Energysquare propose un astucieux ruban à coller au dos d'un smartphone pour bénéficier d'une capacité de recharge sans fil.

L'Image du jour

Energysquare propose un astucieux ruban à coller au dos d'un smartphone pour bénéficier d'une capacité de recharge sans fil.

Cybersécurité : quels outils pour contrer les nouvelles menaces

Dernier Dossier

Cybersécurité : quels outils pour contrer les nouvelles menaces

Les événements récents autour du ransomware Locky et du vol massif de données du cabinet panaméen Mossack Fonseca dans l'affaire des « Panama Papers »...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
2
Réagissez Imprimer Envoyer

Plus de 700 000 routeurs ADSL vulnérables au piratage

Le D-Link 2750E est un des routeurs équipés du firmware vulnérable fourni par Shenzhen Gongjin Electronics. (crédit : D.R.)

Le D-Link 2750E est un des routeurs équipés du firmware vulnérable fourni par Shenzhen Gongjin Electronics. (crédit : D.R.)

Au moins 700 000 routeurs ADSL dans le monde, fournis aux clients par les FAI, contiennent encore de graves failles de sécurité qui permettent à des pirates de prendre le contrôle à distance de ces équipements.

Il y a quelques mois, le chercheur en sécurité Kyle Lovett est tombé sur une faille de sécurité affectant plus de 700 000 routeurs ADSL dans le monde. Ces boitiers fournis par les FAI à leurs clients possèdent donc une vulnérabilité au sein de leur firmware qui permettrait à un pirate de récupérer à distance et sans s’identifier le fichier config.xml. Ce dernier contient des données de configuration sensibles, y compris les informations d'identification comme les mots de passe de l’administrateur et des autres comptes sur l’appareil, le nom d'utilisateur et le mot de passe pour la connexion FAI de l'utilisateur (PPPoE), les clients et les serveurs d'identification pour le protocole de gestion à distance TR-069 utilisé par certains FAI, et le mot de passe pour le réseau sans fil configuré, si le dispositif a des capacités WiFi.

La faille n’est toutefois pas nouvelle et a été rapportée par plusieurs chercheurs depuis 2011 dans divers modèles de routeur. Kyle Lovett a toutefois creusé le sujet et découvert que des centaines de milliers de périphériques vulnérables de différents fabricants ont été distribués par des FAI à leurs abonnés Internet dans une douzaine de pays. Selon M. Lovett, l'algorithme de hachage utilisé par ces routeurs pour les mots de passe est faible et peut facilement être cassé. Les attaquants pourraient alors se connecter en tant qu'administrateur et modifier les paramètres DNS d'un routeur.

 Redirection vers des sites de pishing

En contrôlant les adresses DNS de ces routeurs, les attaquants peuvent diriger les utilisateurs vers des serveurs malveillants quand ils tentent d'accéder à des sites web légitimes. Les attaques par détournement DNS sont devenues monnaie courante ces deux dernières années et alimentent des sites de pishing.

La plupart des routeurs ont des failles supplémentaires. Par exemple, environ 60% de ces modèles donnent également accès à leur mémoire vive, une autre porte pour récupérer des données. Un point très négatif car la RAM peut contenir des informations sensibles sur le trafic Internet, comme les informations d'identification de divers sites web. En analysant plusieurs attaques exploitant cette dernière vulnérabilité, le chercheur a relevé des signes indiquant que les routeurs étaient déjà sondés par des pirates, la plupart du temps à partir d’adresses IP chinoises.

Des routeurs exploitant le firmware de Shenzhen Gongjin Electronics

La plupart des appareils vulnérables qu'il a identifié sont les modems/routeurs ADSL fournis à leurs clients par des FAI en Colombie, en Inde, en Argentine, en Thaïlande, en Moldavie, en Iran, au Pérou, au Chili, en Égypte, en Chine et en Italie. Quelques-uns ont également été trouvés aux États-Unis, mais ils semblaient être des dispositifs directement achetés par les utilisateurs et non pas fournis par les FAI.

Les modèles concernés comprennent les ZTE H108N et H108NV2.1, D-Link 2750E, 2730E et 2730U, Sitecom WLM-3600, WLR-6100 et WLR-4100, FiberHome HG110, Planète ADN-4101, Digisol DG-BG4011N, et Observa Telecom BHS_RTA_R1A. M. Lovett trouvé un point commun entre ces équipements : la grande majorité des routeurs touchés utilisent un firmware développé par Shenzhen Gongjin Electronics, une société chinoise également connue pour sa marque T & W. Shenzhen Gongjin Electronics est un sous-traitant pour les produits réseau et de télécommunications qui fabrique également des équipements basés sur ses propres spécifications. Suite à une recherche sur WikiDevi, une base de données en ligne pour le matériel informatique, on découvre que Shenzhen Gongjin Electronics est répertorié comme le sous-traitant de D-Link, Asus, Alcatel-Lucent, Belkin, ZyXEL et Netgear. Impossible de savoir combien de périphériques reposent sur le firmware développé par la société qui pourrait contenir les vulnérabilités identifiées par le chercheur.

 Mise à jour du microcode ? 

Pour trouver les routeurs vulnérables sur Internet, M. Lovett a utilisé Shodan, un moteur spécialisé dans la recherche d’appareils connectés. Selon lui, 700 000 est une estimation prudente, qui ne couvre que les dispositifs pouvant être ciblées à distance via leur interface d'administration web exposée sur Internet. Il est également difficile de savoir si Shenzhen Gongjin Electronics est consciente des défauts ou si elle a déjà distribué des versions corrigées de son microcode à ses partenaires. La société n'a pas répondu à une demande de commentaire et, selon M. Lovett, ses tentatives pour informer la société sont restées sans réponse. 

COMMENTAIRES de l'ARTICLE2

le 23/03/2015 à 16h02 par Visiteur5735 :

Problème identique vécu avec un routeur TP-LINK.
On peut toutefois protéger la lecture du fichier de config par paramétrage du firewall en rajoutant des règles à celles (minimes) présentes par défaut.

Signaler un abus

le 23/03/2015 à 14h48 par newsoftpclab (Membre) :

Il faudrait savoir la marque des routeurs adsl.A savoir si les FAI vont faire tout ce qu'il faut pour les changer ou les reconfigurer.

Signaler un abus

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité