DNS Pharming, le détournement Internet pour les nuls - Actualités CSO Hacking

DNS Pharming, le détournement Internet pour les nuls

le 16/02/2007, par Marc Olanié, Hacking, 696 mots

Deux universitaires américains et un chercheur de Symantec se sont intéressés à une nouvelle technique d'attaque, visant non pas les postes de travail, mais directement les « routeurs ADSL » utilisés par les particuliers. Les Linksys, Netgear et autres Zyxel, surtout s'ils sont installés avec leur configuration « par défaut », peuvent aisément se voir pris en otage. En expédiant un exploit Java ou ActiveX transitant par une station de travail en train de surfer sur Internet, l'attaquant accède à l'interface d'administration de l'équipement et modifie les champs DNS de la passerelle. Il ne suffit plus alors que d'utiliser l'adresse IP ainsi injectée, et de l'attribuer à un « DNS pirate » qui se chargera d'aiguiller la navigation des usagers où bon lui semblera. Toute l'astuce de l'attaque réside dans le fait que l'accès à la console d'administration est, par défaut sur ce type d'appareils, inaccessible côté Wan. Cette précaution donne un sentiment de totale impunité à l'utilisateur, qui néglige ainsi de modifier les mots de passe par défaut donnant accès au coeur du routeur, ce qui facilite d'autant un manoeuvre offensive provenant du réseau local. Ajoutons enfin que la quasi-totalité de ces appareils peut être reconfigurée à l'aide d'un unique fichier de quelques Ko. Parfois même, il est même possible d'ajouter un « login script » destiné à faire « monter » un service espion au sein même de la mémoire du routeur. Mieux encore, quelques uns de ces appareils peuvent, par un procédé similaire, voir leur Firmware totalement modifié. Dans certains cas, cette possibilité est appréciée des utilisateurs, dans d'autres, elle peut, surtout auprès d'une clientèle non technicienne, constituer un formidable cheval de Troie. Le principe et la description de cette attaque en « Drive By Pharming » sont rapidement survolés sur le site Symantec. Comme pour toutes les communications de ce type, il y a deux façons de voir les choses. L'hypothèse catastrophiste serait vérifiée si l'on découvrait qu'un virus transportant une applet Java était capable de modifier les « Livebox » de France Telecom. On imagine mal comment le service d'assistance téléphonée d'Orange serait capable de faire face. Paradoxalement, c'est la réaction inverse qui risque de présenter le plus de danger, l'hypothèse « discrète ». Car pour l'heure, les gardiens de Botnets n'en sont pas à aller grappiller leurs zombies catégorie par catégorie, routeur par routeur, FAI par FAI. En revanche, cette technique peut servir de pont d'envol à une opération d'espionnage industriel très ciblée, ou de « spear hacking », d'autant plus aisément qu'aucun outil, aucun indice ne permet de soupçonner ce détournement : pas de modification de la cache DNS locale, aucun changement de la table de routage de la machine habituelle, nul virus, nulle faille à détecter.... Et il n'existe actuellement aucun programme à destination grand-public capable de réagir à la modification d'un paramètre ailleurs que sur un poste de travail. Ajoutons que les auteurs de cette étude ne se sont intéressés qu'à l'aspect « DNS Pharming ». Rien n'interdit d'imaginer un autre type de détournement tout aussi payant, tel que la constitution d'un « botnet d'attaque en Déni de Service» ou d'un troupeau de « smtp relay pour spammeur » logé en mémoire centrale du Linksys intoxiqué ou du Netgear infecté. Les programmes existent -certains de ces routeurs utilisent des noyaux Linux parfaitement connus et « ouverts » -, et ces appareils échappent totalement au contrôle des principaux programmes de protection périmétrique. Et puis, l'idée et les techniques s'affinant avec le temps, rien n'interdit d'imaginer que d'autres appareillages réseau, assez intelligents pour exécuter des programmes mais trop exotiques pour intéresser les éditeurs d'antivirus, fassent à leur tour les frais d'attaques ciblées. A tout hasard... les consoles de jeux, les « radio Web » et autres passerelles de streaming reliant ordinateurs et chaînes HiFi ou Home-Cinéma. Mais en fin de compte, si tout ceci n'était que le début d'une fantastique opération d'intoxication ? Tout comme la psychose des « virus mobiles » lancée par F-Secure, les Symantec et consorts ne seraient-ils pas en train de nous inventer, avec des arguments techniques d'un sérieux indiscutable, un « danger » hautement improbable, afin de pouvoir écouler sur le marché une « Integral Protection Suite for Vista Media Center », un « Audio-Video-Shield Anti-Rootkit » ou un « Home Network Security Suite » ? A l'ère des réfrigérateurs IP V6 et des cafetières à microprocesseur, il ne faut négliger aucun débouché commercial.

Microsoft coutumier des add-on non fonctionnelles et bogées

Vendredi dernier, la firme de Redmond a reconnu qu'elle avait dû réécrire 4 des 13 add-on de sécurité publiées lors du dernier Patch Tuesday. D'après le retour des utilisateurs, même une fois installées, les...

le 18/09/2013, par Gregg Keizer, adaptation Oscar Barthe, 463 mots

Google ne crypte pas efficacement les mots de passe Wi-Fi

Lorsqu'un utilisateur d'Android réalise une sauvegarde de son système, notamment en vue d'une réinitialisation de l'appareil, la firme de Mountain View accède immédiatement au clé de son réseau WiFi privé....

le 18/09/2013, par Oscar Barthe, 367 mots

2 millions de comptes clients de Vodafone Allemagne piratés

Un salarié travaillant pour un prestataire de Vodafone Allemagne est soupçonné d'être à l'origine du vol de données concernant deux millions de clients. Cette affaire n'est pas sans rappeler, par sa...

le 16/09/2013, par Serge LEBLAL, 364 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Joël Mollo

VP Europe du sud de SkyHigh

« Nous créons un nouveau marché autour de la sécurité du cloud »