Le "Drive-By Pharming" est un nouveau type d'attaque découvert par Zulfikar Ramzan de chez Symantec et qui touche les routeurs « familiaux » (PDF). Pour l'instant, ce n’est qu’un « proof of concept », mais l'idée est si simple qu'elle devrait faire rapidement des petits, au grand dam des utilisateurs.
Le concept part du principe que la majorité des routeurs non-professionnels ont tous des consoles web d'administration, et des configurations connues : même plage d'ip privés (192.168.1.0), et mot de passe administrateur configuré par défaut.
De fait, explique le chercheur de Symantec, une attaque devient alors facilement envisageable : en visitant une page web piégée, un javascript est lancé, et donc exécuté sur votre machine. Sa mission première sera d’essayer d'accéder à l'interface web de votre routeur (via des IP privées connues) et tester les mots de passe administrateurs par défaut qu’on retrouve dans les documentations officielles.
Si la brèche est ouverte, l'attaque la plus simple consiste alors à modifier la configuration DNS du routeur pour qu'elle pointe sur un DNS pirate. À partir de là, le phising d’un site devient très délicat à détecter, car, même si dans la barre de votre navigateur l'adresse du site visé (votre banque, paypal, etc. par exemple) est bien correcte, tout le trafic sera redirigé vers l'IP du site pirate.
On peut varier les plaisirs et imaginer que le pirate puisse aussi prendre facilement le contrôle du routeur et en faire ce qu'il veut (machine zombie, « sniffer » le trafic, etc.)
Même si ce type d'attaque ne devient jamais une pratique courante, Zulfikar Ramzan recommande aux possesseurs de routeur, de changer le mot de passe par défaut, et pourquoi pas la plage d'adresse privée de votre réseau. Cela ne mange pas de pain.
Source
PCINpact
Auteur
