Piratage : les routeurs domestiques menacés de détournement
Publié : 28 Fév 2007 13:55Piratage : les routeurs domestiques menacés de détournement
Une nouvelle attaque enverrait automatiquement les internautes sur des sites malveillants en détournant leurs routeurs personnels.
Deux scientifiques de l'Indiana University School of Informatics et un chercheur de Symantec ont dévoilé les fondements théoriques d'une nouvelle forme possible de piraterie, baptisée « drive by pharming ». Aucun cas concret n'a encore été signalé, mais cette nouvelle technique frauduleuse pourrait être amenée à se répandre, selon les experts, en s'appuyant sur une variante sophistiquée du phishing, le « pharming ».
Le « drive by pharming » consiste à détourner les connexions d'un petit routeur informatique domestique (box ADSL par exemple), dont le mot de passe est trop friable (celui par défaut du constructeur), afin d'envoyer son propriétaire vers des adresses IP usurpées de faux sites bancaires ou commerciaux. Celui-ci n'y voit que du feu, puisqu'il a entré des adresses valides. Le but, classique : extorquer des données confidentielles (mot de passe, numéro de carte bancaire, adresse...). Dans ce genre d'attaques, tous les ordinateurs reliés à un même routeur infecté sont alors menacés.
Pour démontrer la réalité du danger encouru, les chercheurs ont créé une page Web fictive incluant un code JavaScript malveillant. Il suffit de visualiser cette page une seule fois pour que l'attaque sur le routeur se mette en place. Le pirate n'a donc plus besoin de vous envoyer un e-mail avec une pièce jointe ou un lien URL piégé, comme c'est le cas pour une attaque de phishing classique. Les chercheurs n'indiquent pas comment les pirates peuvent s'y prendre pour vous amener une première fois sur la page contenant du script malveillant, passage obligé pour corrompre le routeur.
Changer de mot de passe par défaut
Le « drive by pharming » consiste en fait, pour le pirate, à s'immiscer dans le cache DNS (Domain Name Service) du routeur. Ce détournement s'appuie sur une technique apparue au début des années 2000 et dénommée « DNS Poisoning » (empoisonnement du cache DNS). Un serveur DNS permet d'assigner à un nom de domaine (par exemple, 01net.com) une adresse IP et inversement. Les PC mais aussi les serveurs des FAI et des entreprises conservent une copie (pendant deux à trois jours) des DNS des sites précédemment visités. C'est le cache du DNS. En consultant d'abord ce cache avant d'envoyer une requête au réseau, votre PC ou le serveur gagne du temps et évite d'encombrer le réseau Internet de requêtes inutiles.
« Ce genre d'attaque est simple à effectuer et en plus il existe des outils permettant de les automatiser. Mais elle ne fonctionne que sur les routeurs dont les mots de passe par défaut n'ont pas été changés », précise Hervé Schauer, expert en sécurité informatique du cabinet HSC. Selon Symantec, la moitié des utilisateurs ne l'auraient pas modifié. En effet, beaucoup de routeurs utilisent les login et mots de passe par défaut, tels que « admin » ou « password ». On trouve même des listes sur la Toile qui récapitulent, par fabricant, lesdits identifiants.
La première des précautions pour éviter une attaque sur son routeur personnel consiste donc à utiliser un mot de passe qui n'existe pas dans le dictionnaire et qui recourt à différents symboles. « Il faut également être vigilant lors des connexions. Les sites "pharmés" n'ont généralement pas de certificats de sécurité et par conséquent le site reste en mode http », ajoute le lieutenant-colonel Eric Filiol, directeur du laboratoire de virologie et de cryptologie de l'Ecole supérieure et d'application des transmissions à Rennes.
Une nouvelle attaque enverrait automatiquement les internautes sur des sites malveillants en détournant leurs routeurs personnels.
Deux scientifiques de l'Indiana University School of Informatics et un chercheur de Symantec ont dévoilé les fondements théoriques d'une nouvelle forme possible de piraterie, baptisée « drive by pharming ». Aucun cas concret n'a encore été signalé, mais cette nouvelle technique frauduleuse pourrait être amenée à se répandre, selon les experts, en s'appuyant sur une variante sophistiquée du phishing, le « pharming ».
Le « drive by pharming » consiste à détourner les connexions d'un petit routeur informatique domestique (box ADSL par exemple), dont le mot de passe est trop friable (celui par défaut du constructeur), afin d'envoyer son propriétaire vers des adresses IP usurpées de faux sites bancaires ou commerciaux. Celui-ci n'y voit que du feu, puisqu'il a entré des adresses valides. Le but, classique : extorquer des données confidentielles (mot de passe, numéro de carte bancaire, adresse...). Dans ce genre d'attaques, tous les ordinateurs reliés à un même routeur infecté sont alors menacés.
Pour démontrer la réalité du danger encouru, les chercheurs ont créé une page Web fictive incluant un code JavaScript malveillant. Il suffit de visualiser cette page une seule fois pour que l'attaque sur le routeur se mette en place. Le pirate n'a donc plus besoin de vous envoyer un e-mail avec une pièce jointe ou un lien URL piégé, comme c'est le cas pour une attaque de phishing classique. Les chercheurs n'indiquent pas comment les pirates peuvent s'y prendre pour vous amener une première fois sur la page contenant du script malveillant, passage obligé pour corrompre le routeur.
Changer de mot de passe par défaut
Le « drive by pharming » consiste en fait, pour le pirate, à s'immiscer dans le cache DNS (Domain Name Service) du routeur. Ce détournement s'appuie sur une technique apparue au début des années 2000 et dénommée « DNS Poisoning » (empoisonnement du cache DNS). Un serveur DNS permet d'assigner à un nom de domaine (par exemple, 01net.com) une adresse IP et inversement. Les PC mais aussi les serveurs des FAI et des entreprises conservent une copie (pendant deux à trois jours) des DNS des sites précédemment visités. C'est le cache du DNS. En consultant d'abord ce cache avant d'envoyer une requête au réseau, votre PC ou le serveur gagne du temps et évite d'encombrer le réseau Internet de requêtes inutiles.
« Ce genre d'attaque est simple à effectuer et en plus il existe des outils permettant de les automatiser. Mais elle ne fonctionne que sur les routeurs dont les mots de passe par défaut n'ont pas été changés », précise Hervé Schauer, expert en sécurité informatique du cabinet HSC. Selon Symantec, la moitié des utilisateurs ne l'auraient pas modifié. En effet, beaucoup de routeurs utilisent les login et mots de passe par défaut, tels que « admin » ou « password ». On trouve même des listes sur la Toile qui récapitulent, par fabricant, lesdits identifiants.
La première des précautions pour éviter une attaque sur son routeur personnel consiste donc à utiliser un mot de passe qui n'existe pas dans le dictionnaire et qui recourt à différents symboles. « Il faut également être vigilant lors des connexions. Les sites "pharmés" n'ont généralement pas de certificats de sécurité et par conséquent le site reste en mode http », ajoute le lieutenant-colonel Eric Filiol, directeur du laboratoire de virologie et de cryptologie de l'Ecole supérieure et d'application des transmissions à Rennes.
