Quand votre routeur est le maillon faible : le DNS hijacking dans les réseaux SOHO

On oublie souvent notre routeur. Il trône dans un coin, clignote un peu, et on se dit qu'il fait son boulot. Erreur fatale : c'est souvent le point faible de tout votre réseau.

Le piège des routeurs SOHO qu'on ignore

Les réseaux Small Office/Home Office attirent les hackers pros. Sans équipe IT dédiée, comme en entreprise, ils tournent avec des configs par défaut, du firmware ancien et des mots de passe oubliés. Recette idéale pour une attaque.

Un routeur piraté ? L'assaillant s'interpose entre vous et le web entier. Pas juste votre WiFi.

DNS Hijacking : l'arme fatale du man-in-the-middle

Le DNS, c'est l'annuaire du net. Vous tapez gmail.com, votre appareil interroge un serveur DNS via le routeur, qui redirige vers l'ISP ou un resolver public comme 1.1.1.1 de Cloudflare.

Mais si le routeur est compromis, l'attaquant détourne ces requêtes. Votre banque ? Un faux site sous son contrôle. Ça arrive tous les jours à des milliers d'utilisateurs, sans qu'ils s'en doutent.

La chaîne d'attaque adversary-in-the-middle

Avec le DNS hijacking en place, l'assaillant voit tout :

Vol de credentials : Pages de login bidon capturent mails, mots de passe, codes 2FA.

Escroquerie financière : Sites bancaires clonés à la perfection.

Attaques supply chain : Mises à jour d'apps remplacées par du malveillant.

Surveillance totale : Sites visités, mails envoyés, appels API... tout est à lui.

Pourquoi les réseaux SOHO craquent si vite

Les boîtes ont des SOC pour surveiller le trafic. Chez vous ? Un mot de passe genre "admin123" depuis 2019.

Vulnérabilités classiques :

• Credentials par défaut : Jamais changées.
• Firmware non mis à jour : Les patches existent, mais pas installés.
• Authentification faible : WPA2 ok, mais WPA ou rien, c'est mort.
• Aucun monitoring : Impossible de repérer un DNS hijacking.
• Accès physique : Reset facile si mal sécurisé.

Sécurisez votre réseau SOHO : actions concrètes

Panique pas. Agissez maintenant.

1. Changez les accès routeur (tout de suite)

Accédez au panneau admin. Nouveau username et mot de passe forts, uniques.

2. Mettez à jour le firmware

Allez sur le site du fabricant. Activez l'auto-update si possible. C'est là que se cachent les correctifs sécurité.

3. Passez en WPA3

Si supporté, activez-le. Sinon WPA2 mini. Changez le mot de passe WiFi en prime.

4. Optez pour un DNS sécurisé

Zappez celui de l'ISP. Essayez :

• 1.1.1.1 de Cloudflare (privacy first)
• 9.9.9.9 de Quad9 (bloque malwares/phishing)
• 8.8.8.8 de Google (fiable)

Configurez au niveau routeur et devices.

5. Activez DoH ou DoT

DNS-over-HTTPS ou DNS-over-TLS chiffre les queries. Même ISP ou routeur compromis ne voit rien.

6. Vérifiez les logs routeur

Dans le panneau admin, scrutez les logs. Cherchez logins ratés ou changements bizarres.

7. Désactivez UPnP

Pratique, mais ouvre des ports aux malwares. Off unless gaming ou IoT.

8. Créez un réseau invité

Pour guests et objets connectés. Isolés du réseau principal.

Vue dev : sécurisez par défaut

Vous développez pour SOHO ? Assumez que les routeurs users sont déjà ou bientôt compromis.

Concevez solide :

• HTTPS partout : Oubliez le trafic nu.
• Certificate pinning : Bloquez les faux certs.
• Auth multi-couches : 2FA obligatoire.
• Détectez anomalies : IP ou horaires suspects ? Alerte.
• Chiffrez client-side : Données sensibles cryptées avant le réseau.

Le contexte global

Les attaques sur routeurs SOHO évoluent. Les outils hackers scannent auto, exploitent zero-days, se camouflent, persistent post-update, volent data en douce.

Chat et souris : la souris mène pour l'instant.

Et après ?

La sécu, c'est du suivi régulier. Pour votre routeur :

• Check mensuel : Params et logs.
• Updates trimestriels : Rappels calendrier.
• Rotation mots de passe annuelle.
• Review matos annuel : Plus de updates ? Changez-le.

Un routeur de 5 ans sans support ? Remplacez (50-150 €). Moins cher qu'un vol d'identité ou de crypto.

Votre réseau sécurisé commence par ce truc oublié. Bougez-vous.