DNS Pharming, le détournement Internet pour les nuls
Deux universitaires américains et un chercheur de Symantec se sont intéressés à une nouvelle technique d'attaque, visant non pas les postes de travail, mais directement les « routeurs ADSL » utilisés par les particuliers. Les Linksys, Netgear et autres Zyxel, surtout s'ils sont installés avec leur configuration « par défaut », peuvent aisément se voir pris en otage. En expédiant un exploit Java ou ActiveX transitant par une station de travail en train de surfer sur Internet, l'attaquant accède à l'interface d'administration de l'équipement et modifie les champs DNS de la passerelle. Il ne suffit plus alors que d'utiliser l'adresse IP ainsi injectée, et de l'attribuer à un « DNS pirate » qui se chargera d'aiguiller la navigation des usagers où bon lui semblera. Toute l'astuce de l'attaque réside dans le fait que l'accès à la console d'administration est, par défaut sur ce type d'appareils, inaccessible côté Wan. Cette précaution donne un sentiment de totale impunité à l'utilisateur, qui néglige ainsi de modifier les mots de passe par défaut donnant accès au coeur du routeur, ce qui facilite d'autant un manoeuvre offensive provenant du réseau local. Ajoutons enfin que la quasi-totalité de ces appareils peut être reconfigurée à l'aide d'un unique fichier de quelques Ko. Parfois même, il est même possible d'ajouter un « login script » destiné à faire « monter » un service espion au sein même de la mémoire du routeur. Mieux encore, quelques uns de ces appareils peuvent, par un procédé similaire, voir leur Firmware totalement modifié. Dans certains cas, cette possibilité est appréciée des utilisateurs, dans d'autres, elle peut, surtout auprès d'une clientèle non technicienne, constituer un formidable cheval de Troie. Le principe et la description de cette attaque en « Drive By Pharming » sont rapidement survolés sur le site Symantec. Comme pour toutes les communications de ce type, il y a deux façons de voir les choses. L'hypothèse catastrophiste serait vérifiée si l'on découvrait qu'un virus transportant une applet Java était capable de modifier les « Livebox » de France Telecom. On imagine mal comment le service d'assistance téléphonée d'Orange serait capable de faire face. Paradoxalement, c'est la réaction inverse qui risque de présenter le plus de danger, l'hypothèse « discrète ». Car pour l'heure, les gardiens de Botnets n'en sont pas à aller grappiller leurs zombies catégorie par catégorie, routeur par routeur, FAI par FAI. En revanche, cette technique peut servir de pont d'envol à une opération d'espionnage industriel très ciblée, ou de « spear hacking », d'autant plus aisément qu'aucun outil, aucun indice ne permet de soupçonner ce détournement : pas de modification de la cache DNS locale, aucun changement de la table de routage de la machine habituelle, nul virus, nulle faille à détecter.... Et il n'existe actuellement aucun programme à destination grand-public capable de réagir à la modification d'un paramètre ailleurs que sur un poste de travail. Ajoutons que les auteurs de cette étude ne se sont intéressés qu'à l'aspect « DNS Pharming ». Rien n'interdit d'imaginer un autre type de détournement tout aussi payant, tel que la constitution d'un « botnet d'attaque en Déni de Service» ou d'un troupeau de « smtp relay pour spammeur » logé en mémoire centrale du Linksys intoxiqué ou du Netgear infecté. Les programmes existent -certains de ces routeurs utilisent des noyaux Linux parfaitement connus et « ouverts » -, et ces appareils échappent totalement au contrôle des principaux programmes de protection périmétrique. Et puis, l'idée et les techniques s'affinant avec le temps, rien n'interdit d'imaginer que d'autres appareillages réseau, assez intelligents pour exécuter des programmes mais trop exotiques pour intéresser les éditeurs d'antivirus, fassent à leur tour les frais d'attaques ciblées. A tout hasard... les consoles de jeux, les « radio Web » et autres passerelles de streaming reliant ordinateurs et chaînes HiFi ou Home-Cinéma. Mais en fin de compte, si tout ceci n'était que le début d'une fantastique opération d'intoxication ? Tout comme la psychose des « virus mobiles » lancée par F-Secure, les Symantec et consorts ne seraient-ils pas en train de nous inventer, avec des arguments techniques d'un sérieux indiscutable, un « danger » hautement improbable, afin de pouvoir écouler sur le marché une « Integral Protection Suite for Vista Media Center », un « Audio-Video-Shield Anti-Rootkit » ou un « Home Network Security Suite » ? A l'ère des réfrigérateurs IP V6 et des cafetières à microprocesseur, il ne faut négliger aucun débouché commercial.
