Le 8 mars 2012 plusieurs millions d’internautes pourraient être privés d’Internet. Afin d’éradiquer le cheval de Troie DNSChanger, le FBI devrait désactiver plusieurs serveurs DNS. Point d’annonce officielle de l’agence. La nouvelle de cette hypothétique coupure du Net se répand pourtant sur la Toile.
L’origine de cette histoire remonte à plusieurs mois. En novembre 2011, l’agence américaine prend le contrôle de plusieurs serveurs DNS corrompus. Un serveur DNS sert à établir une correspondance entre l’adresse IP d’un site, et l’URL (du type www.01net.com) effectivement tapée par un internaute dans son navigateur. En contrôlant ce genre de serveur, des pirates peuvent « rerouter » les internautes vers des sites frauduleux ou encore interférer dans les échanges entre la machine et le serveur. Pour rediriger les internautes vers ces serveurs DNS corrompus, les « criminels ont utilisé un logiciel malveillant appelé DNSChanger (EDIT 2017 : lien rompu). Ils l’ont utilisé pour modifier les paramètres de l’utilisateur et remplacer le bon serveur DNS du fournisseur d’accès à Internet vers un mauvais serveur DNS aux mains des pirates », explique le FBI sur son site internet.
Beaucoup de si…
Afin de ne pas supprimer l’accès à Internet à des millions d’ordinateurs infectés par le cheval de Troie, le FBI a remplacé les serveurs DNS corrompus par d’autres. Reste que cette mesure devait être temporaire. Elle devait laisser le temps aux particuliers et aux entreprises contaminés de changer les paramètres de connexions de leurs ordinateurs. Un tribunal avait fixé la date butoir au-delà de laquelle les serveurs DNS devaient être définitivement déconnectés au 8 mars. L’échéance approche… et de nombreux ordinateurs seraient encore infectés. Si tel est le cas, et si le FBI déconnecte les serveurs DNS en question, alors effectivement des internautes seront privés de connexion réseau.
Pour pallier une telle mésaventure, le FBI publie la liste des adresses IP des serveurs concernés :
85.255.112.0 à 85.255.127.255
67.210.0.0 à 67.210.15.255
93.188.160.0 à 93.188.167.255
77.67.83.0 à 77.67.83.255
213.109.64.0 à 213.109.79.255
64.28.176.0 à 64.28.191.255
Le FBI rappelle que les connexions haut débit utilisent des adresses IP dynamiques. Celles habituellement assignées aux ordinateurs connectés à domicile sont comprises entre 192.168.1.2 et 192.168.1.254, celles de leurs routeurs et de leurs serveurs DNS sont du type 192.168.1.1.
Pour vérifier une possible infection des machines, des formulaires ont été mis en place par l’agence gouvernementale ou d’autres sites Internet. En cas d’infection avérée, la marche à suivre est indiquée.
Modification de Mai 2017 : Joel Stephens m’informe que le lien sur le site du FBI concernant le PDF sur DNS Changer est rompu. Il vous propose de vous reporter à cet article publié récemment par John D Watson de Comparitech sur le malware DNS Changer et comment s’en protéger (en anglais).
Lire l’article sur : 01net…
Il ne sera plus possible de se faire pirater sa connexion sécurisée en ligne. Telle est la promesse de la nouvelle version du protocole SSL, tout juste proposée par l’IETF (Internet Engineering Task Force) et rapidement ratifiée. Désormais, aucun pirate ne devrait pouvoir s’interposer entre un utilisateur et son réseau d’entreprise, le site sécurisé de sa banque ou encore l’interface d’administration d’un centre de données. Rappelons que dans de tels scénarios, les objectifs des pirates sont multiples : soit voler les clés, les codes des cartes bancaires ou encore le mot de passe de l’utilisateur, soit le rediriger vers un autre serveur sans qu’il s’en aperçoive.
Une faille subtile
La norme SSL sert déjà à chiffrer les communications entre un client et un serveur pour éviter qu’elles soient sur écoute. Mais son évolution a été motivée par une faille découverte en novembre dernier.
Continuer la lecture de Les connexions SSL de nouveau sécurisées →
Le spam, souvent lié à des fraudes ou des attaques de phishing, représente aujourd’hui 92 % des e-mails, selon le ‘Rapport des menaces du second trimestre 2009’ de McAfee. Une autre firme de sécurité, MX Logic, annonce que 94,6 % des e-mails envoyés seraient du spam.
Le rapport de McAfee annonce que "Juin a produit la plus grande quantité de spams jamais vu, dépassant le précédent record (Octobre 2008) de presque 20 %."
Pour les deux firmes de sécurité, c’est le ‘spam pharmaceutiques’ qui représente presque 90 % du spam, avec notamment ‘Canadian Pharmacy’, le spam indiscutablement le plus répandu.
Les criminels qui envoient du spam s’appuient sur un ordinateur piraté, baptisé ‘Zombie’, dont des codes malveillants ont pris le contrôle. On estime que le nombre de ‘zombies’ dans le monde augmente de 150 000 chaque jour. McAfee estime que 14 millions d’ordinateurs sont sous le contrôle de botnets.
Pour McAfee comme pour MX Logic, les Etats-Unis sont vus comme le premier pays en termes de quantité de spams produits. D’autres pays comme le Brésil, la Chine, la Russie, la Pologne ou l’Inde sont aussi de d’importantes sources de spams
Lire l’article sur : Reseaux et Telecoms…
A l’occasion de la conférence RSA de San Francisco, l’éditeur de sécurité Finjan a annoncé la découverte d’un réseau de machines zombies (ou botnet) d’environ 1,9 million de postes exclusivement sous Windows XP. Dans la découverte de ce réseau, ce n’est pas le nombre de machines infectées qui est remarquable mais plutôt les détails donnés sur ce botnet par l’éditeur sur le blog de son centre de recherche.
Les experts en sécurité de Finjan ont en effet localisé le serveur central, qui commande le réseau de machines infectées, en Ukraine. Ils ont même eu accès à son interface d’administration. « Le serveur dispose d’une belle application de back-office, qui permet facilement aux attaquants de contrôler les machines infectées. L’une des fonctions de la console d’administration que nous avons identifiée est un éditeur de lignes de commande, à travers lequel on peut envoyer des instructions aux PC zombies », est-il écrit sur cette page.
Continuer la lecture de Des chercheurs se sont introduits dans le back-office d’un botnet →
1295 ordinateurs espionnés dans 103 pays. C’est l’édifiant constat qu’a dressé le centre Munk pour les études internationales, une organisation dépendant de l’Université de Toronto.
Au terme d’une enquête de dix mois, les chercheurs ont montré comment des centaines de machines ont été infectées par le spyware ghost RAT (Remote access tool) pour constituer un vaste réseau, baptisé GhostNet, permettant aux individus à l’origine de ces manoeuvres d’avoir accès à nombre d’informations confidentielles.
L’étude a identifié quatre serveurs vers lesquels étaient routées les données collectées sur les ordinateurs infectés. Or, il apparaît que trois de ces quatre serveurs étaient localisés en Chine.
Lire l’article complet sur : Reseaux et Telecoms…
Mots clés Technorati :
pirate,
chine,
botnet,
spyware
Les réseaux Ethernet sont pour internet, ce que les canalisations sont pour l'eau. A tout problème de flux, il s'agit avant tout de trouver un bon plombier !