Retour au site
Routeurs : attention au 'drive-by pharming'
| Publiée par Alexandre Laurent le Mardi 20 Fevrier 2007 |
Brève Sécurité
Envoyer par mail
Commenter 
Connaissez-vous le « pharming », cette technique qui consiste à rediriger le trafic d'un site Internet honnête vers un autre site, frauduleux celui-ci, dans le but de vous inciter à y entrer vos informations personnelles ? Les pirates adeptes de cette méthode qui n'est pas sans rappeler le phishing (voir le Dossier sécurité : Spam et Phishing), ou hameçonnage en français, pourraient bientôt mettre en place de nouveaux dispositifs, bien plus insidieux, pour parvenir à leurs fins.
L'éditeur en sécurité Symantec et l'Indiana University School of Informatics ont en effet récemment lancé un avertissement relatif à une nouvelle tactique baptisée « drive-by pharming ». Celle-ci consiste à amener l'internaute à télécharger un code malicieux JavaScript qui se chargera de modifier les paramètres de son routeur domestique afin de l'entraîner à son insu vers des sites frauduleux. En manipulant les paramètres DNS (Domain Name Server) du routeur, un pirate pourrait en effet tout à fait faire qu'une adresse valide conduise l'internaute vers un site frauduleux sans que ce dernier ait l'impression d'avoir été abusé.
L'administration des Routeurs domestiques passe aujourd'hui le plus souvent par une interface Web, généralement accessible au moyen d'une adresse Web générique ou d'une adresse IP permanente, telle que 192.168.0.1. Pour parvenir à manipuler les paramètres du routeur, il est donc nécessaire de parvenir à accéder à cette administration. Or, il se trouve que la plupart des routeurs sont acessibles par défaut à l'aide d'un couple identifiant / mot de passe générique (exemple : login & password), que les utilisateurs oublient souvent de modifier. Pour prendre le contrôle d'un routeur, il suffit donc de placer sur la machine de l'internaute un programme capable de passer en revue les adresses d'administration les plus courantes, puis de tenter l'identification à l'aide d'une batterie de couples login / mot de passe courants.
Très simple à mettre en place, ce type d'attaque pourrait potentiellement toucher des millions d'utilisateurs de routeurs autour du monde. « Les attaques de type drive-by pharming sont si simples à lancer qu'il est vital que les consommateurs protègent de façon adéquate leurs routeurs et points d'accès sans fil dès aujourd'hui », indique Oliver Friedrichs, directeur de la division Security Response chez Symantec. Bien que l'efficacité de ce procédé ne soit pour le moment démontrée que par la mise au point de proof of concept, le drive-by pharming pourrait se révéler si lucratif qu'il parait inimaginable que des pirates n'en viennent pas à l'exploiter.
Dès lors, nous ne saurions trop vous conseiller, comme le fait Symantec, de vérifier les paramètres de votre routeur, et de modifier l'identifiant et le mot de passe qui vous permettent d'accéder à son interface d'administration, afin que ceux-ci ne puissent être devinés trop simplement...
L'éditeur en sécurité Symantec et l'Indiana University School of Informatics ont en effet récemment lancé un avertissement relatif à une nouvelle tactique baptisée « drive-by pharming ». Celle-ci consiste à amener l'internaute à télécharger un code malicieux JavaScript qui se chargera de modifier les paramètres de son routeur domestique afin de l'entraîner à son insu vers des sites frauduleux. En manipulant les paramètres DNS (Domain Name Server) du routeur, un pirate pourrait en effet tout à fait faire qu'une adresse valide conduise l'internaute vers un site frauduleux sans que ce dernier ait l'impression d'avoir été abusé.
L'administration des Routeurs domestiques passe aujourd'hui le plus souvent par une interface Web, généralement accessible au moyen d'une adresse Web générique ou d'une adresse IP permanente, telle que 192.168.0.1. Pour parvenir à manipuler les paramètres du routeur, il est donc nécessaire de parvenir à accéder à cette administration. Or, il se trouve que la plupart des routeurs sont acessibles par défaut à l'aide d'un couple identifiant / mot de passe générique (exemple : login & password), que les utilisateurs oublient souvent de modifier. Pour prendre le contrôle d'un routeur, il suffit donc de placer sur la machine de l'internaute un programme capable de passer en revue les adresses d'administration les plus courantes, puis de tenter l'identification à l'aide d'une batterie de couples login / mot de passe courants.
Très simple à mettre en place, ce type d'attaque pourrait potentiellement toucher des millions d'utilisateurs de routeurs autour du monde. « Les attaques de type drive-by pharming sont si simples à lancer qu'il est vital que les consommateurs protègent de façon adéquate leurs routeurs et points d'accès sans fil dès aujourd'hui », indique Oliver Friedrichs, directeur de la division Security Response chez Symantec. Bien que l'efficacité de ce procédé ne soit pour le moment démontrée que par la mise au point de proof of concept, le drive-by pharming pourrait se révéler si lucratif qu'il parait inimaginable que des pirates n'en viennent pas à l'exploiter.
Dès lors, nous ne saurions trop vous conseiller, comme le fait Symantec, de vérifier les paramètres de votre routeur, et de modifier l'identifiant et le mot de passe qui vous permettent d'accéder à son interface d'administration, afin que ceux-ci ne puissent être devinés trop simplement...
Les Commentaires des lecteurs
comme d'habitude, une attaque basée sur l'utilisateur lambda qui ne se doute même pas qu'on puisse changer (au moins) le password du login admin de la boite.
Enfin bref, en tous cas les possesseurs de freebox seront épargnés
Donc si je comprends bien, les utilisateurs Linux seraient touché aussi (blagouze inside please do not taper)?
Enfin bref, en tous cas les possesseurs de freebox seront épargnés
Donc si je comprends bien, les utilisateurs Linux seraient touché aussi (blagouze inside please do not taper)?
saxo a écrit:
Je suis attéré que certaines personnes ne change pas les MDP d'origine !.... :??:
Pas moi !
J'ai acheté un routeur Wi-fi Vendredi soir .... Pour connecter un Desktop, un portable et une WII derrière ma freebox.
Je l'ai branché au secteur et à la freebox et tout marchait du premier coup !
La personne qui n'y connait rien, c'est à dire 90% des particuliers, elle branche --> ca marche --> fin de l'histoire. Elle ne sait même pas ce que c'est un routeur et que ca se configure !
Edit : Partiellement grillayd
Oh tu sais, pas la peine d'être un particulier ... au début la FNAC de Colmar avait laissé les pass par défaut de leur routeur Wifi ...saxo a écrit:
Je suis attéré que certaines personnes ne change pas les MDP d'origine !.... :??:
(du Netgear en plus)Cette news m'y a fait de suite penser
haha! qu'ils essayent un peu de faire ca sur mon routeur gentoo! ils seront décu 
(meme si les autres pc sont sur windows)
(meme si les autres pc sont sur windows)
Netgear :Phil512 a écrit:
Oh tu sais, pas la peine d'être un particulier ... au début la FNAC de Colmar avait laissé les pass par défaut de leur routeur Wifi ...
Cette news m'y a fait de suite penser
Admin
Password
Sagem :
Admin
Admin
ouep 
Heureusement, en environ une semaine ils avaient changé de pass
Le temps de trouver où ca se modifie sans doute ...
Heureusement, en environ une semaine ils avaient changé de pass
Le temps de trouver où ca se modifie sans doute ... 
ca aurait été marrant que quelqu'un leur change le mot de passe et qu'ils soient obligé de flasher le firmware pour remettre le mot de passe d'originePhil512 a écrit:
ouep
Heureusement, en environ une semaine ils avaient changé de pass
Maverick78 a écrit:
haha! qu'ils essayent un peu de faire ca sur mon routeur gentoo! ils seront décu
(meme si les autres pc sont sur windows)
+1 pour mon ipcop
A part des gentils geek avec un PDA Wifi, y'a pas grand monde qui a tilté pour regarder s'ils changent ou pas leur pass ... (ou ne serait-ce l'adresse d'administration)
(ou ne serait-ce l'adresse d'administration)
Parce que tu crois qu'un hack brutal force marchera pas sur ta Gentoo ?Maverick78 a écrit:
haha! qu'ils essayent un peu de faire ca sur mon routeur gentoo! ils seront décu
(meme si les autres pc sont sur windows)
Tu changes tes password toutes les 200 ms j'espère ...
avec un mdp complexe (alphanumérique + caractere spéciaux) je te donne bien du courage pour ton brute force ...catseye a écrit:
Parce que tu crois qu'un hack brutal force marchera pas sur ta Gentoo ?
Tu changes tes password toutes les 200 ms j'espère ...
(du temps, beaucoup de temps
)
oua ! t'es trop fortPhil512 a écrit:
avec un mdp complexe (alphanumérique + caractere spéciaux) je te donne bien du courage pour ton brute force ...
(du temps, beaucoup de temps
le mieu c'est pas aller sur les site qui font télécharger le code javascript en question hein
Le portail automobile
L'actualité du e-marketing
Offres M6 mobile et clé 3G+
Test jeux PS3, Wii, Xbox 360?