Le choix de bons serveurs DNS est important non seulement pour rendre votre navigation plus rapide, mais aussi plus sûre. Ils traduisent une adresse (perlmOl) en IP (104.25.134.33). Si vous utilisez un serveur non fiable, vous risquez d’entrer un mot de passe ou même des coordonnées bancaires sur une fausse page. Et des scripts malveillants cachés sur des sites web modifient le DNS des routeurs sans autorisation.
Leur fonctionnement est le suivant : vous accédez à un site web légitime, commencez à en lire le contenu et, en silence, votre navigateur effectue de nombreuses requêtes malveillantes sur la page d’administration de votre modem (comme http://192.168.1.1). Si l’utilisateur a conservé le mot de passe par défaut de l’opérateur (“admin”, “12345”, “root”, etc.), comme c’est très souvent le cas, le script peut modifier les serveurs DNS sans que personne ne se doute de rien.
C’est ce qui s’est réellement passé. En ce mercredi matin (11), un site web à potins exécutait un script malveillant qui tentait de modifier les paramètres de modem de deux serveurs DNS au Canada. PerlmOl a constaté que le script avait déjà été retiré de la page, mais qu’il était à l’antenne depuis au moins 20 heures. Nous avons contacté le véhicule pour demander un placement, mais nous n’avons pas eu de réponse.
Dans une analyse faite à la demande de PerlmOl, le chercheur en sécurité de Kaspersky, Fabio Assolini, note que le script comporte quatre étapes : À chaque étape, le script tentera de se connecter au routeur, en utilisant des identifiants connus ou par défaut, et donc de modifier les serveurs DNS. Ce n’est pas la première [attaque], elle s’est produite à d’autres moments ?
Un serveur DNS malveillant peut servir de nombreux objectifs, tels que générer des profits pour le criminel en affichant des publicités provenant de systèmes affiliés, ou même orienter les victimes vers des sites factices (des banques, par exemple) pour voler des informations, dans le cas du script en question, selon M. Assolini. Un système de statistiques a montré que, aux heures de pointe, l’audience du code malveillant dépassait 900 utilisateurs simultanés.
Le gros problème est que si vous avez un serveur DNS malveillant, tous les appareils connectés à votre routeur peuvent être vulnérables, y compris les smartphones, les tablettes et les ordinateurs portables. De plus, comme l’attaque est dirigée vers la page d’administration du routeur, le système d’exploitation ou le navigateur que vous utilisez n’a pas vraiment d’importance.
Afin de ne pas être victime de l’attaque, il est important de ne pas utiliser les mots de passe par défaut du routeur et, dans la mesure du possible, de garder le firmware à jour, car le script, en plus de la force brute, tente d’exploiter les défaillances CSRF [Falsifying request between sites] dans le panneau de l’appareil pour entrer et modifier le DNS, recommande Assolini.
Vous le savez donc déjà : si j’étais vous, je jetterais un coup d’œil à la page d’administration de mon routeur pour voir si les paramètres DNS sont corrects.
Lire la suite : Quel est le meilleur DNS de France ? Voir comment tester
