Bugs, Actualités

Des milliers de routeurs D-Link sous le contrôle du botnet AryStinger

par Pieter Arntz | 22 juin 2026
Réseau D-Link
Ajouter comme source préférée sur Google

Des chercheurs ont découvert que le botnet AryStinger, récemment mis au jour, avait discrètement pris le contrôle de milliers de routeurs D-Link en fin de vie et de certains périphériques de stockage en réseau (NAS), les transformant en un réseau distribué de scan et de proxy que les pirates peuvent utiliser pour dissimuler leurs activités et lancer des attaques contre d’autres cibles. 

Le fait que vos appareils soient contrôlés par un botnet ne constitue pas seulement un problème pour les personnes ciblées. Cela peut également mettre en danger votre vie privée et votre sécurité. 

Le botnet AryStinger repose principalement sur des routeurs D-Link DIR-850L et DIR-818LW piratés. Bien que ces appareils aient depuis longtemps atteint leur fin de vie, ils sont encore largement utilisés dans les foyers et les petits bureaux, ce qui en fait des cibles de choix pour les opérateurs de botnets.

Les pirates ont exploité des failles de sécurité révélées il y a 13 ans pour compromettre un grand nombre de routeurs. Selon les chercheurs :

« Au moins 4 300 routeurs à travers le monde ont déjà été infectés, et ce nombre ne cesse d'augmenter. »

En ciblant des routeurs qui ne sont plus pris en charge par le fabricant, les pirates parviennent à accéder à des appareils qui ne recevront plus jamais de correctifs de sécurité, mais qui restent connectés à Internet.

AryStinger transforme chaque appareil infecté en ce que les chercheurs appellent un « Executor » : un nœud contrôlé à distance capable d'analyser des réseaux, de servir de proxy, de créer des tunnels et d'exécuter des commandes pour le compte du pirate.

Le contrôleur du botnet divise les tâches de reconnaissance de grande envergure en plusieurs tâches plus modestes et les répartit entre ces « Executors », transformant ainsi une flotte de routeurs grand public en une plateforme de balayage à grande échelle.

L'objectif principal de ce botnet est d'effectuer des opérations de reconnaissance à grande échelle. Le contrôleur peut :

  • Transmettre les tâches d'analyse (portant sur des plages d'adresses IP, des ports ouverts et des enregistrements DNS) à plusieurs exécuteurs en parallèle.
  • Utilisez ces résultats pour cartographier les réseaux, identifier de nouveaux services vulnérables et préparer de nouvelles intrusions (« footprinting »).

Pour les propriétaires d'appareils infectés, la capacité d'AryStinger à altérer les paramètres DNS est particulièrement préoccupante. Cela permet aux pirates de :

  • Rediriger le trafic de navigation des victimes vers des pages de hameçonnage ou des sites hébergeant des logiciels malveillants.
  • Surveiller discrètement et, éventuellement, intercepter l'ensemble du trafic réseau entrant et sortant transitant par le routeur ou le NAS.

Cela peut exposer à des risques des appareils qui, autrement, seraient bien protégés. Les téléphones portables, les tablettes et les ordinateurs portables connectés au routeur piraté peuvent également être redirigés.

Comment savoir si vous êtes concerné ?

Pour les propriétaires d'un routeur ou d'un NAS concerné, les signes immédiats peuvent être discrets, voire inexistants. Voici quelques indicateurs possibles :

  • Une connexion légèrement plus lente
  • Des défaillances ou des redirections DNS occasionnelles et inexpliquées
  • Pics de trafic sortant à des heures inhabituelles

Mais les risques sous-jacents sont suffisamment graves :

  • Privacy:des pirates pourraient être en mesure d'inspecter ou de rediriger votre trafic, ce qui leur permettrait potentiellement de récupérer des noms d'utilisateur, des mots de passe, des cookies de session ou d'autres données sensibles.
  • Responsabilité et réputation :votre adresse IP pourrait être utilisée à des fins de fraude, d’attaques par « credential stuffing », de harcèlement ou d’autres activités criminelles, ce qui pourrait attirer l’attention des fournisseurs de services ou des forces de l’ordre — un phénomène déjà observé dans d’autres botnets de proxys.
  • Pénétration dans votre réseau :en particulier sur les périphériques NAS compromis, les attaquants peuvent être en mesure de cartographier les réseaux internes et de rechercher d'autres systèmes à cibler.

Que faire

Ce n' est pas la première fois que des pirates mettent en place un botnet à partir d'équipements réseau abandonnés. Malheureusement, la solution la plus efficace est aussi la moins répandue : remplacer les routeurs et les périphériques NAS en fin de vie.

Si cela n'est pas possible dans l'immédiat, vous pouvez prendre certaines mesures pour rendre votre appareil plus difficile à pirater :

  • Installez la dernière version du micrologicieldisponible pour votre appareil, même s'il est ancien, et consultez les avis de sécurité publiés par le fabricant concernant les vulnérabilités connues.
  • Remplacez le mot de passe administrateur par défautpar un mot de passe ou une phrase de passe unique et complexe ; ne réutilisez jamais les mots de passe d'autres comptes.
  • Désactivez la gestion à distancedepuis Internet (WAN). Accédez à l'interface d'administration uniquement depuis votre réseau domestique ou professionnel.
  • Utilisez chiffrement sans fil WPA2 ou WPA3 chiffrement un mot de passe Wi-Fi fort pour réduire le risque d'abus local.
  • Si votre routeur le permet,désactivez les services inutilisés, tels que l'UPnP côté WAN ou les anciens protocoles d'accès à distance.
  • Lancez une analyse anti-malware sur les ordinateurs et autres appareils connectés au routeur afin de vérifier si certains d'entre eux ont été infectés séparément pendant que le trafic était altéré.

Même si vous suivez toutes ces recommandations, un routeur en fin de vie doit être considéré comme non fiable. Prévoyez de le remplacer dès que possible.

Nous ne nous contentons pas de signaler les menaces, nous les éliminons.

Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éliminez les menaces de vos appareils en téléchargeant Malwarebytes dès aujourd'hui.

À propos de l'auteur

Pieter Arntz

Pieter Arntz

Chercheur en intelligence malveillante

A été un Microsoft MVP dans le domaine de la sécurité des consommateurs pendant 12 années consécutives. Parle quatre langues. Sente l'acajou et les livres reliés en cuir.

DERNIERS ARTICLES

Escroqueries
Avertissement concernant la messagerie vocale

Les escroqueries liées à la livraison de documents : de quoi s'agit-il et quel est leur objectif ?

Juin 22, 2026

Un message vocal qui semblait officiel s'est avéré être une arnaque. Découvrez comment fonctionnent les arnaques liées à la livraison de documents et ce qu'il faut faire si vous en recevez une.

Actualités
semaine de la sécurité

Une semaine dans le domaine de la sécurité ( 15 au 21 juin)

Juin 22, 2026

Liste des sujets que nous avons abordés au cours de la semaine du 15 au 21 juin 2026

Actualités
Arrêt à distance SocGolish

Près de 15 000 sites web infectés ont été nettoyés dans le cadre de l'opération de lutte menée par SocGholish

Juin 19, 2026

Des milliers de sites web courants ont été nettoyés dans le cadre d'une opération mondiale visant le réseau de logiciels malveillants à l'origine d'escroqueries liées à de fausses mises à jour de navigateur.

Ajouter comme source préférée sur Google

Articles connexes

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries