Une faille dans les protocoles de tunneling menace plus de 4 millions de systèmes. Parmi les équipements touchés figurent des serveurs VPN, des routeurs domestiques et des dispositifs réseau essentiels.
Les protocoles de tunneling transportent des données entre différents réseaux en encapsulant des paquets. Ils jouent un rôle clé dans le fonctionnement d’Internet, notamment pour l’exécution d’IPv6 sur des réseaux IPv4. Cependant, des configurations incorrectes exposent ces protocoles à des vulnérabilités. Les chercheurs à l’origine de cette découverte tirent la sonnette d’alarme.
Les protocoles de tunneling, source de la faille
Les chercheurs Mathy Vanhoef et Angelos Beitis ont identifié plusieurs failles exploitables dans des protocoles comme IPIP, GRE et 6in4. De nombreux serveurs acceptent des paquets de tunneling sans vérifier l’identité de l’expéditeur.
Un attaquant peut envoyer un paquet spécialement conçu à un serveur vulnérable. Ce paquet contient l’adresse IP de la victime dans son en-tête interne. Le serveur, sans vérification, transfère ce paquet à la cible. Les en-têtes externes, servant à révéler l’identité de l’attaquant, sont supprimés et rendent ainsi l’attaque anonyme.
Dans certains cas, l’attaquant peut falsifier l’adresse IP source dans le paquet interne. Cette technique complique encore davantage la détection et la neutralisation de l’attaque. Le serveur redirige le trafic vers la cible, ouvrant la porte à des attaques telles que l’usurpation de DNS, l’accès à des réseaux internes ou des dénis de service.
Vous aimerez aussi cet article:
L’étendue des dommages
Une analyse globale a révélé 4,26 millions d’hôtes vulnérables. Parmi eux, plus de 1,8 million présentent des capacités d’usurpation, rendant les attaques encore plus difficiles à détecter.
Les infrastructures compromises servent de proxies unidirectionnels pour des attaques anonymes, notamment des dénis de service (DoS). Ces failles permettent également d’accéder à des réseaux internes et à des appareils IoT connectés, comme les caméras de surveillance.
La majorité des serveurs vulnérables se trouve en Chine, le pays le plus connecté au monde, suivie de près par la France. Ces pays hébergent un grand nombre d’équipements réseau mal configurés, devenant ainsi des cibles privilégiées pour les hackers.
Vous aimerez aussi cet article:
Recommandations pour se protéger
Pour bloquer les paquets de tunneling non authentifiés, les administrateurs système et les FAI doivent mettre à jour leurs configurations. Il est aussi essentiel de surveiller les identifiants de vulnérabilité : CVE-2024-7595, CVE-2025-23018, CVE-2025-23019 et CVE-2024-7596.
Les particuliers doivent vérifier les mises à jour de sécurité de leurs routeurs et appareils connectés. Pour les utilisateurs de VPN, choisir un fournisseur fiable et effectuer des mises à jour régulières est crucial.
