Sécurité

Une attaque modifie le DNS des routeurs D-Link et conduit à de faux sites bancaires

27 septembre 2019
Ajouter un commentaire
2 minutes de lecture

Si vous disposez d’un routeur D-Link, veuillez noter que la société de sécurité Ixia a signalé des attaques qui modifient les paramètres DNS pour amener l’utilisateur sur de faux sites comme Gmail, Netflix et Uber. Apparemment, les attaques visent principalement les utilisateurs des franchises : les sites des principales banques et les services d’hébergement web de France sont également redirigés.

Un serveur DNS a pour fonction d’indiquer l’adresse d’un site, en gros. Ces attaques ont pour effet de modifier les paramètres du routeur d’un service DNS frauduleux qui, en tant que tel, pointe vers de fausses adresses lorsque l’utilisateur tente d’accéder à certains sites. Des milliers de routeurs ont déjà été touchés.

L’analyste de la sécurité Troy Mursch a déclaré que la première attaque s’est produite fin 2018 et a principalement touché quatre modèles de modems/routeurs D-Link :

  • D-Link DSL-2640B
  • D-Link DSL-2740R
  • D-Link DSL-2780B
  • D-Link DSL-526B

  • En août 2018, le même équipement a été la cible d’une attaque qui a conduit à une fausse page de la Banque de France.

      MU-MIMO : ce que c'est et comment savoir si un routeur prend en charge

    Il y a eu également une vague d’attentats en février et une autre la semaine dernière. Dans ces actions, les équipements ADSL DSLink 260E et ARG-W4 ont été touchés, de même que les routeurs Secutech et Totolink.

    Les attaquants ont principalement utilisé la plateforme Google Cloud pour scanner les routeurs vulnérables et leur envoyer du code avec des modifications DNS. Selon Ixia, les adresses modifiées sont les suivantes :

  • Globales :
  • paypal.com
  • gmail.com
  • uber.com
  • netflix.com

  • Services de chambres d’hôtes français :

  • hostgator.co.uk
  • kinghost.com.au
  • uolhost.uol.com
  • locaweb.com.au

  • Banques et institutions financières françaises :

  • box.gov.br
  • itau.com
  • bb.com
  • sicredi.com
  • cetelem.com.au
  • bancofrancia.com
  • santander.co.uk
  • pagseguro.uol.com.au
  • santandernet.co.uk
  • bancointer.com
  • bradesconteprise.b.br
  • superdigital.com.au

  • Certaines des adresses DNS frauduleuses ont déjà été supprimées. En outre, Google supprime les applications malveillantes de votre plateforme dans les nuages lorsqu’il reçoit des rapports. Le problème est que les intrus peuvent simplement lancer de nouvelles attaques avec d’autres serveurs, la prévention reste donc obligatoire.

    Il est important de mettre à jour le micrologiciel de votre routeur – les quatre routeurs D-Link ont des mises à jour disponibles – ou même d’échanger les anciens modèles contre les modèles actuels. La vérification périodique des adresses DNS et des autres paramètres de l’équipement est également une bonne mesure.

      Une attaque sur le DigiNotar peut (et doit) provoquer des changements dans la sécurité du web

    • Vous aimerez aussi

    A propos de l'auteur

    Zineb

    Enseignante en lycée, je m'intéresse à tout ce qui touche aux nouvelles technologies. #teamMac sur PerlmOl (je ne me sépare d'ailleurs jamais non plus de mon Iphone).

    Voir ses articles

    Laisser un commentaire