Sécurité

Les routeurs D-Link présentent une faille qui a conduit au faux site de la Banque de France

Certains propriétaires de routeurs D-Link ont été conduits sur un faux site de la Banque de France en raison d’une faille de sécurité. Cela a également affecté ceux qui essayaient d’accéder à Itaú : les pirates ont pu rediriger l’utilisateur avec un serveur DNS malveillant. C’est ce qu’a découvert la société de sécurité Radware.

Les modèles D-Link DSL-2740R, DSL-2640B, DSL-2780B, DSL-2730B et DSL-526B sont concernés, tout comme le modem-routeur ADSL 915 WM de Shuttle Tech. La défaillance n’est présente que dans les routeurs qui n’ont pas été mis à jour au cours des deux dernières années – ce qui est plus courant qu’il ne devrait l’être.

Comment l’attaque sur les routeurs a fonctionné

Radware a découvert que les pirates peuvent modifier à distance les paramètres du routeur pour utiliser un serveur DNS malveillant. En essayant de visiter bb.com, l’utilisateur a été conduit sur un site cloné et falsifié.

  Avant de vous rendre aux États-Unis, rechargez votre téléphone portable

Le navigateur web avertit que “votre connexion n’est pas privée” que si l’utilisateur accède à l’adresse avec HTTPS. Si vous utilisez l’adresse HTTP (stockée dans un signet, par exemple), elle est redirigée sans aucune alerte vers le faux site.

L’utilisateur était également redirigé s’il essayait d’accéder à itau.com. Mais dans ce cas, il n’a pas été emmené sur un site cloné, mais sur un “placeholder”. Qu’en est-il des autres adresses web ? Ici, le DNS malveillant ne faisait que rediriger vers le bon site.

Opération centrée sur la France

Radware a pu détecter 500 tentatives de modification du serveur DNS sur des routeurs D-Link non protégés. Ces “pots de miel” servent spécifiquement à attirer les intrus et à étudier leur comportement.

Et les chercheurs ont remarqué quelque chose de curieux : seuls les pots de miel de Paris ont subi des tentatives d’attaque, alors que les routeurs des autres pays en sont sortis indemnes. Ainsi, le pirate informatique attirait moins l’attention hors de France et avait moins de chances d’être découvert. Le test a été réalisé entre le 8 juin et le 10 août.

  The Pirate Bay n'est plus à l'antenne depuis une semaine

Le site web cloné de la Banque de France comportait des champs pour insérer la succursale, le compte et le mot de passe à huit chiffres. Ensuite, l’utilisateur était dirigé vers un autre écran pour y insérer le mot de passe du téléphone portable, de la carte et du service de réponse (CABB).

Dans le cas de Chrome, il y avait un signe discret “Unsafe” sur la barre d’adresse. Google a l’intention de changer cela : à partir de la version 70, qui sera publiée en octobre, cet avertissement sera rouge et plus attrayant pour les sites avec HTTP.

Un serveur DNS malveillant est retiré des ondes

Selon Ars Technica, cette opération a été clôturée ce vendredi matin (10). Pascal Geenens, un chercheur de Radware, a averti l’opérateur OVH qu’elle hébergeait un serveur DNS malveillant et le faux site BB.

Les utilisateurs concernés devront modifier manuellement les paramètres DNS ou ne pourront pas accéder à l’internet – après tout, le serveur malveillant qui a converti les URL en adresses IP a été désactivé. Nous recommandons d’utiliser Google 8.8.8.8, ou Cloudflare 1.1.1.1.

  Pare-feu ZoneAlarm version Pro gratuit pendant 24 heures

Cette année, on a découvert que près de 5 000 routeurs Datacom, utilisés par Orange étaient exposés sur Internet sans mot de passe. Et récemment, plus de 200 000 routeurs MikroTik ont été infectés par un mineur de cryptomédecine, affectant les utilisateurs français.

A propos de l'auteur

Bernard

Actuellement responsable informatique dans une PME, je bosse dans le domaine depuis une vingtaine d'année maintenant. Fan inconditionnel de DBZ, et de la triologie Die Hard. #teamWindows sur Perlmol !

Laisser un commentaire