[Dumboton]

http://www.pcinpact.com/actu/news/34765-phishing-routeur-dns-attaque-Zulfikar-Ramzan.htm
Le "Drive-By Pharming" est un nouveau type d'attaque découvert par Zulfikar Ramzan de chez Symantec et qui touche les routeurs « familiaux » (PDF). Pour l'instant, ce n’est qu’un « proof of concept », mais l'idée est si simple qu'elle devrait faire rapidement des petits, au grand dam des utilisateurs.
http://www.symantec.com/avcenter/reference/Driveby_Pharming.pdf
D'autant plus aisé que le code source est accessible à tous.

Je viens de parcourir l'article. Cela fait froid dans le dos tant cela parait simple et les routeurs vulnérables.

Minimum changer les mots de passe. Pour l'IP (192.168.1.1) valable que si le pirate est fainéant car elle est identifiable à la volée.
_________________

CI c'était des hommes, un service et de la qualité

[cmezza]

J'ai lu un peu les commentaires su PCINpact, mais l'histoire de changer la plage réseau ou l'IP du routeur, ça doit pas servir à grand chose puisque l'adresse de la passerelle est de toute façon fournie par le serveur DHCP.
Et puis même en config manuelle il faut bien le renseigner, non ? Donc il n'y a vraiment que la protection par mdp qui pourrait empêcher ce 'proof of concept' de fonctionner (ou un bon anti virus, ou encore la désactivation de javascript)

[Expertclub]

En même temps les mots de passes... si tu as été une seule fois sur l'interface du modem, tu peux le retrouver en quelques secondes(sous windows biensur) . Donc il reste un bon antivirus si tu as windows, ou sinon un utilisateur averti qui a bien configuré son navigateur et ne va pas n'importe ou, ou encore un OS très peu utilisé, donc autre chose que windows.

[Foxinou]

ca fait froid dans le dos en effet
_________________
ADSL2+ non dégroupé, CIBox, Sud de Rennes, Put*** de bridage !!!

[IchMe]

Coupons court à tout soupçon de malveillance: Rémy utilise du php (enfin, je crois) et non du javascript dans sa signature!
A part ça, je ne suis pas persuadé que l'employé de Symantec en question ait fait là des découvertes sensationnelles. J'ai plutôt l'impression qu'il s'est contenté de transposer des scenarii bien connus au problèmes spécifique des routeurs grand-public. Cela a au moins le mérite d'attirer l'attention sur la sécurité, et sur la simplification que constitue pour un individu animé de mauvaises intentions, la connaissance à priori de la topologie du réseau privé, des mots de passe, caractéristiques et logiciels embarqués du routeur. A propos, que pensez-vous de l'absence de signatures sur la section téléchargement de CI, particulièrement en ce qui concerne les firmwares?

[Rémy]

[mattmatt73]

[IchMe]

[robocop91]

Pour firefox, il existe une extention noscript qui peut aider.

@+
_________________
5946 mètres 4/10 sur 150m, 6/10 sur 5796m 61.95 dB, CT633 AH4021 ethernet , Dégroupage partiel depuis 02/2006. Total depuis 07/2007 SFR veut me faire quiter le réseau CI Bouygues....
Libre depuis peu...

[justhouz]

On peut aussi réfléchir deux minutes et observer que c'est toujours les fabricants de solutions de sécurité qui crient au loup, de préférences au moment ou ils sortent de nouvelles versions de leur logiciels de sécurité.

Les risques existent, mais il faut rester zen.
_________________
PowerMac G5 2x2Ghz & PowerMac G4 Cube - Freebox V5 + Freebox HD - http://escandej.club.fr/

[Dumboton]

pour la CI.BOX, ce genre de test devrait être approfondi
http://forum.clubnews.fr/viewtopic.php?p=75479#75479
_________________

CI c'était des hommes, un service et de la qualité

[robocop91]

Bon, sur le AH4021 j'ai viré le nom d'utilisateur "root"
_________________
5946 mètres 4/10 sur 150m, 6/10 sur 5796m 61.95 dB, CT633 AH4021 ethernet , Dégroupage partiel depuis 02/2006. Total depuis 07/2007 SFR veut me faire quiter le réseau CI Bouygues....
Libre depuis peu...

[Dumboton]

C'est-à-dire ?
pour ma part j'ai bien peur que l'appel d'un page quelconque ne vérifie pas le nom de l'utilisateur en cours.
_________________

CI c'était des hommes, un service et de la qualité

[robocop91]

Oui, lorsque tu vas dans gestion interface la connexion se fait via root/clubadmin par défaut. Il y a fort longtemps que j'avais remplacé le mdp mais aujourd'hui j'ai remplacé le nom d'utilisateur.

Il n'en reste pas moins que en 192.168.1.1 je n'ai pas besoin de m'identifier...

@+
_________________
5946 mètres 4/10 sur 150m, 6/10 sur 5796m 61.95 dB, CT633 AH4021 ethernet , Dégroupage partiel depuis 02/2006. Total depuis 07/2007 SFR veut me faire quiter le réseau CI Bouygues....
Libre depuis peu...

[Anton75]

Salut

Je veux changer à la fois le login (root) et le mot de passe (clubadmin).

En mode expert seul le changement de MP est proposé !

Ai-je sauté une étape ?