lundi 10 février 2014

Des routeurs privés victimes de cyberpirates en Pologne

Une attaque informatique a dernièrement été rapportée par le centre d'urgence de prévention des risques informatiques de Pologne (CERT) impliquant le piratage des routeurs domestiques afin de modifier leurs paramètres DNS dans le but d'intercepter les communications Internet entre les internautes et leur banque.
Le CERT estime que les pirates pourraient également s'en prendre aux systèmes d'autres pays en moyen de techniques similaires.
"L'attaque est possible car plusieurs vulnérabilités existent dans les routeurs domestiques permettant de modifier la configuration DNS (Data Name Server) à distance et sans autorisation", ont expliqué  les chercheurs du CERT le 6 février 2014 sur le blog de l'organisation polonaise.
Analyse de l'exploit
L'attaque de type "man-in-the-middle" (l'homme au milieu), visant à intercepter les communications entre deux systèmes, a permis à ces pirates d'attaquer les sites web de banques proposant des services en ligne.
Concrètement, via le routeur de la victime, qu'il soit Wi-Fi ou pas, le pirate injecte des programmes (JavaScripts) qui interceptent l'identifiant (pseudonyme ou UserID) et le mot de passe de l'utilisateur ainsi que son code TAN (Transaction Authentication Number). Muni de ces informations secrètes, le pirate dispose de tous les accès pour voler l'argent déposé sur les comptes bancaires.
Rappelons que le code TAN est un système de contrôle d'accès comme le "token" et autres cartes à puce tels les modèles présentés à gauche (les indications sont fictives).
C'est une sécurité supplémentaire d'authentification forte qui délivre un mot de passe unique et aléatoire (One-Time Password) pour la durée de la connexion sur le site sécurisé. Ce système gère une clé d'encryption privée et un certificat numérique.
Cette solution offre de bonnes garanties de sécurité : elle assure le contrôle d'accès, la confidentialité, l'intégrité et la traçabilité. Aussi, sa compromission ouvre aux pirates une voie d'accès directe aux données privées de la victime.
A moins d'être intentionnellement configurés pour fonctionner différemment, les périphériques connectés à un réseau local utilisent le serveur DNS inclut dans le routeur du réseau pour résoudre les noms de domaines en adresses IP (il convertit par exemple le nom Domaine.com en 123.456.789.001).
Si le pirate compromet le routeur et le configure pour contrôler le serveur DNS, il peut lui répondre avec de fausses adresses IP et effectuer des requêtes sur le nom de domaine cible qu'il convoite, en l’occurrence celui de la banque où l'internaute à ouvert ses comptes.
Dans l'attaque qui s'est produite en Pologne, les cyberpirates ont utilisé le serveur DNS et créés de fausses adresses IP et ont accédé à cinq banques de Pologne.
Ces adresses IP correspondent à un serveur qui agit comme un proxy (un serveur intermédiaire gérant la sécurité entre Internet et l'ordinateur distant), fournissant au pirate situé entre les deux systèmes les moyens d'intercepter et de modifier le trafic entre l'internaute et le site de sa banque en ligne comme le montre le schéma suivant.

Le piratage informatique perpétré sur les routeurs en Pologne. Document CERT.
La difficulté pour les pirates est que les sites bancaires sont évidemment sécurisés et utilisent le protocole HTTPS (HTTP avec l'encryption SSL), rendant impossible toute usurpation sans disposer de certificat valide émit par une autorité certifiante (VeriSign, etc).
De ce fait, les pirates utilisent des techniques moins sophistiquées comme le stripping SSL afin de détourner la protection informatique.
Les banques utilisent généralement l'encryption SSL pour leur service en ligne mais pas sur la totalité de leur site web.
Dans la plupart des cas, l'internaute se connecte d'abord sur le portail web du site en HTTP et clique ensuite sur un lien pour accéder à la page sécurisée du site où le SSL est activé.
Heureusement, certaines banques forcent d'office la connexion HTTPS sur la page d'accueil.

Les pages d'accueil de deux banques offrant des services e-banking.
A gauche, une page non sécurisée. Elle ne le devient que si l'internaute
se connecte au sous-menu d'accès au service en ligne. A droite, une page sécurisée.
Mais dans l'éventualité où la page d'accueil serait en HTTP, cette faille permet aus pirates d'empêcher l'établissement d'une connexion sécurisée. Leur faux proxy server établit une connexion encryptée vers le site de la banque mais la connexion est en fait établie entre l'internaute, le pirate et la banque sans encryption; les codes sont donc lisibles en clair par le pirate situé au milieu de la ligne.
"Au cours d'une cyberattaque, l'icône indiquant qu'il s'agit d'une connexion SSL sécurisée ne s'affiche pas dans le navigateur. Toutefois, en général les victimes ne le remarquent pas car elles cliquent sur le favori ou le lien (URL) de la banque qu'elles ont sauvegardé et ne soupçonnent donc pas qu'elles font l'objet d'une attaque", a expliqué Przemyslaw Jaroszewski, le responsable du CERT de Pologne.
L'attaquant peut alors progresser et réécrire l'URL que voit le client en ajoutant dans l'adresse URL du navigateur la mention "ssl-" devant le nom de domaine.
Bien que ce type d'attaque ne soit pas nouveau, selon Jaroszewski, à sa connaissance c'est la première fois que des cyberpirates réalisent une attaque massive visant les clients des systèmes bancaires en ligne.
L'analyse de l'expxloit a révélé le mois dernier une vulnérabilité dans le firmware du routeur ZyNOS développé par ZyXEL Communications qui permet a priori de pouvoir également utiliser d'autres modèles de routeurs de fabricants tels que TP-Link, ZTE, D-Link et AirLive.
La vulnérabilité permet aux pirates de télécharger le fichier contenant la configuration du routeur sans être authentifiés sur le système. Le fichier peut alors être scanné pour extraire le mot de passe du routeur (et de l'interface d'administration).
Selon le CERT des exploits (Zéro Day) sont déjà survenus en décembre 2013, avant que la vulnérabilité ne soit divulguée publiquement.
"Il y a de nombreuses manières de modifier les entrées DNS d'un routeur domestique, certaines d'entre elles étant connues depuis des années", a déclaré Jaroszewski. "Il est surprenant que ce soit donc la première fois qu'elle soit exploitée à grande échelle."
Suppression de l'accès anonyme
(invité ou guest) dans le menu
d'administration d'un routeur Wi-Fi
.
Trois vulnérabilités ont été découvertes en janvier 2014 sur le routeur EE BrightBox proposé par défaut par le fournisseur d'accès britannique EE à ses clients. L'une de ces vulnérabilités pourrait potentiellement permettre aux cyberpirates de modifier la configuration DNS de ce routeur.
Le CERT estime qu'il est probable que des attaques DNS similaires visant les systèmes bancaires se produisent dans d'autres pays dans le futur. Toutefois, à ce jour, aucun évènement similaire n'a été reporté en dehors de la Pologne.
Bien que l'administration des routeurs à distance via Internet (par Wi-Fi) soit évidemment la technique la plus utilisée, Jaroszewski rappelle que des codes JavaScripts malicieux injectés à partir d'un site web ont déjà été utilisés pour indiquer au navigateur de l'internaute d'envoyer de fausses commandes vers des routeurs pirates via les réseaux locaux en utilisant les permissions par défaut. C'est ce qu'on appelle une attaque par redirection croisée ou CSRF (cross-site request forgery attack).
Comment se protéger ?
Les risques associés à ce type d'infrastructure sont égaux à la somme des risques d'un réseau câblé plus des risques introduits par les vulnérabilités des protocoles sans fil et des périphériques (ordinateur, routeur, etc).
Selon le CERT, "pour protéger un routeur domestique de toute attaque, toute administration à distance depuis Internet devrait être désactivée. Le nom de l'utilisateur et le mot de passe devraient être modifiés avec des noms uniques et non révélés au public".
On pourrait même ajouter que les identifiants ne devraient même pas être connues de l'opérateur (le service technique connaît parfois l'identifiant et le mot de passe si leurs agents ont effectué la première installation à votre domicile et qu'elle n'a pas été modifiée depuis).
Consultez le manuel d'utilisation de votre routeur pour la méthode à suivre ou contactez le service technique de votre opérateur.
Pour déjà savoir si votre routeur est accessible à distance, à condition de passer par Internet et d'avoir un compte sur un serveur NAS (donc l'ordinateur ne doit pas être physiquement connecté au routeur via le câble réseau), cliquer sur le lien correspondant à la marque de votre routeur :


S'il est allumé et ne répond pas, tant mieux. Mais si vous arrivez sur la page d'accueil du routeur, pensez à modifier ses paramètres et réduire les possibilités d'accès aux seuls que vous utilisez (supprimez par exemple les adresses MAC des appareils inconnus, l'accès LAN/WAN par la téléphonie, l'accès anonyme, etc). Il en va de la sécurité de vos données personnelles.
Ce type d'attaque diffère des attaques troyennes plus subtiles et peut être remarquée si l'internaute fait bien attention à l'adresse mentionnée dans la barre supérieure de son navigateur qui doit indiquer HTTPS en permanence lorsqu'il surfe sur un site sécurisé (e-banking, webmarchands, etc).
Il faut également savoir qu'on peut aussi modifier les paramètres DNS statiques d'un routeur pour éviter toute propagation malicieuse des paramètres vers un autre système.
Enfin, le logiciel et le firmware d'un routeur peuvent être mis à jour. Ces corrections ne sont pas automatiques et doivent être appliquées manuellement (téléchargées et installées). Consultez également le manuel de votre routeur ou le site du fabricant pour les détails.
A ce sujet, même si vous ne parvenez pas à vous connecter sur votre routeur à distance, cela ne prouve pas qu'il n'est pas vulnérable à certains types d'attaques, même si le fabricant et l'opérateur effectuent des tests d'intrusion avant de commercialiser leurs produits.
Ainsi, ce 10 février 2014 le fabricant de la Fritz!box a proposé une mise à jour logicielle pour certains de ses routeurs Wi-Fi car en Allemagne des pirates sont parvenus à pirater les lignes téléphoniques de particuliers via le port 443 dédié au protocole HTTPS, une bonne raison pour le désactiver pour la téléphonie (c'est en principe le cas par défaut).
Sachant cela, prenez cinq minutes pour consulter le site du fabricant de votre router (il doit y avoir une rubrique Actualité ou Téléchargement), il y a peut-être une mise à jour à appliquer ou des vérifications à effectuer.
Et rassurez-vous, si d'aventure un pirate essayait d'accéder à votre routeur, il doit connaître votre identifiant et votre mot de passe, sachant que ce dernier est crypté.
Actions et aspects légaux
Sans vous alarmez, si vous constatez que votre ordinateur est piraté, coupez immédiatement votre routeur (ou votre modem si vous utilisez encore une ancienne technologie). Contactez votre opérateur et le CERT le plus proche par téléphone ainsi que la police.
Point de vue légal, sachez que la jurisprudence a déjà condamné la victime plutôt que le pirate pour ne pas avoir sécurisé son accès Internet.
Le point de vue du législateur est clair : comme l'usage des logiciels antivirus, chacun est responsable de la protection de son ordinateur (routeur, smartphone, etc). Si vous ne le faites pas, vous facilitez le travail des pirates, les aider à propager les programmes malicieux et encouragez la cybercriminalité.
Pour plus d'informations
CERT-IST (industrie, services, et tertiaire)
Procédures de login pour les sessions d'eBanking
Prévention du piratage informatique sur Luxorion.

Aucun commentaire :

Enregistrer un commentaire