Détournement de DNS sur plus de 300 000 routeurs pour TPE

Les chercheurs du cabinet de conseil américain Team Cymru viennent de lever le voile sur une vaste campagne d’attaque visant des routeurs Internet destinés au grand public et aux TPE. Plus de 300 000 équipements compromis ont déjà été identifiés, « principalement en Europe et en Asie », dans le cadre d’une opération qui aurait commencé mi-décembre 2013. Identifier un routeur détourné est simple : ses réglages DNS sont modifiés pour interroger les serveurs aux adresses 5.45.75.11 et 5.45.75.36. Des modèles D-Link et TP-Link, notamment, sont concernés.

Les auteurs de cette opération peuvent utiliser les requêtes DNS des utilisateurs des routeurs concernés pour les détourner de leurs sites Web de prédilection - et notamment bancaire - afin de les amener à consulter de manière transparente des sites frauduleux et, ainsi, récolter leurs identifiants de connexion. Une attaque visant, à l’automne dernier, les clients de services bancaires polonais est évoquée en exemple par les auteurs de l’étude. Celle-ci n’avait toutefois concerné que peu d’équipements et d’utilisateurs.

En début d’année, l’ingénieur Eloi Vanderbeken avait découvert une faille présente dans de nombreux équipements réseaux et susceptible d’en permettre la prise de contrôle à distance.