Hameçonnage sans frontières, ou pourquoi vous devez mettre à jour votre routeur

30 Avr 2019

Quelle est la menace informatique la plus courante de nos jours ? Encore et toujours l’hameçonnage ; il n’y a rien de nouveau sous le soleil. Les méthodes actuelles d’hameçonnage utilisent votre routeur et n’ont pas besoin de vous tromper à l’aide d’un e-mail. Vous pouvez suivre une multitude de règles standards (évitez les connexions Wi-Fi publiques, passez votre souris sur le lien avant de cliquer, etc.) mais elles ne vont pas vous être utiles dans cette situation. Analysons de plus près ces techniques d’hameçonnage qui se servent de routeurs piratés.

Comment les routeurs sont piratés

Il existe deux méthodes généralement utilisées pour pirater un routeur. La première approche consiste à tirer profit des identifiants par défaut. Il s’avère que chaque routeur a un mot de passe administrateur. Ce n’est pas celui que vous utilisez pour vous connecter en Wi-Fi, mais bien celui dont vous vous servez pour accéder au panneau administrateur du routeur et modifier les paramètres.

Même si les utilisateurs peuvent modifier le mot de passe, la plupart d’entre eux le laissent tel quel. Lorsque nous gardons le mot de passe par défaut choisi par le fabricant du routeur, les intrus peuvent le deviner, voire le chercher sur Google.

La seconde technique consiste à exploiter une vulnérabilité du micrologiciel du routeur, et il y en a plusieurs, pour que le pirate informatique puisse prendre le contrôle du routeur sans avoir besoin du mot de passe.

Dans tous les cas, les criminels peuvent agir à distance, de façon automatique, et à grande échelle. Les routeurs piratés apportent de nombreux avantages, mais nous allons nous concentrer sur une technique d’hameçonnage particulièrement difficile à détecter.

Exploitation des routeurs piratés pour faire de l’hameçonnage

Les cybercriminels modifient les paramètres de votre routeur après en avoir pris le contrôle. Il s’agit d’une minuscule modification qui passe inaperçue : ils changent les adresses des serveurs DNS que le routeur utilise pour résoudre les noms de domaine. Qu’est-ce que cela signifie ? Pourquoi est-ce si dangereux ?

Une chose est sûre, le DNS (système de noms de domaine) est le pilier d’Internet. Lorsque vous saisissez l’adresse d’un site Internet dans la barre d’adresse de votre navigateur, ce dernier ne sait pas comment la trouver puisque les navigateurs et les serveurs Web utilisent des adresses IP numériques, et non les noms de domaine que les humains ont l’habitude de voir. Par conséquent, la procédure permettant d’arriver à un site Internet ressemble à cela :

  1. Le navigateur envoie une requête au serveur DNS.
  2. Le serveur DNS traduit l’adresse du site Internet saisie sous une forme lisible par l’Homme en une adresse IP numérique, et la communique au navigateur.
  3. Le navigateur sait désormais où trouver le site Internet et charge la page pour vous.

Tout se passe en coulisses et très rapidement. Lorsque votre routeur est piraté, et que les adresses de votre serveur DNS sont modifiées, toutes vos requêtes sont redirigées vers un serveur DNS malveillant que les pirates informatiques contrôlent. Au lieu d’envoyer l’adresse IP du site Internet que vous voulez consulter, le serveur malveillant communique une fausse adresse IP. En d’autres termes, les malfaiteurs trompent votre navigateur, pas vous, en chargeant une page d’hameçonnage au lieu de celle du site Internet que vous recherchez. L’aspect le plus effrayant est que vous, et votre navigateur, pensez que la page est honnête !

Cas brésilien : une campagne d’hameçonnage avec des routeurs piratés

Lors de la vague la plus récente de ce genre d’attaques, les cybercriminels ont profité des failles de sécurité des routeurs D-Link DSL, DSLink 260E, ARG-W4 ADSL, Secutech et TOTOLINK. Les pirates informatiques ont mis en danger les dispositifs et ont modifié les paramètres du DNS. À chaque fois que les propriétaires des routeurs piratés essaient d’accéder à leurs comptes de services bancaires en ligne, ou aux sites Internet de leurs fournisseurs de services, le serveur DNS malveillant, que les cybercriminels contrôlent, les redirige discrètement vers des pages d’hameçonnage conçues pour voler leurs identifiants.

Les cybercriminels se sont servis de cette campagne pour s’en prendre aux utilisateurs brésiliens. Ils ont créé de faux sites qui imitent à la perfection les vrais sites Internet d’institutions financières et banques brésiliennes, d’hébergement Web, et de fournisseurs de services informatiques hébergés dans le Cloud au Brésil.

Les pirates informatiques ont aussi pris pour cibles les utilisateurs de certains services Internet internationaux comme PayPal, Netflix, Uber et Gmail.

Se protéger de l’hameçonnage qui utilise votre routeur

Comme nous l’avons dit antérieurement, il est particulièrement difficile de détecter ce genre d’hameçonnage. Il y a tout de même un peu d’espoir. Voici quelques conseils :

  1. Connectez-vous à l’interface Web de votre routeur, modifiez les mots de passe par défaut, et désactivez l’administration à distance ainsi que d’autres paramètres dangereux.
  2. Assurez-vous que le micrologiciel de votre routeur est à jour. Les mises à jour corrigent généralement les vulnérabilités. Elles s’installent parfois automatiquement sur certains modèles, mais elles doivent être installées manuellement sur d’autres. Cherchez sur Internet toute information relative au modèle du routeur de votre fabricant pour savoir si votre routeur est à jour.
  3. Même lorsque vous accédez à un site Internet que vous connaissez bien, faites particulièrement attention aux détails inhabituels et aux fenêtres pop-up inattendues. Essayez de cliquer sur toutes les sections du site. Même lorsque le design d’une page d’hameçonnage semble très professionnel, les malfaiteurs ne peuvent pas reproduire à la perfection l’intégralité du site.
  4. Avant de saisir vos identifiants, ou n’importe quelles données sensibles, soyez certain que les connexions sont sécurisées (vérifiez que l’URL commence par « https:// ») et analysez toujours le nom du certificat pour voir qu’il correspond au nom de l’entité. Pour ce faire, cliquez sur le cadenas qui apparaît dans la barre d’adresse du navigateur :
  • Sous Internet Explorer et Edge, vous allez immédiatement voir les informations relatives au certificat dont vous avez besoin.
  • Pour Mozilla, vous devez cliquer sur Connexion.
  • Quant à Chrome, vous devez cliquer sur le cadenas puis Certificat, Général, et vérifiez la ligne Valide du… au.

[KIS-cyberattacks-banner]