Votre nom :
Votre email :
Email du destinataire :

4,5 millions de Box Internet compromises au Brésil !

1 faille logicielle, 2 scripts frauduleux, 40 serveurs DNS malveillants et 6 fabricants de modems-routeurs. Soit 4,5 millions de Box Internet brésiliennes attaquées depuis 2011 ! Or, rien de tout cela ne serait arrivé si les Box avaient été mises à jour…

Depuis 2011, des cybercriminels ont exploité une faille méconnue de certains modems routeurs (Box Internet). Ils ont ainsi contaminé des millions de particuliers et d’entreprises, à l’aide malwares et de redirections Internet frauduleuses. Rien de tout cela ne serait arrivé sans la négligence des Fournisseurs d’Accès (FAI), les bourdes des fabricants, le manque de prévention des utilisateurs, et une indifférence générale.

1 vulnérabilité logicielle

Le logiciel principal d’une Box Internet (ou d’un smartphone, une console de jeu, etc.) s’appelle un firmware. Des mises à jour de ces firmwares sont proposées régulièrement, pour résoudre des failles de sécurité, ou pour que l’appareil bénéficie de nouvelles fonctionnalités. Le problème des appareils réseau (modem, routeur, box), c’est qu’une fois branchés et paramétrés, nous avons souvent tendance à les oublier. Et donc à zapper les mises à jour…

La faille utilisée au Brésil a pourtant été divulguée en 2011, dans l’indifférence la plus totale. Elle a permis aux cybercriminels de s’introduire logiciellement dans ces routeurs, de capturer le mot de passe de protection, et de modifier certains paramètres réseau, et notamment l’adresse des serveurs DNS : cette technique permet de rediriger certaines adresses web vers d’autres sites, en l’occurrence malveillants, en toute discrétion. Par exemple, un utilisateur, pensant se connecter au site de sa banque en ligne, se connectait en réalité à un site jumeau frauduleux…

1 problème de puce, pas de box

La vulnérabilité logicielle concernait une puce électronique, c’est à dire un des composants de nos Box Internet. Or, la puce incriminée (Broadcom) est utilisée dans plusieurs types de routeurs, fabriqués par 6 entreprises différentes, donc 5 très importantes. Certains des modems-routeurs défaillants étaient même approuvés par l’Agence Nationale des Télécommunications du Brésil ! Toutefois, certaines versions de la puce en question n’ont pas été sujettes à la vulnérabilité.

2 scripts malicieux

L’attaque est savamment orchestrée : un premier script est développé par les cybercriminels : le programme est chargé de « balayer » Internet à la recherche de Box Internet hébergeant la faille (adresses IP). Un second script est ensuite envoyé sur les cibles, et exploite la faille : il capture le mot de passe, accède au menu de configuration, paramètre les DNS à sa guise, puis modifie le mot de passe pour que le propriétaire ne puisse plus y accéder. Ce changement de DNS a pour conséquence de rediriger l’internaute connecté vers de faux sites Internet.

40 serveurs DNS frauduleux

Les cybercriminels ont mis en place une quarantaine de serveur DNS, pour pouvoir accueillir tous les internautes piratés, dont les paramètres DNS ont été modifiés sur leur Box Internet.

Ainsi, sans s’en rendre compte, les internautes piégés se connectaient à de faux sites bancaires brésiliens, ou à des sites malicieux, qui installaient automatiquement des malwares sur les ordinateurs connectés, à leur insu.

D’autres sites populaires étaient ciblés, comme par exemple Facebook : à l’ouverture de la page du réseau social, une alerte demandait à l’internaute d’installer un plugin (extension), soit-disant nécessaire à l’accès sur le site. Il s’agissait en réalité d’un cheval de Troie, destiné à relever des identifiants bancaires.

Les changements de DNS ont permis l'ajout de cet affichage : une alerte demande d'installer un programme pour accéder à Facebook. Il s'agit d'un cheval de Troie.

Beaucoup de mauvaises volontés

De nombreuses Box Internet ou modems-routeurs sont conçus de façon très basique, au détriment de la sécurité : certains utilisent toujours les mêmes mots de passe par défaut (ex : « password », « 1234 », etc.), connus de tous, et qui ne sont ensuite pas forcément modifiés par les acheteurs.

D’autres appareils prévoient la possibilité de commander à distance ces modems-routeurs, notamment pour des besoins d’assistance en ligne. Mais ces accès sont aussi connus par de nombreux hackers, qui n’hésitent pas à s’en servir.

Enfin, certains fabricants rechignent à développer des patches correctifs (mise à jour de firmware) lorsqu’une faille est dénoncée, d’où des failles de sécurité qui restent exploitables pendant des mois, voire des années…

Epilogue

Lorsqu’en mars 2012, le CERT Brésil informe qu’il y aurait eu plus de 4,5 millions de Box Internet hackées dans le pays, les banques, les FAI, les fabricants et différentes agences gouvernementales n’ont eu d’autre choix que de se réunir pour trouver une solution.

Les fabricants ont alors proposé une mise à jour du firmware pour éradiquer le problème, et les banques ont réussi à démasquer les 40 serveurs DNS frauduleux qui piégeaient leurs clients. Néanmoins, les modems-routeurs encore infectés restent évalués à environ 300 000…

Comment sécuriser l’accès à sa Box Internet ?

Quel que soit l’intérêt du fabricant pour la sécurité de ses modems-routeurs, l’utilisateur final peut effectuer quelques actions simples qui mettront sa Box à l’abri d’une telle intrusion :

  • Changer le mot de passe par défaut d’accès à la box (comment accéder à sa box ?)
  • Vérifier régulièrement les réglages de sécurité
  • Effectuer les mises à jour le plus fréquemment possible : certaines sont automatiques et interviennent la nuit, d’autres peuvent être déclenchées manuellement, en débranchant et en rebranchant le câble d’alimentation de l’appareil.

Par ailleurs, il est possible d’accéder à ces réglages (et bien d’autres) par le Wi-Fi. D’où l’intérêt de bien sécuriser sa connexion sans-fil également !

 

Source : securelist.com

Image : Flickr / Jazza2 / CC BY-NC-SA 2.0

Suggestions de contenu lié à cet article
TAGS boxcybercriminalitédonnées bancairesfaillehackerinternetmalwaremise à jourmot de passesécurité

Aucun commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Protection anti-spam

«« Je ne vois que le soleil qui rougeoie et le ciel qui bleuoie »»

Dans le texte ci dessus, de quelle couleur est le soleil  ?

Votre réponse :

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.