À la fin du mois d’octobre 2023, les abonnés du FAI américain Windstream ont été très nombreux à relever un gros problème de dysfonctionnement du routeur fourni par le fournisseur d’accès à ses clients : ce dernier, un ActionTec T3200 Windstream, a tout simplement cessé de fonctionner et donc de donner accès à Internet. « Le routeur reste bloqué avec une lumière rouge constante à l’avant », écrivait un utilisateur à l’époque. « Même un reset n’y change rien ».

Il s’avère qu’en l’espace de 72 heures, 600 000 routeurs ont été concernés par le problème. Pour certains clients de Windstream travailleurs indépendants ou en télétravail, cela a entraîné d’importantes pertes financières. D’autant plus que Windstream est disponible dans certains endroits reculés des USA, où aucune alternative n’est proposée.

Le FAI a aussi été pointé du doigt pour son manque criant de réactivité face au problème. « C’est triste qu’une entreprise puisse traiter des clients comme ça et ne s’en soucie pas », déclarait alors un autre client du service. Au bout de quelques jours, Windstream s’est contenté d’envoyer un nouveau routeur à ses clients lésés, sans en dire plus.

Un mystérieux malware en cause dans la panne

Les clients de Windstream ont, un temps, accusé une mise à jour déployée sur les routeurs du FAI d’être la cause principale de cette panne massive. Mais selon Black Lotus Labs, une entité de la société de sécurité Lumen Technologies, il n’en est rien. Le problème viendrait en réalité d’un logiciel malveillant qui a fait des ravages.

Les experts en sécurité de Black Lotus Labs ont constaté que les 600 000 routeurs devenus inopérants en seulement 72 heures s’étaient tous connectés au même système autonome appartenant à un fournisseur d’accès à Internet, qui n’est pas cité. « Les données de balayage public ont confirmé l’élimination soudaine et précipitée de 49 % de tous les routeurs connectés au numéro de système autonome (ASN) impacté de l’ISP pendant cette période », explique le rapport.

Les conséquences de l'attaque sur le parc de routeurs

C’est un cheval de Troie connu depuis 2018 sous le nom de Chalubo qui serait à l’origine des problèmes rencontrés par les clients du FAI. Ce malware est notamment conçu pour effectuer des attaques DDoS et il est capable d’exécuter n’importe quel script personnalisé sur les appareils infectés. Selon les chercheurs, le trojan aurait donc été programmé pour effacer le micrologiciel du routeur, entrainant une panne irréparable.

Une source d’inquiétude pour les experts en sécurité

Probablement pour des raisons légales, les professionnels de Black Lotus Labs n’indiquent pas quel est le FAI en cause, mais tout laisse penser qu’il s’agit de l’attaque subie par Windstream puisque tout concorde au niveau des dates et de la situation rencontrée par les clients. Et selon les experts, les hackers voulaient probablement faire encore plus de dégâts, mais n’y sont pas parvenus.

Y a-t-il un risque que ce type d’attaque recommence ailleurs ? Les chercheurs n’écartent pas cette éventualité et soulignent, en tout cas, que la situation rencontrée par le fameux FAI est une « première » : « L’événement a été sans précédent en raison du nombre d’unités touchées - aucune attaque dont nous nous souvenons n’a nécessité le remplacement de plus de 600 000 appareils », précise le rapport.

En outre, le problème en question a ciblé un fournisseur d’accès à Internet privilégié par des personnes vivant dans des zones rurales isolées, parfois sans aucun autre moyen de communication. « Des lieux où les résidents peuvent avoir perdu l’accès aux services d’urgence, les exploitations agricoles peuvent avoir perdu des informations critiques en surveillant à distance les cultures pendant la récolte, et les prestataires de soins de santé coupés de la télésanté ou des dossiers des patients. Il va sans dire que la récupération après toute interruption de la chaîne d’approvisionnement prend plus de temps dans les communautés isolées ou vulnérables », explique le rapport.

Une attaque qui n'a pas dévoilé tous ses secrets

À ce jour, les experts de Black Lotus Labs ne savent pas expliquer clairement de quelle manière les hackers s’y sont pris pour déployer le logiciel malveillant sur les routeurs. De quoi rendre l’attaque encore plus mystérieuse et donc plus inquiétante : on imagine que de nombreux FAI sont, aujourd’hui, sur le qui-vive.