ADSL-BC

[yabadabado]

Piratage : les routeurs domestiques menacés de détournement
Une nouvelle attaque enverrait automatiquement les internautes sur des sites malveillants en détournant leurs routeurs personnels.

Deux scientifiques de l'Indiana University School of Informatics et un chercheur de Symantec ont dévoilé les fondements théoriques d'une nouvelle forme possible de piraterie, baptisée « drive by pharming ». Aucun cas concret n'a encore été signalé, mais cette nouvelle technique frauduleuse pourrait être amenée à se répandre, selon les experts, en s'appuyant sur une variante sophistiquée du phishing, le « pharming ».

Le « drive by pharming » consiste à détourner les connexions d'un petit routeur informatique domestique (box ADSL par exemple), dont le mot de passe est trop friable (celui par défaut du constructeur), afin d'envoyer son propriétaire vers des adresses IP usurpées de faux sites bancaires ou commerciaux. Celui-ci n'y voit que du feu, puisqu'il a entré des adresses valides. Le but, classique : extorquer des données confidentielles (mot de passe, numéro de carte bancaire, adresse...). Dans ce genre d'attaques, tous les ordinateurs reliés à un même routeur infecté sont alors menacés.

Pour démontrer la réalité du danger encouru, les chercheurs ont créé une page Web fictive incluant un code JavaScript malveillant. Il suffit de visualiser cette page une seule fois pour que l'attaque sur le routeur se mette en place. Le pirate n'a donc plus besoin de vous envoyer un e-mail avec une pièce jointe ou un lien URL piégé, comme c'est le cas pour une attaque de phishing classique. Les chercheurs n'indiquent pas comment les pirates peuvent s'y prendre pour vous amener une première fois sur la page contenant du script malveillant, passage obligé pour corrompre le routeur.

Changer de mot de passe par défaut

Le « drive by pharming » consiste en fait, pour le pirate, à s'immiscer dans le cache DNS (Domain Name Service) du routeur. Ce détournement s'appuie sur une technique apparue au début des années 2000 et dénommée « DNS Poisoning » (empoisonnement du cache DNS). Un serveur DNS permet d'assigner à un nom de domaine (par exemple, 01net.com) une adresse IP et inversement. Les PC mais aussi les serveurs des FAI et des entreprises conservent une copie (pendant deux à trois jours) des DNS des sites précédemment visités. C'est le cache du DNS. En consultant d'abord ce cache avant d'envoyer une requête au réseau, votre PC ou le serveur gagne du temps et évite d'encombrer le réseau Internet de requêtes inutiles.

« Ce genre d'attaque est simple à effectuer et en plus il existe des outils permettant de les automatiser. Mais elle ne fonctionne que sur les routeurs dont les mots de passe par défaut n'ont pas été changés », précise Hervé Schauer, expert en sécurité informatique du cabinet HSC. Selon Symantec, la moitié des utilisateurs ne l'auraient pas modifié. En effet, beaucoup de routeurs utilisent les login et mots de passe par défaut, tels que « admin » ou « password ». On trouve même des listes sur la Toile qui récapitulent, par fabricant, lesdits identifiants.

La première des précautions pour éviter une attaque sur son routeur personnel consiste donc à utiliser un mot de passe qui n'existe pas dans le dictionnaire et qui recourt à différents symboles. « Il faut également être vigilant lors des connexions. Les sites "pharmés" n'ont généralement pas de certificats de sécurité et par conséquent le site reste en mode http », ajoute le lieutenant-colonel Eric Filiol, directeur du laboratoire de virologie et de cryptologie de l'Ecole supérieure et d'application des transmissions à Rennes.

[guilbart]

Je pense avoir fait l'objet de ce genre d'attaque il y a quelques mois sur mon modem routeur Olitec qui s'est mis à divaguer: erreur de connexions, coupures. un reset complet a remis le modem dans les défauts usine et est devenu inaccessible il aurait fallu le rentrer à Nice pour réinitialitation (trop cher) résultat: poubelle. Je suis certain que des pirates s'amusent non seulement à voler mais aussi à détruire le matériel par plaisir.

[Claude_G]

Autre protection : ne pas laisser l'IP "standard" du routeur - 192.168.1.1 (ou .2.1) - que "tout le monde connaît" !

[yabadabado]

Autre protection : ne pas laisser l'IP "standard" du routeur - 192.168.1.1 (ou .2.1) - que "tout le monde connaît" !

lu claude,

je ne vois pas du tout le rapport etant donne que c'est la plage Lan qui n'a rien a avoir avec l'ip Wan !

[Claude_G]

Alors, je n'ai rien dit...

[Mifrey]

Autre protection : ne pas laisser l'IP "standard" du routeur - 192.168.1.1 (ou .2.1) - que "tout le monde connaît" !

lu claude,

je ne vois pas du tout le rapport etant donne que c'est la plage Lan qui n'a rien a avoir avec l'ip Wan !

Si justement, c'est un code Java ou JavaScript qui modifie le cache DNS, donc il est exécuté par le client, donc côté LAN !
Mais ça ne sert pas à grand chose de modifier l'IP du routeur, elle est très vite trouvée : le code peut avoir l'IP LAN de la victime ainsi que le masque du réseau, et comme le masque est généralement de 24 bits il n'y a que 253 IPs à tester, c'est fait en 2 secondes sur mon 800 MHz. La seule bonne solution, comme toujours, c'est de ne pas adopter le principe de la sécurité par l'obscurité mais simplement d'avoir un bon mot de passe...

Pour plus de détails, voilà le papier original qui décrit l'attaque : http://www.symantec.com/avcenter/refere ... arming.pdf

[astagnouf]

Moi qui me disais que ca m'etait égal d'avoir un mot de pass sur mon routeur puisqu'il n'était accessible que par le LAN et non par internet je me pensais en sécurité. Je vais m'empresser d'en remetre un.

Mais que se passe t il si on met un mot de passe sur son routeur qui est sauvgarder par firefox (ou IE)? y a t il des risque que le scripte Java en question le récupère et l'utilise?

[CRaZy]

Autre protection : ne pas laisser l'IP "standard" du routeur - 192.168.1.1 (ou .2.1) - que "tout le monde connaît" !

lu claude,

je ne vois pas du tout le rapport etant donne que c'est la plage Lan qui n'a rien a avoir avec l'ip Wan !

d'autant plus que pour retrouver le routeur depuis le lan, il suffit souvent de regarder le gateway par défaut de la config ip du pc infecté par le script.

[Claude_G]

Oui, oui, ça va bien, je m'incline et fais amende honorable : j'ai écrit une bêtise !

[guilbart]

bonjour,
Quelq'un a t-il une idée de la résistance de la Scarlet box au piratage ?
Est-il possible de s'introduire dans le système et d'utiliser la ligne téléphonique à mon insu pour par exemple appeler en Chine 24h durant ?
Je coupe régulièrement la box la nuit, est-ce que c'est vraiment utile: changement IP etc... ?

[Boolat]

Autre protection : ne pas laisser l'IP "standard" du routeur - 192.168.1.1 (ou .2.1) - que "tout le monde connaît" !

Comment changer ? j'ai le routeur belgacom !

@+

[philfr]

bonjour,
Quelq'un a t-il une idée de la résistance de la Scarlet box au piratage ?
Est-il possible de s'introduire dans le système et d'utiliser la ligne téléphonique à mon insu pour par exemple appeler en Chine 24h durant ?
Je coupe régulièrement la box la nuit, est-ce que c'est vraiment utile: changement IP etc... ?

On ne sait pas utiliser le téléphone à partir du réseau, donc pas de souci pour tes appels en Chine.

Moi je n'éteins jamais ma box...

[guilbart]

Merci pour l'info, c'est très aimable.

[Claude_G]

Autre protection : ne pas laisser l'IP "standard" du routeur - 192.168.1.1 (ou .2.1) - que "tout le monde connaît" !

Comment changer ? j'ai le routeur belgacom !

@+

On a dit plus haut que cela ne servait à rien.
Sinon, par le menu d'accès au routeur, tout simplement.
C'est aussi par ce menu qu'on peut mettre un MOT DE PASSE. Et ça, c'est recommandé.

[José]

Peut-être que je me trompe.
Mais mon modem est configuré pour n'accepeter que la MAC ADRESS de mon pc.
Donc on ne peut pas se connecter au modem qu'avec mon pc.

[Claude_G]

Je l'ai fait aussi.

[astagnouf]

Soit vous n'avez pas compris ce qui a été dit soit je suis à coté de la plaque (ce qui est très probable).

Si j'ai bien compris le scripte en question donne l'ordre a votre PC de modifier les données de votre modem routeur, ça serait donc votre PC avec votre adresse MAC qui donne les ordre au routeur.

La seule protection est donc un bonne antivirus qui détecte les activité étranges et un mot de passe plus compliqué que le mot de passe d'origine fournit avec le modem.

[Claude_G]

J'ai mis un mot de passe "bien compliqué" (avec majuscules, minuscules, chiffres et signes exotiques) aussi.

[Xavier]

Peut-être que je me trompe.
Mais mon modem est configuré pour n'accepeter que la MAC ADRESS de mon pc.
Donc on ne peut pas se connecter au modem qu'avec mon pc.

Même remarque que plus haut sur les addresse lan: C'est ton PC qui va executer le code malveillant...

[José]

Peut-être que je me trompe.
Mais mon modem est configuré pour n'accepeter que la MAC ADRESS de mon pc.
Donc on ne peut pas se connecter au modem qu'avec mon pc.

Même remarque que plus haut sur les addresse lan: C'est ton PC qui va executer le code malveillant...

Ok!!!! Alors je ne vais plus que sur ADSL-BC et j'aurais jamais de problème.