Un nouvel avis multinational prévient que les attaquants parrainés par l’État continuent de compromettre les infrastructures critiques en exploitant des protocoles obsolètes, des informations d’identification par défaut et des périphériques réseau négligés.
Les agences de sécurité mondiales affirment que les entreprises doivent faire preuve de prudence alors que des attaquants parrainés par le gouvernement russe exploitent les faiblesses des routeurs.
Selon un nouvel avis multinational en matière de cybersécurité, les cyberattaquants continuent d’exploiter des appareils réseau insuffisamment protégés et/ou mal configurés au moyen de tactiques ancestrales. Les acteurs malveillants recherchent des appareils affaiblis, généralement des routeurs, ce qui leur permet de compromettre « de manière opportuniste » les réseaux d’infrastructures critiques, selon le bulletin de 19 agences fédérales d’Amérique du Nord, du Royaume-Uni, d’Europe et d’Australie.
Ils transfèrent ensuite les fichiers de configuration vers les serveurs qu’ils contrôlent. Ces fichiers, contenant du texte brut ou des informations faiblement codées comme des informations d’identification ou des détails sur le réseau de l’organisation, détiennent l’essentiel de la valeur potentielle, a noté Seva Ioussoufovitch, analyste de recherche senior chez Info-Tech Research Group.
« Cela peut paraître simple, mais cette tactique est utilisée depuis plus d’une décennie et est clairement toujours efficace », a-t-il déclaré.
Comment fonctionnent les attaques SNMP
Pour lancer leur attaque, les cybercriminels parrainés par l’État envoient des requêtes via le cadre standard SNMP (Simple Network Management Protocol) qui prend en charge l’échange d’informations entre les appareils et les réseaux, ce qui leur permet de rechercher des appareils faibles et non sécurisés utilisant toujours des protocoles SNMPv1 ou SNMPv2 plus anciens qui acceptent des « chaînes communautaires » communes ou par défaut pour l’authentification. Ces chaînes sont généralement des mots de passe partagés, avec des valeurs par défaut publiques prévisibles qui pourraient avoir été laissées intactes par les administrateurs. De plus, bon nombre de ces appareils peuvent rester dans leur configuration de routeur de base.
À l’aide d’adresses IP usurpées, les acteurs malveillants demandent aux agents SNMP exécutés sur ces appareils de copier leurs configurations dans un fichier (généralement « config.bkp » ou « output.txt »), puis de transférer ce fichier vers des serveurs privés virtuels (VPS) qu’ils contrôlent. De plus, les cybercriminels exploitent les vulnérabilités et expositions courantes (CVE) dans les appareils Cisco, ainsi que dans l’outil Smart Install (SMI) de Cisco.
Les acteurs ont exploité, au minimum, CVE-2018-0171 (publié en 2018) et CVE-2008-4128 (publié en 2008), selon le bulletin. Ces deux routeurs Cisco ciblaient, donnant à des attaquants distants non authentifiés la possibilité d’exécuter du code arbitraire, d’entreprendre des actions non autorisées ou de provoquer un déni de service (DoS).
Les groupes notables utilisant cette méthode sont connus dans la communauté de la sécurité sous les noms de « Berserk Bear », « Crouching Yeti », « Dragonfly », « Energetic Bear », « Ghost Blizzard » et « Static Tundra ». Selon le bulletin, les secteurs les plus vulnérables aux cyberacteurs parrainés par l’État russe comprennent les communications, l’énergie, les services financiers, les bases industrielles de défense, les établissements de santé et de santé publique, ainsi que les services et installations gouvernementaux.
Une approche à définir et à oublier, même en 2026
Le problème avec l’hygiène des routeurs est que les appareils sont sensibles à une « confluence de défauts typiques des entreprises » lorsqu’il s’agit de rendre opérationnelle la sécurité, a noté Ioussoufovitch d’Info-Tech.
« De nombreuses organisations adoptent encore une approche de configuration et d’oubli des routeurs et ne les suivent pas comme elles le feraient pour un point final », a-t-il déclaré.
Ce risque est aggravé par le fait que les routeurs sont généralement essentiels à la continuité des activités, ce qui augmente la nécessité de maintenir leur sécurité à jour. Pour aggraver les choses, dans certains cas, il peut également être difficile de savoir qui est en charge de la sécurité des appareils. « La sécurité pointe vers l’équipe réseau et elle renvoie directement vers la sécurité », a noté Ioussoufovitch.
En outre, de nombreuses organisations continuent de s’appuyer sur du matériel existant qui n’est peut-être pas pris en charge, mais qu’elles ne souhaitent pas remplacer.
En fin de compte, a déclaré Ioussoufovitch, « la sécurité des réseaux ne semble tout simplement pas recevoir la même attention que les domaines d’intérêt habituels (comme les points finaux) ».
Recommandation : éloignez-vous immédiatement des anciens protocoles et appareils
Plus précisément, les agences ont exhorté les équipes de sécurité et les administrateurs réseau à passer à SNMPv3, à appliquer des mots de passe sécurisés, à désactiver Cisco Smart Install et à bloquer SNMP et les méthodes courantes de transfert de fichiers « au niveau du pare-feu ».
Les entreprises doivent immédiatement désactiver SNMPv1 et SNMPv2, qui sont des « protocoles hérités et ne devraient plus être nécessaires sur les appareils actuels ». Dans les cas où ils sont toujours jugés nécessaires, passez des paramètres par défaut pour accorder un accès en lecture seule (pas d’accès en lecture-écriture).
SNMPv3 doit être utilisé et configuré selon la « norme de cryptage la plus moderne », indique le bulletin. SNMPv3 ajoute une authentification forte et un cryptage des données non disponibles dans les versions précédentes, et dispose de paramètres codés de manière plus sécurisée pour authentifier et crypter les données.
« Le passage à SNMPv3, qui offre une authentification et un cryptage plus puissants, est une étape claire et réalisable que les équipes de sécurité doivent prioriser dès maintenant », a convenu Ioussoufovitch.
Les agences gouvernementales ont exhorté les entreprises à utiliser des mots de passe forts et uniques pour les comptes locaux sur les appareils réseau, et à surveiller les informations d’identification inhabituelles qui ne correspondent pas aux conventions de dénomination standard, ou une mauvaise configuration dans les journaux ou les systèmes de détection d’intrusion (IDS). Les réseaux doivent prendre en charge l’authentification multifacteur (MFA) et les administrateurs doivent appliquer des listes d’autorisation pour les protocoles de gestion tels que SNMP.
De plus, les entreprises doivent mettre à jour le logiciel des périphériques réseau, retirer les appareils en fin de vie et désactiver Cisco Smart Install sur toutes les machines une fois la configuration initiale terminée, car cela introduit de graves problèmes de sécurité lorsqu’il reste activé par inadvertance, ont indiqué les agences.
La sécurité du réseau doit s’améliorer à tous les niveaux
Cet avis indique que les entreprises pourraient sous-investir dans la sécurité des réseaux, a noté Ioussoufovitch. Les administrateurs et les responsables de la sécurité devraient se poser ces questions :
- Disposent-ils de capacités de détection et de réponse réseau décentes ?
- Appliquent-ils l’analyse et la détection des anomalies aux modèles de trafic réseau ?
- Ont-ils intégré la micro-segmentation dans l’environnement de l’entreprise pour limiter les risques posés par chaque routeur individuel ?
« La mise en place d’au moins certaines de ces mesures proactives, tout en adoptant une approche plus disciplinée en matière de suivi et de remplacement des appareils EOL, peut aider les équipes de sécurité et de réseau à enfin commencer à progresser dans la lutte contre ce type de menaces », a déclaré Ioussoufovitch.
David Shipley de Beauceron Security a convenu que la sécurité des équipements de réseau d’entreprise doit être améliorée, mais a déclaré que cela dépendait davantage des fournisseurs que des fournisseurs d’infrastructures critiques. Les fournisseurs doivent expédier des produits sécurisés par défaut ; les clients ne devraient pas avoir à revenir en arrière et à activer ces fonctionnalités.
Il a ajouté que ce serait formidable de voir des niveaux de sécurité et d’authentification des appareils à l’épreuve de Salt Typhoon. « À l’heure actuelle, il est trivial pour eux d’équiper du matériel réseau », a-t-il déclaré.
Bien que ces orientations soient importantes et utiles, Shipley a déclaré que « construire mieux et sécuriser les expéditions par défaut ferait encore plus ».



