En bref

  • Le CERT/CC a divulgué CVE-2026-11405, une porte dérobée d'authentification non documentée dans plusieurs versions de firmware Tenda, accordant un accès administrateur complet sans mot de passe valide.
  • Les routeurs Tenda FH1201, W15E, AC10, AC5 et AC6 sont affectés ; aucun correctif n'est disponible et Tenda n'a pas répondu aux tentatives de coordination responsable.
  • En l'absence de patch, désactiver immédiatement l'interface de gestion web distante et modifier l'adresse IP locale par défaut de l'appareil.

Une porte dérobée enfouie dans la fonction de connexion

Le CERT/CC (Computer Emergency Response Team / Coordination Center de l'Université Carnegie Mellon) a publié le 7 juillet 2026 un avis de sécurité référencé VU#213560, signalant la présence d'une porte dérobée d'authentification non documentée dans plusieurs versions de firmware du fabricant de routeurs chinois Tenda. Cette vulnérabilité, cataloguée sous l'identifiant CVE-2026-11405, permet à un attaquant de contourner intégralement le processus de vérification de mot de passe de l'interface de gestion web et d'obtenir des privilèges administrateur complets sans posséder de credentials valides.

Les produits concernés couvrent plusieurs gammes populaires de Tenda : les modèles FH1201, W15E, AC10, AC5 et AC6. Ces appareils sont largement déployés dans des environnements résidentiels et de petites entreprises à travers le monde, en particulier en Asie, en Europe de l'Est et dans certains pays d'Afrique et d'Amérique latine où les équipements réseau Tenda occupent une part significative du marché des routeurs grand public.

L'analyse technique du firmware révèle que la porte dérobée est enchâssée dans la fonction login() du serveur web /bin/httpd embarqué dans l'appareil. Le mécanisme suit initialement le chemin d'authentification standard : la routine extrait le mot de passe stocké dans la configuration du périphérique et applique une fonction de hachage MD5 pour le comparer à la valeur fournie par l'utilisateur. Si cette première vérification échoue — c'est-à-dire si le mot de passe saisi est incorrect — le code ne rejette pas immédiatement la requête comme le ferait tout mécanisme d'authentification conventionnel.

Au lieu de cela, une branche d'exécution alternative est déclenchée. Elle fait appel à la fonction GetValue("sys.rzadmin.password") pour récupérer une valeur de mot de passe secondaire stockée dans la configuration système de l'appareil. Ce second mot de passe, distinct du mot de passe administrateur que l'utilisateur a configuré, n'est exposé nulle part dans l'interface de gestion et n'est documenté dans aucun manuel officiel Tenda. La comparaison est ensuite effectuée en clair (plaintext comparison), sans hachage, entre le mot de passe soumis par l'utilisateur et cette valeur cachée. Si la correspondance est établie, l'application accorde immédiatement un accès avec le rôle role=2 — soit le niveau d'accès administrateur le plus élevé — et crée une session valide avec des privilèges complets.

Ce vecteur d'attaque signifie qu'un attaquant connaissant la valeur du champ sys.rzadmin.password peut se connecter à n'importe quel routeur Tenda affecté, qu'il connaisse ou non le mot de passe administrateur configuré par l'utilisateur légitime. La question ouverte est de déterminer si cette valeur est identique sur tous les appareils d'un même modèle ou firmware — ce qui en ferait un mot de passe maître universel — ou si elle est générée de manière spécifique à chaque appareil lors de sa fabrication. Dans le premier scénario, l'impact serait considérablement amplifié.

Au moment de la publication de l'avis du CERT/CC, aucune preuve d'exploitation active dans la nature n'a été confirmée et aucun proof-of-concept public n'est disponible. Cependant, la divulgation publique des détails techniques change radicalement l'équation : toute personne disposant de compétences modérées en rétro-ingénierie de firmware peut reproduire l'exploit en analysant le binaire extrait du firmware Tenda. Selon les chercheurs qui ont couvert la divulgation, le délai avant apparition d'un PoC fonctionnel pourrait se mesurer en heures plutôt qu'en jours.

La surface d'attaque est potentiellement étendue. L'interface de gestion web du routeur est exposée par défaut sur le réseau local (LAN) sur le port 80. Si la fonctionnalité de gestion distante (accès WAN) est activée — situation fréquente pour permettre la maintenance à distance — l'interface est également accessible directement depuis Internet. Des outils de reconnaissance indexent régulièrement des dizaines de milliers d'interfaces de gestion Tenda exposées sur Internet, principalement en Asie du Sud-Est, en Europe de l'Est et en Afrique.

Un scénario d'exploitation typique implique un attaquant qui identifie les interfaces Tenda accessibles via des moteurs de recherche spécialisés, soumet le mot de passe de backdoor lors de la requête de connexion, obtient immédiatement un accès administrateur complet, puis modifie les paramètres DNS du routeur pour rediriger le trafic des utilisateurs vers des serveurs malveillants — une technique dite de DNS hijacking. Ce type de compromission est particulièrement insidieux car les utilisateurs ne perçoivent généralement aucun symptôme immédiat, tandis que l'attaquant peut surveiller le trafic réseau, intercepter les communications non chiffrées ou rediriger les utilisateurs vers des pages de phishing ciblées.

Un fabricant silencieux dans un secteur sous pression

L'aspect le plus préoccupant de cette divulgation est l'absence totale de correctif. Les chercheurs qui ont découvert et signalé la vulnérabilité ont tenté de contacter Tenda Technology pour coordonner une divulgation responsable, mais le fabricant n'a pas répondu à leurs communications. En l'absence de réactivité du vendeur, le CERT/CC a procédé à une divulgation publique conformément à sa politique standard, après l'expiration du délai de coordination habituellement accordé aux fabricants.

Cette situation n'est malheureusement pas isolée dans l'écosystème des équipements réseau grand public de fabrication asiatique. Les chercheurs en sécurité ont régulièrement documenté des backdoors similaires dans des firmwares de marques comme TP-Link, D-Link, Netgear ou Zyxel. Dans certains cas, ces portes dérobées s'avèrent être des fonctionnalités délibérément implantées pour des raisons de maintenance ou de contrôle ; dans d'autres, il s'agit de vestiges de fonctionnalités de débogage qui n'ont jamais été supprimés avant la mise en production. La nature exacte de CVE-2026-11405 — intentionnelle ou accidentelle — n'a pas été établie à ce stade.

Pour les équipes sécurité des entreprises, cette vulnérabilité s'inscrit dans une tendance plus large : les routeurs et équipements réseau bas de gamme représentent une cible de choix pour les acteurs malveillants souhaitant établir une présence persistante dans des réseaux cibles. Des campagnes récentes ont illustré comment des milliers d'appareils réseau compromis peuvent constituer le socle d'une infrastructure d'attaque à grande échelle, servant aussi bien au proxying de trafic malveillant qu'à l'espionnage industriel ou aux attaques ransomware.

En l'absence de correctif officiel, le CERT/CC recommande deux mesures immédiates : désactiver la fonctionnalité de gestion web distante pour limiter l'exposition à l'interface locale uniquement, et modifier l'adresse IP locale par défaut du routeur pour compliquer les attaques par scanning automatisé ciblant les plages d'adresses connues. La mise en place d'une règle de pare-feu en amont bloquant le port 80 depuis Internet constitue une couche de protection supplémentaire. À terme, les organisations qui s'appuient sur ces modèles Tenda devraient planifier leur remplacement par des équipements dont le fabricant assure activement le suivi des vulnérabilités de sécurité.

Ce qu'il faut retenir

  • CVE-2026-11405 permet un accès administrateur complet aux routeurs Tenda FH1201, W15E, AC10, AC5 et AC6 via un mot de passe secondaire caché, sans correctif disponible.
  • La porte dérobée est accessible via l'interface web locale et, si la gestion distante est activée, directement depuis Internet — exposant potentiellement des dizaines de milliers d'appareils.
  • Action immédiate : désactiver la gestion web WAN, modifier l'IP locale par défaut, et planifier le remplacement des appareils concernés.

Mon routeur Tenda est-il vulnérable si je n'ai pas activé la gestion distante ?

Si la gestion distante (accès WAN) est désactivée, votre routeur n'est exposé à la backdoor que depuis votre réseau local, ce qui réduit considérablement le risque. Cela ne l'élimine pas pour autant : un attaquant ayant déjà compromis un autre appareil de votre réseau pourrait exploiter CVE-2026-11405 pour prendre le contrôle du routeur. Vérifiez l'état de la gestion distante dans l'onglet Avancé de votre interface Tenda et désactivez-la si elle est active.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact