{"id":1291,"date":"2025-10-02T14:00:38","date_gmt":"2025-10-02T12:00:38","guid":{"rendered":"https:\/\/elearningsamba.com\/index.php\/ces-petits-boitiers-planques-dans-des-placards-envoient-des-milliards-de-sms-de-phishing\/"},"modified":"2025-10-02T14:00:38","modified_gmt":"2025-10-02T12:00:38","slug":"ces-petits-boitiers-planques-dans-des-placards-envoient-des-milliards-de-sms-de-phishing","status":"publish","type":"page","link":"https:\/\/elearningsamba.com\/index.php\/ces-petits-boitiers-planques-dans-des-placards-envoient-des-milliards-de-sms-de-phishing\/","title":{"rendered":"Ces petits bo\u00eetiers planqu\u00e9s dans des placards envoient des milliards de SMS de phishing"},"content":{"rendered":"<p>Vous vous \u00eates d\u00e9j\u00e0 demand\u00e9 d\u2019o\u00f9 venaient tous ces SMS bidons qui vous disent \u201cBonjour c\u2019est le coursier\u2026\u201d ou vous demande \u201cEst ce que vous \u00eates chez vous &#8221; ? En gros, ces messages de smishing (phishing par SMS) qui polluent nos t\u00e9l\u00e9phones tous les jours ?<\/p>\n<p>Et bien figurez-vous que dans beaucoup de cas, ils viennent de petits routeurs cellulaires industriels planqu\u00e9s dans des placards \u00e0 balais. Ce sont des trucs con\u00e7us \u00e0 la base pour connecter des feux de circulation ou des compteurs \u00e9lectriques \u00e0 Internet, qui sont d\u00e9tourn\u00e9s par des escrocs pour balancer des milliards de SMS frauduleux.<\/p>\n<p>\n<a href=\"https:\/\/blog.sekoia.io\/silent-smishing-the-hidden-abuse-of-cellular-router-apis\/\">Selon Sekoia<\/a><br \/>\n, la bo\u00eete de cybers\u00e9curit\u00e9 fran\u00e7aise qui a men\u00e9 l\u2019enqu\u00eate, c\u2019est en analysant des traces r\u00e9seau suspectes dans leurs honeypots qu\u2019ils sont tomb\u00e9s sur ce syst\u00e8me. En creusant un peu, ils ont d\u00e9couvert comme \u00e7a plus de 18 000 routeurs cellulaires Milesight accessibles sur Internet, dont au moins 572 d\u2019entre eux qui permettaient \u00e0 n\u2019importe qui de se connecter \u00e0 leurs interfaces d\u2019admin sans authentification. Bref, la porte grande ouverte\u2026<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/korben.info\/cdn-cgi\/image\/width=1200,fit=scale-down,quality=90,f=avif\/routeurs-milesight-smishing-phishing-sms-iot\/routeurs-milesight-smishing-phishing-sms-iot-1.webp\" alt=\"\" loading=\"lazy\"><\/p>\n<p>Ces routeurs, fabriqu\u00e9s par<br \/>\n<a href=\"https:\/\/www.milesight.com\/\">Milesight IoT<\/a><br \/>\n, c\u2019est du mat\u00e9riel industriel costaud. Ce sont des bo\u00eetiers 3G\/4G\/5G qui servent normalement \u00e0 connecter des \u00e9quipements \u00e0 distance, genre des capteurs ou des syst\u00e8mes de contr\u00f4le. Ils sont \u00e9quip\u00e9s de cartes SIM et peuvent \u00eatre contr\u00f4l\u00e9s par SMS, scripts Python ou via interfaces web. Du coup, pour un attaquant, c\u2019est le jackpot car une fois qu\u2019il met la main dessus, il peut envoyer des SMS en masse sans se faire choper.<\/p>\n<p>Les chercheurs de Sekoia ont alors envoy\u00e9 des requ\u00eates aux API non prot\u00e9g\u00e9es de ces routeurs et ont r\u00e9cup\u00e9r\u00e9 le contenu des bo\u00eetes de r\u00e9ception et d\u2019envoi de SMS. Et l\u00e0, surprise, ils ont trouv\u00e9 des campagnes de smishing qui dataient d\u2019octobre 2023. Les messages visaient principalement des num\u00e9ros en Su\u00e8de, en Belgique et en Italie. Les textos envoy\u00e9s demandaient aux gens de se connecter \u00e0 des services gouvernementaux bidon pour \u201cv\u00e9rifier leur identit\u00e9\u201d, avec des liens qui menaient vers des sites frauduleux r\u00e9cup\u00e9rant les identifiants.<\/p>\n<p>Rien qu\u2019en analysant les SMS, on d\u00e9nombre de 42 044 num\u00e9ros su\u00e9dois uniques et 31 353 num\u00e9ros italiens cibl\u00e9s dans des campagnes de masse lanc\u00e9es simultan\u00e9ment. La Belgique serait m\u00eame le pays le plus touch\u00e9, avec plusieurs campagnes observ\u00e9es entre novembre 2022 et juillet 2025.<\/p>\n<p>Alors comment ces routeurs se sont-ils retrouv\u00e9s compromis ?<\/p>\n<p>Et bien c\u2019est pas encore totalement clair. Une premi\u00e8re piste, c\u2019est la<br \/>\n<a href=\"https:\/\/www.cvedetails.com\/cve\/CVE-2023-43261\/\">CVE-2023-43261<\/a><br \/>\n, une vuln\u00e9rabilit\u00e9 corrig\u00e9e en 2023 avec la version 35.3.0.7 du firmware. En gros, il s\u2019agit d\u2019une mauvaise config qui rendait les fichiers de stockage du routeur publiquement accessibles via l\u2019interface web. Pire encore, certains de ces fichiers contenaient les mots de passe chiffr\u00e9s des comptes admin, mais aussi la cl\u00e9 de chiffrement et le vecteur d\u2019initialisation pour les d\u00e9chiffrer. Donc autant dire que c\u2019\u00e9tait cadeau pour les cybercriminels.<\/p>\n<p>\n<a href=\"https:\/\/www.vulncheck.com\/blog\/real-world-cve-2023-43261\">Selon le chercheur Bipin Jitiya<\/a><br \/>\n, qui a d\u00e9couvert cette faille, un attaquant pouvait r\u00e9cup\u00e9rer le mot de passe en clair et prendre le contr\u00f4le total du routeur. \u00c0 noter que la majorit\u00e9 des 572 routeurs identifi\u00e9s comme non s\u00e9curis\u00e9s tournaient avec des versions de firmware 32 ou ant\u00e9rieures, donc ultra-vuln\u00e9rables.<\/p>\n<p>Mais attention, l\u2019histoire se complique. Les chercheurs de Sekoia ont trouv\u00e9 des incoh\u00e9rences avec cette th\u00e9orie. Par exemple, un cookie d\u2019authentification trouv\u00e9 sur un routeur pirat\u00e9 ne pouvait pas \u00eatre d\u00e9chiffr\u00e9 avec la cl\u00e9 et le vecteur d\u2019initialisation d\u00e9crits dans l\u2019article de Jitiya. Et puis, certains routeurs utilis\u00e9s abusivement dans les campagnes de smishing tournaient avec des versions de firmware qui n\u2019\u00e9taient pas sensibles \u00e0 la CVE-2023-43261.<\/p>\n<p>Du coup, il y a probablement d\u2019autres m\u00e9thodes d\u2019exploitation en jeu.<\/p>\n<p>Les sites de phishing eux-m\u00eames \u00e9taient assez bien foutus. Ils utilisaient du JavaScript pour ne d\u00e9livrer du contenu malveillant que si vous acc\u00e9diez au site depuis un t\u00e9l\u00e9phone mobile. Un autre site d\u00e9sactivait carr\u00e9ment le clic droit et les outils de d\u00e9bogage du navigateur. Bref, des techniques pour compliquer l\u2019analyse et le reverse engineering.<\/p>\n<p>Certains de ces sites loggaient aussi les interactions des visiteurs via un bot Telegram appel\u00e9 \u201c<em>GroozaBot<\/em>\u201d. Ce bot serait op\u00e9r\u00e9 par un acteur nomm\u00e9 \u201c<em>Gro_oza<\/em>\u201d, qui semble parler arabe et fran\u00e7ais. De plus, les artefacts JavaScript trouv\u00e9s font r\u00e9f\u00e9rence \u00e0 \u201c<em>Grooza<\/em>\u201d, ce qui sugg\u00e8re une continuit\u00e9 entre l\u2019infrastructure, les outils et l\u2019identit\u00e9 de l\u2019op\u00e9rateur.<\/p>\n<p>Mais surtout, ce qui est dingue avec cette histoire, c\u2019est que c\u2019est un vecteur d\u2019attaque relativement simple mais tr\u00e8s efficace. Ces routeurs permettent en effet une distribution d\u00e9centralis\u00e9e de SMS dans plein de pays diff\u00e9rents, ce qui complique \u00e9norm\u00e9ment la d\u00e9tection et la suppression des campagnes. Les chercheurs estiment qu\u2019il est d\u2019ailleurs tr\u00e8s probable que d\u2019autres \u00e9quipements similaires soient d\u00e9j\u00e0 exploit\u00e9s dans des campagnes en cours ou \u00e0 venir.<\/p>\n<p>Bref, on n\u2019est pas vraiment plus avanc\u00e9, mais voil\u00e0, la prochaine fois que vous recevrez un SMS chelou qui vous demande de confirmer vos infos, pensez \u00e0 ces petits bo\u00eetiers oubli\u00e9s dans des placards techniques, qui bossent tranquillement pour arnaquer des milliers de personnes chaque jour.<\/p>\n<p>Et si vous g\u00e9rez ce genre de mat\u00e9riel dans votre job, pensez \u00e0 mettre \u00e0 jour le firmware et \u00e0 s\u00e9curiser les interfaces, parce que l\u00e0, visiblement c\u2019est vraiment trop facile pour les pirates\u2026<\/p>\n<p>\n<a href=\"https:\/\/arstechnica.com\/security\/2025\/10\/that-annoying-sms-phish-you-just-got-may-have-come-from-a-box-like-this\/\">Source<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Vous vous \u00eates d\u00e9j\u00e0 demand\u00e9 d\u2019o\u00f9 venaient tous ces SMS bidons qui vous disent \u201cBonjour c\u2019est le coursier\u2026\u201d ou vous demande \u201cEst ce que vous \u00eates chez vous &#8221; ? En gros, ces messages de smishing (phishing par SMS) qui polluent nos t\u00e9l\u00e9phones tous les jours ? Et bien figurez-vous que dans beaucoup de cas, ils viennent de petits routeurs cellulaires industriels planqu\u00e9s dans des placards \u00e0 balais. Ce sont des trucs con\u00e7us \u00e0 la base pour connecter des feux de circulation ou des compteurs \u00e9lectriques \u00e0 Internet, qui sont d\u00e9tourn\u00e9s par des escrocs pour balancer des milliards de SMS frauduleux. Selon Sekoia , la bo\u00eete de cybers\u00e9curit\u00e9 fran\u00e7aise qui a men\u00e9 l\u2019enqu\u00eate, c\u2019est en analysant des traces r\u00e9seau suspectes dans leurs honeypots qu\u2019ils sont tomb\u00e9s sur ce syst\u00e8me. En creusant un peu, ils ont d\u00e9couvert comme \u00e7a plus de 18 000 routeurs cellulaires Milesight accessibles sur Internet, dont au moins 572 d\u2019entre eux qui permettaient \u00e0 n\u2019importe qui de se connecter \u00e0 leurs interfaces d\u2019admin sans authentification. Bref, la porte grande ouverte\u2026 Ces routeurs, fabriqu\u00e9s par Milesight IoT , c\u2019est du mat\u00e9riel industriel costaud. Ce sont des bo\u00eetiers 3G\/4G\/5G qui servent normalement \u00e0 connecter des \u00e9quipements \u00e0 distance, genre des capteurs ou des syst\u00e8mes de contr\u00f4le. Ils sont \u00e9quip\u00e9s de cartes SIM et peuvent \u00eatre contr\u00f4l\u00e9s par SMS, scripts Python ou via interfaces web. Du coup, pour un attaquant, c\u2019est le jackpot car une fois qu\u2019il met la main dessus, il peut envoyer des SMS en masse sans se faire choper. Les chercheurs de Sekoia ont alors envoy\u00e9 des requ\u00eates aux API non prot\u00e9g\u00e9es de ces routeurs et ont r\u00e9cup\u00e9r\u00e9 le contenu des bo\u00eetes de r\u00e9ception et d\u2019envoi de SMS. Et l\u00e0, surprise, ils ont trouv\u00e9 des campagnes de smishing qui dataient d\u2019octobre 2023. Les messages visaient principalement des num\u00e9ros en Su\u00e8de, en Belgique et en Italie. Les textos envoy\u00e9s demandaient aux gens de se connecter \u00e0 des services gouvernementaux bidon pour \u201cv\u00e9rifier leur identit\u00e9\u201d, avec des liens qui menaient vers des sites frauduleux r\u00e9cup\u00e9rant les identifiants. Rien qu\u2019en analysant les SMS, on d\u00e9nombre de 42 044 num\u00e9ros su\u00e9dois uniques et 31 353 num\u00e9ros italiens cibl\u00e9s dans des campagnes de masse lanc\u00e9es simultan\u00e9ment. La Belgique serait m\u00eame le pays le plus touch\u00e9, avec plusieurs campagnes observ\u00e9es entre novembre 2022 et juillet 2025. Alors comment ces routeurs se sont-ils retrouv\u00e9s compromis ? Et bien c\u2019est pas encore totalement clair. Une premi\u00e8re piste, c\u2019est la CVE-2023-43261 , une vuln\u00e9rabilit\u00e9 corrig\u00e9e en 2023 avec la version 35.3.0.7 du firmware. En gros, il s\u2019agit d\u2019une mauvaise config qui rendait les fichiers de stockage du routeur publiquement accessibles via l\u2019interface web. Pire encore, certains de ces fichiers contenaient les mots de passe chiffr\u00e9s des comptes admin, mais aussi la cl\u00e9 de chiffrement et le vecteur d\u2019initialisation pour les d\u00e9chiffrer. Donc autant dire que c\u2019\u00e9tait cadeau pour les cybercriminels. Selon le chercheur Bipin Jitiya , qui a d\u00e9couvert cette faille, un attaquant pouvait r\u00e9cup\u00e9rer le mot de passe en clair et prendre le contr\u00f4le total du routeur. \u00c0 noter que la majorit\u00e9 des 572 routeurs identifi\u00e9s comme non s\u00e9curis\u00e9s tournaient avec des versions de firmware 32 ou ant\u00e9rieures, donc ultra-vuln\u00e9rables. Mais attention, l\u2019histoire se complique. Les chercheurs de Sekoia ont trouv\u00e9 des incoh\u00e9rences avec cette th\u00e9orie. Par exemple, un cookie d\u2019authentification trouv\u00e9 sur un routeur pirat\u00e9 ne pouvait pas \u00eatre d\u00e9chiffr\u00e9 avec la cl\u00e9 et le vecteur d\u2019initialisation d\u00e9crits dans l\u2019article de Jitiya. Et puis, certains routeurs utilis\u00e9s abusivement dans les campagnes de smishing tournaient avec des versions de firmware qui n\u2019\u00e9taient pas sensibles \u00e0 la CVE-2023-43261. Du coup, il y a probablement d\u2019autres m\u00e9thodes d\u2019exploitation en jeu. Les sites de phishing eux-m\u00eames \u00e9taient assez bien foutus. Ils utilisaient du JavaScript pour ne d\u00e9livrer du contenu malveillant que si vous acc\u00e9diez au site depuis un t\u00e9l\u00e9phone mobile. Un autre site d\u00e9sactivait carr\u00e9ment le clic droit et les outils de d\u00e9bogage du navigateur. Bref, des techniques pour compliquer l\u2019analyse et le reverse engineering. Certains de ces sites loggaient aussi les interactions des visiteurs via un bot Telegram appel\u00e9 \u201cGroozaBot\u201d. Ce bot serait op\u00e9r\u00e9 par un acteur nomm\u00e9 \u201cGro_oza\u201d, qui semble parler arabe et fran\u00e7ais. De plus, les artefacts JavaScript trouv\u00e9s font r\u00e9f\u00e9rence \u00e0 \u201cGrooza\u201d, ce qui sugg\u00e8re une continuit\u00e9 entre l\u2019infrastructure, les outils et l\u2019identit\u00e9 de l\u2019op\u00e9rateur. Mais surtout, ce qui est dingue avec cette histoire, c\u2019est que c\u2019est un vecteur d\u2019attaque relativement simple mais tr\u00e8s efficace. Ces routeurs permettent en effet une distribution d\u00e9centralis\u00e9e de SMS dans plein de pays diff\u00e9rents, ce qui complique \u00e9norm\u00e9ment la d\u00e9tection et la suppression des campagnes. Les chercheurs estiment qu\u2019il est d\u2019ailleurs tr\u00e8s probable que d\u2019autres \u00e9quipements similaires soient d\u00e9j\u00e0 exploit\u00e9s dans des campagnes en cours ou \u00e0 venir. Bref, on n\u2019est pas vraiment plus avanc\u00e9, mais voil\u00e0, la prochaine fois que vous recevrez un SMS chelou qui vous demande de confirmer vos infos, pensez \u00e0 ces petits bo\u00eetiers oubli\u00e9s dans des placards techniques, qui bossent tranquillement pour arnaquer des milliers de personnes chaque jour. Et si vous g\u00e9rez ce genre de mat\u00e9riel dans votre job, pensez \u00e0 mettre \u00e0 jour le firmware et \u00e0 s\u00e9curiser les interfaces, parce que l\u00e0, visiblement c\u2019est vraiment trop facile pour les pirates\u2026 Source<\/p>\n","protected":false},"author":1,"featured_media":1292,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"give_campaign_id":0,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_kadence_starter_templates_imported_post":false,"footnotes":""},"class_list":["post-1291","page","type-page","status-publish","has-post-thumbnail","hentry"],"campaignId":"","_links":{"self":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/1291","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/comments?post=1291"}],"version-history":[{"count":0,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/1291\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media\/1292"}],"wp:attachment":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media?parent=1291"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}