 Nouveau type d'attaques visant les routeurs, le drive-by pharming |
 
|
|
Bienvenue invité |
 |
  |
  mercredi 21 février 2007 à 10:41
Message
#1
|
|
 Mister Tuto Strikes Back !  Groupe : Membres Spécialistes Messages : 11 116 Inscrit : 02/07/2003 Membre no 1 565 FAI: n9uf Dégroupage: Oui (Total) Vitesse de Connexion: ADSL2+ (juqu'a 20Mb)  |
Source Clubic.com
Citation Connaissez-vous le « pharming », cette technique qui consiste à rediriger le trafic d'un site Internet honnête vers un autre site, frauduleux celui-ci, dans le but de vous inciter à y entrer vos informations personnelles ? Les pirates adeptes de cette méthode qui n'est pas sans rappeler le phishing (voir le Dossier sécurité : Spam et Phishing), ou hameçonnage en français, pourraient bientôt mettre en place de nouveaux dispositifs, bien plus insidieux, pour parvenir à leurs fins. L'éditeur en sécurité Symantec et l'Indiana University School of Informatics ont en effet récemment lancé un avertissement relatif à une nouvelle tactique baptisée « drive-by pharming ». Celle-ci consiste à amener l'internaute à télécharger un code malicieux JavaScript qui se chargera de modifier les paramètres de son routeur domestique afin de l'entraîner à son insu vers des sites frauduleux. En manipulant les paramètres DNS (Domain Name Server) du routeur, un pirate pourrait en effet tout à fait faire qu'une adresse valide conduise l'internaute vers un site frauduleux sans que ce dernier ait l'impression d'avoir été abusé. L'administration des routeurs domestiques passe aujourd'hui le plus souvent par une interface Web, généralement accessible au moyen d'une adresse Web générique ou d'une adresse IP permanente, telle que 192.168.0.1. Pour parvenir à manipuler les paramètres du routeur, il est donc nécessaire de parvenir à accéder à cette administration. Or, il se trouve que la plupart des routeurs sont acessibles par défaut à l'aide d'un couple identifiant / mot de passe générique (exemple : login & password), que les utilisateurs oublient souvent de modifier. Pour prendre le contrôle d'un routeur, il suffit donc de placer sur la machine de l'internaute un programme capable de passer en revue les adresses d'administration les plus courantes, puis de tenter l'identification à l'aide d'une batterie de couples login / mot de passe courants. Très simple à mettre en place, ce type d'attaque pourrait potentiellement toucher des millions d'utilisateurs de routeurs autour du monde. « Les attaques de type drive-by pharming sont si simples à lancer qu'il est vital que les consommateurs protègent de façon adéquate leurs routeurs et points d'accès sans fil dès aujourd'hui », indique Oliver Friedrichs, directeur de la division Security Response chez Symantec. Bien que l'efficacité de ce procédé ne soit pour le moment démontrée que par la mise au point de proof of concept, le drive-by pharming pourrait se révéler si lucratif qu'il parait inimaginable que des pirates n'en viennent pas à l'exploiter. Conseils pour vous prémunir contre ce type d'attaque :  Modifier systématiquement le mot de passe par défaut d'accès à l'interface de configuration de votre routeur Eventuellement modifier la plage IP par défaut du serveur DHCP de votre routeur (192.168.0.1 ou 192.168.1.1 en principe pour les routeurs Netgear)Rappels des mesures à prendre pour bien sécuriser votre réseau Wifi : Les deux conseils ci-dessus pour un routeur sont également valables pour l'accès à l'interface de configuration d'un Point d'accès Wifi Modifier le nom SSID par défaut Désactiver la diffusion du nom SSID (Broadcast SSID) Activer le contrôle par adresse MAC afin de n'autoriser uniquement que les adresse MAC des périphériques Wifi appartenant à votre propre réseau Mettre en place un chiffrement par clé WEP, WPA ou WPA2Si cela vous est possible il est conseillé de privilégier un chiffrement par clé WPA ou encore mieux WPA2 qui est beaucoup plus sécurisé que le chiffrement par clé WEP. -------------------- |
 |
 
|
|
mercredi 21 février 2007 à 11:33
Message
#2
|
|
 Orangina Rouge  Groupe : Moderateurs Messages : 9 741 Inscrit : 24/06/2003 Lieu : Jouars Pontchartrain - 78 Membre no 1 463 FAI: Free Dégroupage: Oui (Partiel) Vitesse de Connexion: 2048 Kb |
J'espère que cette technique n'aura pas tardé à parvenir aux oreilles des develeppeurs de Netgear et qu'ils auront "enfin" la judicieuse idée de permettre aux utilisateurs de pouvoir changer l'identifiant du compte "admin" du routeur.
Ca éviterait que ce genre de programme malicieux puisse faire une pseudo attaque par dico sur des couples login/pass classiques. @++ Dwarf --------------------  |
|
|
|
|
mercredi 21 février 2007 à 11:36
Message
#3
|
|
 A Mac, what else? Groupe : Membres Spécialistes Messages : 5 405 Inscrit : 29/07/2004 Lieu : Oise (60) - France Membre no 16 102 FAI: Autres Dégroupage: n/a Vitesse de Connexion: Autres |
+1
-------------------- Laurent   |
|
|
|
|
mercredi 21 février 2007 à 21:48
Message
#4
|
|
 Chef des Forums  Groupe : Administrateurs Messages : 25 808 Inscrit : 16/03/2003 Lieu : Gu' City :) Membre no 4 FAI: Free Dégroupage: Oui (Partiel) Vitesse de Connexion: ADSL2+ (juqu'a 20Mb) |
Tu a oublié... de ne pas enregistrer le login et mot de passe
 (sinon ca aide beaucoup pour l'attaque !)Par contre le changement d'adresseIP... pas utile  il suffit au virus de regarder la passerelle du PC et il a trouvé le routeur
-------------------- Ne pas cliquer ici
(°v°) (°v°) (°v°) (°v°) (°v°) (°v°) (°v°) (°v°) (°v°) / 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \_/ 0 \ u__u u___u u__u u__u u___u u__u u__u u___u u__u |
|
|
|
|
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :
|
Version bas débit | Nous sommes le : dimanche 26 mai 2013 à 10:41 |