Avez-vous déjà été dérangé par des messages de SMS douteux, tels que “Bonjour, c’est le coursier…” ou “Êtes-vous chez vous ?”. Ces textos, provenant du smishing, un phishing par SMS, sont devenus monnaie courante. Il est étonnant de découvrir que derrière la majorité de ces messages se cachent des petits routeurs cellulaires industriels, dissimulés dans des endroits improbables. Conçus à l’origine pour des applications telles que la connexion de feux de circulation ou de compteurs d’énergie à Internet, ces appareils sont détournés par des escrocs pour diffuser des milliards de SMS frauduleux.
Une enquête menée par Sekoia, une société française spécialisée dans la cybersécurité, a permis de mettre en lumière ce phénomène. En analysant des traces réseaux suspectes dans leurs honeypots, les chercheurs ont découvert plus de 18 000 routeurs cellulaires de la marque Milesight accessibles sur Internet, dont au moins 572 autorisaient des connexions non sécurisées à leurs interfaces d’administration. Ces dispositifs, qui devraient normalement être protégés, se sont révélés être une véritable aubaine pour les cybercriminels.
Ce phénomène illustre la dangerosité des failles de sécurité de petits équipements oubliés, utilisés pour arnaquer des milliers d’internautes.
Les routeurs ciblés par Sekoia, qui fonctionnent avec les technologies 3G/4G/5G, sont conçus pour connecter des équipements distants, comme des capteurs ou des systèmes de contrôle, et sont contrôlables par SMS, scripts Python, ou via des interfaces web. Pour un attaquant, une fois en possession de ces appareils, il devient facile d’envoyer des messages en masse sans crainte d’être identifié. En analysant les notifications, les chercheurs ont mis à jour des campagnes de smishing datant d’octobre 2023, affectant en grande majorité des utilisateurs en Suède, en Belgique et en Italie. Les messages malveillants incitaient les victimes à se connecter à des services gouvernementaux fictifs, leur demandant de “vérifier leur identité” via des liens redirigeant vers des sites frauduleux.
La raison pour laquelle ces routeurs se sont retrouvés compromises n’est pas encore totalement élucidée. Une première hypothèse évoque la vulnérabilité CVE-2023-43261, corrigée en 2023, qui permettait un accès non autorisé à des fichiers de stockage sur l’interface web du routeur. Hélas, certains appareils exploités ne semblaient pas être affectés par cette faille, laissant supposer l’existence d’autres méthodes d’exploitation. Les chercheurs de Sekoia ont identifié des incohérences dans les méthodes d’attaque, notamment des cookies d’authentification que la clé de déchiffrement référencée ne pouvait pas déchiffrer. Par ailleurs, certains sites de phishing étaient suffisamment bien conçus pour limiter l’analyse et le reverse engineering, en empêchant des interactions basiques comme le clic droit.
Ce phénomène de smishing est particulièrement inquiétant, car il permet une distribution décentralisée de SMS frauduleux à travers de nombreux pays, compliquant ainsi leur détection et leur suppression. Les chercheurs estiment qu’il est très probable que d’autres équipements analogues soient déjà utilisés pour des campagnes similaires. Ainsi, la prochaine fois que vous recevez un SMS suspect, pensez à ces petits boîtiers oubliés dans des placards qui constituent une menace bien réelle pour des milliers d’internautes chaque jour. Si vous êtes responsable de la gestion de ce type de matériel, il est impératif de mettre à jour les firmwares et de sécuriser les interfaces pour éviter de devenir une proie facile pour les cybercriminels.
