D\u00e9tourner et ensuite modifier les requ\u00eates DNS<\/strong><\/p>\n L\u2019astuce ici r\u00e9side dans le fait de \u00ab\u00a0truquer\u00a0\u00bb les adresses des pages web pour qu\u2019elles deviennent une extension de la vraie adresse IP avec laquelle fonctionne Internet. Cette extension s\u2019appelle DNS, le Domain Name System. Chaque fois que vous saisissez une adresse de site web dans la barre d\u2019adresse du navigateur, votre ordinateur envoie une requ\u00eate \u00e0 un serveur DNS d\u00e9sign\u00e9, qui r\u00e9pond \u00e0 l\u2019adresse du domaine dont vous avez besoin.<\/p>\n Par exemple, lorsque vous entrez google.com, le serveur DNS correspondant r\u00e9pond \u00e0 l\u2019adresse IP 87.245.200.153, l\u00e0 o\u00f9 vous \u00eates effectivement redirig\u00e9. Voici comment cela fonctionne, en r\u00e9sum\u00e9\u00a0:<\/p>\n Pour que cela soit possible, il faut faire appel \u00e0 une m\u00e9thode qui fasse que la victime utilise un serveur DNS malveillant la redirigeant vers un faux site web, \u00e0 la place d\u2019une page l\u00e9gitime. C\u2019est de cette fa\u00e7on que les cr\u00e9ateurs du cheval de Troie Switcher s\u2019y sont pris.<\/p>\n Comment fonctionne Switcher ?<\/strong><\/p>\n Les d\u00e9veloppeurs de Switcher ont cr\u00e9\u00e9 une paire d\u2019applications Android, l\u2019une d\u2019entre elles imite Baidu (une application chinoise de recherche sur Internet, similaire \u00e0 Google), tandis que l\u2019autre se fait passer pour une application de recherche de mots de passe de Wi-Fi public, qui aide les utilisateurs \u00e0 partager des mots de passe de hotspots publics. Ce type de service est \u00e9galement populaire en Chine.<\/p>\n Une fois que l\u2019application malveillante infiltre le smartphone vis\u00e9 qui est connect\u00e9 \u00e0 un r\u00e9seau Wi-Fi, elle communique avec le serveur de commande et contr\u00f4le (C&C) et signale que le cheval de Troie a \u00e9t\u00e9 activ\u00e9 sur un r\u00e9seau en particulier. Elle fournit \u00e9galement un identifiant de r\u00e9seau.<\/p>\n Switcher commence ensuite \u00e0 pirater le routeur Wi-Fi. Il teste plusieurs identifiants de l\u2019administrateur afin de s\u2019identifier sur l\u2019interface des param\u00e8tres. A en juger la mani\u00e8re dont fonctionne cette partie du cheval de Troie, \u00e0 l\u2019heure actuelle cette m\u00e9thode ne fonctionne que si des routeurs TP-Link sont utilis\u00e9s.<\/p>\n Si le cheval de Troie r\u00e9ussit \u00e0 identifier les bons identifiants, il se rend sur la page de configuration du routeur et remplace l\u2019adresse l\u00e9gitime par d\u00e9faut du serveur DNS par une adresse malveillante. De plus, le malware \u00e9tablit un serveur DNS Google l\u00e9gitime \u00e0 8.8.8.8 comme DNS secondaire, afin que la victime ne s\u2019aper\u00e7oive de rien si le serveur DNS malveillant plante.<\/p>\n Sur la majorit\u00e9 des r\u00e9seaux sans fil, les appareils obtiennent leurs param\u00e8tres de r\u00e9seau (y compris l\u2019adresse d\u2019un serveur DNS) depuis les routeurs, de fa\u00e7on \u00e0 ce que tous les utilisateurs qui se connectent \u00e0 un r\u00e9seau pirat\u00e9 utilisent le serveur DNS malveillant par d\u00e9faut.<\/p>\n Le cheval de Troie informe au serveur de commande et contr\u00f4le de ses exploits. Nos experts ont d\u00e9couvert des statistiques d\u2019attaques fructueuses, qui avait \u00e9t\u00e9 laiss\u00e9es par manque d\u2019attention sur la partie publique du site web.<\/p>\n Si les chiffres de Switcher sont pr\u00e9cis, en moins de quatre mois, le malware a r\u00e9ussi \u00e0 infecter 1280 r\u00e9seaux Wi-Fi dont le trafic g\u00e9n\u00e9r\u00e9 par les utilisateurs \u00e9tait \u00e0 disposition des hackers.<\/p>\n Comment se prot\u00e9ger de ces attaques <\/strong><\/p>\n![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2017\/01\/06094054\/dns-normal-en.png\")
Le probl\u00e8me est que les malfaiteurs sont capables de cr\u00e9er leur propre serveur DNS qui r\u00e9pond \u00e0 une autre<\/em> adresse IP (disons 6.6.6.6) en r\u00e9ponse \u00e0 votre requ\u00eate \u00ab\u00a0google.com\u00a0\u00bb, et cette<\/em> adresse pourrait h\u00e9berger un site web malveillant. Cette m\u00e9thode est appel\u00e9e manipulation de l\u2019espace des noms de domaine (DNS).<\/p>\n![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2017\/01\/06094052\/dns-evil-en.png\")
<\/p>\n![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2017\/01\/06094050\/dns-pwned-EN.jpg\")
<\/p>\n![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2017\/01\/06094051\/switcher-statistics.png\")
<\/p>\n\n
\n