui permet au destinataire de localiser physiquement très précisément ce routeur».
Beverly et Rye ont développé un outil appelé IPvSeeYou. Cet outil recherche sur Internet les adresses IP susceptibles de révéler les numéros d’identification des routeurs. «Nous avons trouvé plus de 60 millions de routeurs qui révèlent leurs adresses MAC», déclarent-ils. «Nous avons pu géolocaliser avec précision environ 12 millions de routeurs résidentiels.»
En analysant le trafic réseau de ces routeurs, Beverly et Rye ont découvert qu’ils pouvaient également localiser approximativement d’autres routeurs. “Le simple fait de vivre à proximité de [ces routeurs exposés] est une menace pour la vie privée”, ont déclaré les chercheurs.
Où est le hic ?
Les adresses IPv6 étaient censées remplacer complètement les adresses IPv4 il y a des années, mais cela ne s’est pas (encore) produit. Au lieu de cela, la plupart des appareils compatibles Internet fabriqués depuis 2005 prennent en charge les deux protocoles, et beaucoup ont à la fois IPv4 et IPv6 activés par défaut. Votre passerelle sans fil domestique pourrait être l’une d’entre elles.
Ce système est assez privé et sécurisé, et il n’y a généralement aucun moyen de lier l’adresse IPv4 ou IPv6 d’une passerelle Internet domestique au BSSID du routeur. Votre adresse IP ne devrait pas être en mesure de restreindre votre emplacement à quelque chose de plus spécifique qu’un état ou une ville.
De même, vos voisins peuvent voir le nom de votre réseau Wi-Fi et le BSSID de votre routeur Wi-Fi domestique, mais ils ne peuvent pas utiliser ces informations pour déterminer votre adresse IP Internet. Mais voilà, il y a une grosse faille dans le système.
À la fin des années 1990 le protocole IPv6 était en cours de développement. Quelqu’un a alors décidé d’insérer les adresses MAC des appareils dans les adresses IPv6 à l’aide de l’algorithme EUI-64.
Très simple pour un appareil à puissance de traitement limitée et a une adresse IPv6 qu’il peut utiliser en plus de son adresse IPv4. Et comme les adresses MAC sont uniques, cela signifie qu’il y a peu de risque d’adresse IPv6 en doublon. Or, EUI-64 est basé sur l’adresse MAC 48 bits, l’identifiant matériel unique que personne sur Internet n’est censé voir.
Les experts ont rapidement réalisé que les appareils intégraient leurs adresses MAC directement dans leurs adresses IPv6. Cela créait un énorme risque pour la confidentialité. Une méthode plus récente et plus aléatoire de création d’adresses IPv6 a été mise à disposition en 2001. “Mais beaucoup d’appareils utilisent encore l’ancien format.” regrette Beverly.
Les conséquences d’une faille de sécurité
À l’heure où les cyber-attaques se démultiplient, il devient vital de pouvoir se protéger. Beverly estime que de nombreux fabricants de périphériques réseau n’ont pas reçu le mémo. Au moins 12 millions de passerelles domestiques utilisent toujours les adresses MAC EUI-64.
En effet, les différentes adresses MAC dans le même appareil sont souvent très proches les unes des autres. Ainsi, l’adresse MAC de l’interface Internet de votre routeur de passerelle domestique, celle qui peut se diffuse sur l’ensemble d’Internet dans le cadre de son adresse IPv6, est probablement très similaire à l’adresse MAC Wi-Fi utilisée dans le BSSID de votre réseau sans fil domestique. C’est le même BSSID dont l’emplacement géographique précis peut être un dossier public.
Tout ce que qu’un mauvais esprit a à faire est de remarquer que les deux adresses MAC sont très similaires. On peut de cette manière obtenir votre adresse IPv6 à l’aide d’outils logiciels courants. Il suffit de dériver l’adresse MAC Internet 48 bits de votre routeur de passerelle domestique. Puis, de rechercher les cartes Wi-Fi en ligne à la recherche de BSSID très proches de l’adresse MAC Internet.
Problème de voisinage
Mettons que vos voisins utilisent le même fournisseur. Ils seront probablement connectés au même routeur à proximité que vous. “Si nous pouvons géolocaliser le routeur du fournisseur de services”, déclarent les chercheurs, “alors nous pouvons géolocaliser les adresses non EUI-64 attachées à ce routeur”.
Ce routeur ISP apparaîtra comme le “dernier saut” du réseau vers votre propre routeur et celui de vos voisins. Et si quelqu’un découvrait alors votre adresse postale à partir de votre adresse IPv6 ? Il saurait que tous ceux qui partagent ce lien ISP de dernier saut vivent à quelques kilomètres de chez vous.
Beverly et Rye ont pris cinq volontaires qui avaient des routeurs de passerelle domestique qui utilisaient des adresses IPv6 dérivées de l’EUI-64. Leur outil IPvSeeYou a localisé avec précision quatre de ces routeurs à environ 50 mètres. Le cinquième appareil n’a pas pu être trouvé et il s’est avéré que ses MAC et Wi-Fi n’étaient pas très similaires.
La même chose fonctionne à une échelle beaucoup plus grande. Sur ces quelque 12 millions de routeurs de passerelle domestique géolocalisés par IPvSeeYou, plus d’un million d’entre eux étaient des routeurs de passerelle Comcast Xfinity situés aux États-Unis.
Rye et Beverly ont cartographié les emplacements géographiques de ces routeurs sur une carte des États-Unis. Ils ont constaté que cela correspondait à la carte de la FCC du service à large bande Comcast.
Des risques contenus
Le processus de géolocalisation IPvSeeYou ne fonctionne pas toujours. Beverly et Rye ont expliqué que certains routeurs de passerelle domestique émis par les fournisseurs utilisent des moyens plus sécurisés pour générer des adresses IPv6 différentes de l’adresse MAC. D’autres routeurs passerelles sont trop éloignés d’une voie publique. Parfois, les adresses MAC d’un même appareil ne se ressemblent pas.
Selon les chercheurs, il faut que les fabricants cessent d’utiliser EUI-64 pour générer des adresses IPv6. Cela n’aidera pas les appareils qui n’auront pas accès à la mise à jour. Beverly et Rye ont contacté plusieurs fournisseurs à ce sujet. Les résultats sont mitigés.
Interrogés par Tom’s Guide, les chercheurs ont répondu qu’ils préféraient louer le fabricant de routeurs allemand Fritz!Box. L’outil IPvSeeYou de Beverly and Rye est disponible gratuitement en ligne et vous pouvez le télécharger sur github.com/6int/IPvSeeYou.
Source : Tom’s Guide