Publicité en cours de chargement...
VPNFilter : un inquiétant logiciel malveillant qui se répand
Ce malware ciblerait des routeursde petites et moyennes structures, ainsi que des serveurs de fichiers (NAS) des constructeursLinksys, MikroTik, NETGEAR, TP-Link, SOHO et QNAP.
Le malware fonctionnerait en 3 étapes, pour le niveau 1, il semblerait qu'il soit capable de modifier le firmware des appareils puisqu'il persiste au redémarrage des appareils. Le niveau 1 permet de prendre racine dans le système d'information et par la suite de déployer le niveau 2 en établissant des connexions à des serveurs C2 [2]. Il serait apparemment capable de s'adapter à des changement de serveurs C2 (listing important pré-établi, DNS, l'article ne nous le dit pas).
Le niveau 2, non persistant, permet la collecte et l'exfiltration de données, mais aussi de contrôler le périphérique infecté, avec la possibilité de le rendre inutilisable.
Selon les chercheurs, il pourrait être envisagé que ce logiciel malveillant soit utilisé pour mener une attaque destructrice à grande échelle. Le CERT US a d’ailleurs ouvert une alerte sur ce sujet [3].
Le niveau 3 se composerait de modules additionnels au niveau 2, permettant d'analyser le trafic et voler des informations, telles que des identifiants et mots de passe, mais aussi de surveiller des protocoles Modbus SCADA, ainsi qu'un module capable d'établir des connexions avec le réseau TOR.
Talos a développé et mis à disposition plus de 100 signatures SNORT pour détecter l'infection[4].
Si vous utilisez SNORT dans vous outils de détection IDS / IPS, pensez vérifier les mises à jour pour savoir si vous êtes impacté.
Le logiciel malveillant n’est pas simple à éradiquer puisque le niveau 1 s’en prend directement au firmware de l’appareil.
Voici les premières recommandations de Talos pour le moment :
- Les utilisateurs de routeurs SOHO et / ou de périphériques NAS doivent réinitialiser les paramètres d'usine et les redémarrer afin de supprimer les malwares potentiellement destructeurs, non persistants, de niveau 2 et de niveau 3.
- Les fournisseurs de services Internet qui fournissent des routeurs SOHO à leurs clients doivent redémarrer les routeurs au nom de leurs clients.
- Si vous avez l'un des périphériques connus ou suspectés d'être affectés par cette menace, il est extrêmement important que vous travailliez avec le fabricant pour vous assurer que votre périphérique est à jour avec les dernières versions des correctifs. Si ce n'est pas le cas, vous devez appliquer les correctifs mis à jour immédiatement.
Même si la France ne semble pas particulièrement ciblée pour l’instant, soyons prudents et restons sur nos gardes.
[1]
[2]
[3]
[4]
Avez-vous apprécié ce contenu ?
A lire également.
Le futur de l’IA : Big Crunch, Big Freeze ou TVA ?
12 mai 2026 - 06:50,
Tribune
-C’est un fait : nous finirons tous cramés comme des merguez ou gelés comme des ours polaires.
Cyber-résilience hospitalière : renforcer détection et réponse sans surcharger ses ressources
11 mai 2026 - 11:24,
Actualité
- Fabrice Deblock, DSIHLe secteur de la santé n’est plus une cible secondaire, mais un objectif récurrent pour le cybercrime organisé. Entre les exigences de NIS2 et l’interconnexion croissante des systèmes, la seule détection ne suffit plus à contenir les risques. Les établissements doivent désormais renforcer leur capac...
Centre hospitalier de Moulins-Yzeure : conserver une capacité de coordination lorsque la crise survient
05 mai 2026 - 07:15,
Actualité
- Fabrice Deblock, DSIHPlan Blanc, cyberattaque, intoxication… Les établissements de santé doivent piloter des crises impliquant SAMU, services, direction de garde et partenaires extérieurs. Au CH de Moulins-Yzeure, les solutions CrisiSoft structurent l’alerte, le suivi des ressources et la coordination territoriale.
Fuites de données en France : inquiétant, désabusé…ou espoir ?
28 avril 2026 - 08:10,
Tribune
-En 2025, la France a détenu le record du nombre de fuites de données personnelles (ramené à la population), tout pays de l’OCDE confondu.
