Routeurs : attention au 'drive-by pharming'

Connaissez-vous le « pharming », cette technique qui consiste à rediriger le trafic d'un site Internet honnête vers un autre site, frauduleux celui-ci, dans le but de vous inciter à y entrer vos informations personnelles ? Les pirates adeptes de cette méthode qui n'est pas sans rappeler le phishing (voir le Dossier sécurité : Spam et Phishing), ou hameçonnage en français, pourraient bientôt mettre en place de nouveaux dispositifs, bien plus insidieux, pour parvenir à leurs fins.
L'éditeur en sécurité Symantec et l'Indiana University School of Informatics ont en effet récemment lancé un avertissement relatif à une nouvelle tactique baptisée « drive-by pharming ». Celle-ci consiste à amener l'internaute à télécharger un code malicieux JavaScript qui se chargera de modifier les paramètres de son routeur domestique afin de l'entraîner à son insu vers des sites frauduleux. En manipulant les paramètres DNS (Domain Name Server) du routeur, un pirate pourrait en effet tout à fait faire qu'une adresse valide conduise l'internaute vers un site frauduleux sans que ce dernier ait l'impression d'avoir été abusé.
L'administration des routeurs domestiques passe aujourd'hui le plus souvent par une interface Web, généralement accessible au moyen d'une adresse Web générique ou d'une adresse IP permanente, telle que 192.168.0.1. Pour parvenir à manipuler les paramètres du routeur, il est donc nécessaire de parvenir à accéder à cette administration. Or, il se trouve que la plupart des routeurs sont acessibles par défaut à l'aide d'un couple identifiant / mot de passe générique (exemple : login & password), que les utilisateurs oublient souvent de modifier. Pour prendre le contrôle d'un routeur, il suffit donc de placer sur la machine de l'internaute un programme capable de passer en revue les adresses d'administration les plus courantes, puis de tenter l'identification à l'aide d'une batterie de couples login / mot de passe courants.
Très simple à mettre en place, ce type d'attaque pourrait potentiellement toucher des millions d'utilisateurs de routeurs autour du monde. « Les attaques de type drive-by pharming sont si simples à lancer qu'il est vital que les consommateurs protègent de façon adéquate leurs routeurs et points d'accès sans fil dès aujourd'hui », indique Oliver Friedrichs, directeur de la division Security Response chez Symantec. Bien que l'efficacité de ce procédé ne soit pour le moment démontrée que par la mise au point de proof of concept, le drive-by pharming pourrait se révéler si lucratif qu'il parait inimaginable que des pirates n'en viennent pas à l'exploiter.
Dès lors, nous ne saurions trop vous conseiller, comme le fait Symantec, de vérifier les paramètres de votre routeur, et de modifier l'identifiant et le mot de passe qui vous permettent d'accéder à son interface d'administration, afin que ceux-ci ne puissent être devinés trop simplement...

Lire cette brève sur le site

comme d'habitude, une attaque basée sur l'utilisateur lambda qui ne se doute même pas qu'on puisse changer (au moins) le password du login admin de la boite.
Enfin bref, en tous cas les possesseurs de freebox seront épargnés :lol:

Donc si je comprends bien, les utilisateurs Linux seraient touché aussi (blagouze inside please do not taper)? :D

Je suis attéré que certaines personnes ne change pas les MDP d'origine !.... :??:

saxo a écrit:
Je suis attéré que certaines personnes ne change pas les MDP d'origine !.... :??:

La plupart des utilisateurs n'ont jamais essayé d'accéder à la page de login de leur box car ils ignorent qu'elle existe, et surtout à quoi ça leur servirait .... Le CD de configuration se charge de tout paramétrer tout seul, et hop, ça marche.
Ils n'ont pas besoin de plus.

saxo a écrit:
Je suis attéré que certaines personnes ne change pas les MDP d'origine !.... :??:

Pas moi !
J'ai acheté un routeur Wi-fi Vendredi soir .... Pour connecter un Desktop, un portable et une WII derrière ma freebox.

Je l'ai branché au secteur et à la freebox et tout marchait du premier coup !

La personne qui n'y connait rien, c'est à dire 90% des particuliers, elle branche --> ca marche --> fin de l'histoire. Elle ne sait même pas ce que c'est un routeur et que ca se configure !

Edit : Partiellement grillayd :D

saxo a écrit:
Je suis attéré que certaines personnes ne change pas les MDP d'origine !.... :??:

personnellement g vu des trucs que sa ne m etonne plus! Mais bon c sur que si vous laisser votre velo dans la rue avec la clee sur le cadenas vous avez quand meme des chance de ne pas le retrouver!

une seul solution : Le BSP Bon Sens Paysan!

saxo a écrit:
Je suis attéré que certaines personnes ne change pas les MDP d'origine !.... :??:

Oh tu sais, pas la peine d'être un particulier ... au début la FNAC de Colmar avait laissé les pass par défaut de leur routeur Wifi ... :paf: (du Netgear en plus)

Cette news m'y a fait de suite penser :D

haha! qu'ils essayent un peu de faire ca sur mon routeur gentoo! ils seront décu :p
(meme si les autres pc sont sur windows)

Phil512 a écrit:
Oh tu sais, pas la peine d'être un particulier ... au début la FNAC de Colmar avait laissé les pass par défaut de leur routeur Wifi ... :paf: (du Netgear en plus)

Cette news m'y a fait de suite penser :D

Netgear :
Admin
Password

Sagem :
Admin
Admin

:paf:

ouep :ane:

Heureusement, en environ une semaine ils avaient changé de pass :clap: Le temps de trouver où ca se modifie sans doute ... :paf:

Phil512 a écrit:
ouep :ane:

Heureusement, en environ une semaine ils avaient changé de pass :clap: Le temps de trouver où ca se modifie sans doute ... :paf:

ca aurait été marrant que quelqu'un leur change le mot de passe et qu'ils soient obligé de flasher le firmware pour remettre le mot de passe d'origine :ane:

nissa_hunter a écrit:
Netgear :
Admin
Password

Sagem :
Admin
Admin

:paf:

D-Link même combat ... :paf:

Maverick78 a écrit:
haha! qu'ils essayent un peu de faire ca sur mon routeur gentoo! ils seront décu :p
(meme si les autres pc sont sur windows)

+1 pour mon ipcop :o

A part des gentils geek avec un PDA Wifi, y'a pas grand monde qui a tilté pour regarder s'ils changent ou pas leur pass ... :ane: (ou ne serait-ce l'adresse d'administration)

catseye a écrit:
D-Link même combat ... :paf:

admin
1234

?

:paf:

Maverick78 a écrit:
haha! qu'ils essayent un peu de faire ca sur mon routeur gentoo! ils seront décu :p
(meme si les autres pc sont sur windows)

Parce que tu crois qu'un hack brutal force marchera pas sur ta Gentoo ? :paf:
Tu changes tes password toutes les 200 ms j'espère ... :o

juniorbuzz a écrit:
admin
1234

?

:paf:

Admin
Admin

catseye a écrit:
Parce que tu crois qu'un hack brutal force marchera pas sur ta Gentoo ? :paf:
Tu changes tes password toutes les 200 ms j'espère ... :o

avec un mdp complexe (alphanumérique + caractere spéciaux) je te donne bien du courage pour ton brute force ... :D

(du temps, beaucoup de temps :o )

Phil512 a écrit:
avec un mdp complexe (alphanumérique + caractere spéciaux) je te donne bien du courage pour ton brute force ... :D

(du temps, beaucoup de temps :o )

oua ! t'es trop fort :super:

le mieu c'est pas aller sur les site qui font télécharger le code javascript en question hein :o

Même quand on s'y connait, on a vite fait de revenir au mot de passe d'origine... à chaque mise à jour du firmware en fait. Quand de plus, il faut re-rentrer tous les paramètres de configuration du routeur (parce que le format des sauvegardes a changé), on peut oublier celui là... C'est du vécu!