300 000 Routeurs détournés par des pharmers

 Team Cymru (expert en sécurité Internet) a repéré une faille DNS affectant 300.000 routeurs installés en Europe et Asie.

Les chercheurs en sécurité de l’équipe Cymru ont identifié une série d’attaques « man-in-the-middle » qui ont affecté 300.000 routeurs de différentes marques. Les routeurs étaient installés à domicile ou exploités dans le cadre d’une TPE ou d’une activité professionnelle indépendante. Ils ont été piratés et utilisés pour diriger le trafic vers les serveurs contrôlés par les attaquants.

Les routeurs sont une cible idéale pour les attaquants, car ils peuvent être utilisés pour espionner le trafic envoyé vers et à partir des points d’accès de l’entreprise à proximité. Une fois que l’attaquant a pris le contrôle d’un routeur, il est capable de suivre, rediriger, bloquer ou altérer un large éventail d’activités en ligne. L’appareil infecté est en mesure de rediriger automatiquement les internautes vers des sites Web de manière arbitraire et abritant potentiellement des malwares. Les modifications des réglages DNS peuvent ainsi aboutir aux attaques appelées « drive by pharming » (une nouvelle forme de pharming qui consiste à détourner cette fois-ci les connexions des routeurs domestiques).

L’éditeur de sécurité informatique Tripwire a analysé la sécurité procurée par les routeurs sans fils utilisés par les TPE et les particuliers, et a découvert que 80% des 25 routeurs les plus vendus sur Amazon présentaient des vulnérabilités.

La vulnérabilité des routeurs domestiques n’est pas une nouveauté. Au début de l’année, un ingénieur français a indiqué l’existence d’une « backdoor » qui affecterait plusieurs routeurs des marques Linksys et Netgear.

Selon les chercheurs de Kaspersky Lab, plusieurs facteurs occasionnent la vulnérabilité de ces appareils : la mauvaise gestion des mots de passe, la sauvegarde des configurations par défaut, vulnérabilités du firmware, voire le manque de connaissance des utilisateurs.

Pour protéger les routeurs de ce type d’attaque, il convient de désactiver tout type d’accès et d’assistance à distance à partir d’Internet et de changer les noms d’utilisateur et mots de passe par défaut des appareils. Veillez également à installer la dernière version disponible du firmware pour ces appareils.

 

Viktoriya DZHELEPOVA
Etudiante en M2 Droit de l’économie numérique à l’Université de Strasbourg

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.