Sécurité : les routeurs sont (pas) sympas
Phishing en masse ?
Le "Drive-By Pharming" est un nouveau type d'attaque découvert par Zulfikar Ramzan de chez Symantec et qui touche les routeurs « familiaux » (PDF). Pour l'instant, ce n’est qu’un « proof of concept », mais l'idée est si simple qu'elle devrait faire rapidement des petits, au grand dam des utilisateurs.
Le concept part du principe que la majorité des routeurs non-professionnels ont tous des consoles web d'administration, et des configurations connues : même plage d'ip privés (192.168.1.0), et mot de passe administrateur configuré par défaut.
De fait, explique le chercheur de Symantec, une attaque devient alors facilement envisageable : en visitant une page web piégée, un javascript est lancé, et donc exécuté sur votre machine. Sa mission première sera d’essayer d'accéder à l'interface web de votre routeur (via des IP privées connues) et tester les mots de passe administrateurs par défaut qu’on retrouve dans les documentations officielles.
Si la brèche est ouverte, l'attaque la plus simple consiste alors à modifier la configuration DNS du routeur pour qu'elle pointe sur un DNS pirate. À partir de là, le phising d’un site devient très délicat à détecter, car, même si dans la barre de votre navigateur l'adresse du site visé (votre banque, paypal, etc. par exemple) est bien correcte, tout le trafic sera redirigé vers l'IP du site pirate.
On peut varier les plaisirs et imaginer que le pirate puisse aussi prendre facilement le contrôle du routeur et en faire ce qu'il veut (machine zombie, « sniffer » le trafic, etc.)
Même si ce type d'attaque ne devient jamais une pratique courante, Zulfikar Ramzan recommande aux possesseurs de routeur, de changer le mot de passe par défaut, et pourquoi pas la plage d'adresse privée de votre réseau. Cela ne mange pas de pain.
Le concept part du principe que la majorité des routeurs non-professionnels ont tous des consoles web d'administration, et des configurations connues : même plage d'ip privés (192.168.1.0), et mot de passe administrateur configuré par défaut.
De fait, explique le chercheur de Symantec, une attaque devient alors facilement envisageable : en visitant une page web piégée, un javascript est lancé, et donc exécuté sur votre machine. Sa mission première sera d’essayer d'accéder à l'interface web de votre routeur (via des IP privées connues) et tester les mots de passe administrateurs par défaut qu’on retrouve dans les documentations officielles.
Si la brèche est ouverte, l'attaque la plus simple consiste alors à modifier la configuration DNS du routeur pour qu'elle pointe sur un DNS pirate. À partir de là, le phising d’un site devient très délicat à détecter, car, même si dans la barre de votre navigateur l'adresse du site visé (votre banque, paypal, etc. par exemple) est bien correcte, tout le trafic sera redirigé vers l'IP du site pirate.
On peut varier les plaisirs et imaginer que le pirate puisse aussi prendre facilement le contrôle du routeur et en faire ce qu'il veut (machine zombie, « sniffer » le trafic, etc.)
Même si ce type d'attaque ne devient jamais une pratique courante, Zulfikar Ramzan recommande aux possesseurs de routeur, de changer le mot de passe par défaut, et pourquoi pas la plage d'adresse privée de votre réseau. Cela ne mange pas de pain.
Source :
Slashdot
teenage
le 19 février 2007 à 12:17
(31 953
lectures)
Actualités et brèves relatives
- 08 / 02 / 2007 : Microsoft soutient l'identification numérique OpenID
- 07 / 02 / 2007 : IE7 signalera les sites dignes de confiance
- 05 / 02 / 2007 : Opera 9.20 bêta est disponible au téléchargement
- 25 / 01 / 2007 : Phishing : plus d'un million de dollars volés à 250 Suédois
- 24 / 01 / 2007 : Mozilla : Thunderbird 2.0 bêta 2 et SeaMonkey 1.1
- 24 / 01 / 2007 : Microsoft annonce Live OneCare 1.5 pour le 30 janvier
- 18 / 01 / 2007 : La Sncf, victime d'une attaque par phishing
- 17 / 01 / 2007 : Phishing : un coupable risque 101 ans de prison face à AOL
