ACTUALITE Attaque massive sur les routeurs

[alexandre01]

Bonjour,

Relativement important sur la sécurité pour que je puisse faire un sujet sur ce thème, je décide de poster ce sujet.


il y a quelques jours, l'Allemagne a subi une attaque d'envergure, et très sophistiquée.

https://www.courrierinternational.com/article/allemagne-le-bundestag-est-victime-dune-cyberattaque-incontrolable

Il y a un chercheur de sécurité indépendant (sans le citer: Kafeine), qui a détecté des attaques massives sur les routeurs de plusieurs pays, et aussi en France.

https://malware.dontneedcoffee.com/2015/05/an-exploit-kit-dedicated-to-csrf.html

SI vous êtes allergiques avec l'anglais, un résumé détaillé est visible ici
Je ne sais pas si cela a un lien, mais vaut mieux avertir les utilisateurs qui lisent ce post.

Par conséquent, changer votre nom d'utilisateur et mot de passe de votre routeur.
Bien sûr, changer régulièrement votre mot de passe, car les routeurs de nos FAI proposent un nombre limité de caractères pour les mots de passes, sans compter les éventuelles backdoors (porte dérobée) qui peuvent exister.

Quand je parle de mot de passe, il faut mettre majuscule, minuscule, chiffres et caractères spéciaux pour éviter de trouver le mot de passe quasi-instantanément.

Vous pouvez opter aussi pour le choix d'un routeur, composé d'un logiciel libre et du matériel audité, au dépend que vous ne pourrez plus regarder la TV, etc...

N.B: Ceci n'est pas anodin. Lors d'une attaque que j'ai subi par une attaque ATP sophistiquée , j'ai eu la même chose:
J'ai caché les adresses IP en grande partie pour que quelqu'un puisse essayer d'accéder à ses adresses IP par inadvertance

Le protocole STUN permet de connaitre l'adresse IP réelle derrière un routeur utilisant la NAT.


Cordialement

 

[Nicolas]

Merci pour la news Alexandre,
Il est donc urgent pour ceux et celles qui n'ont pas modifié le mot de passe de leur routeur (vous êtes légion!) de le faire systématiquement... par défaut généralement : admin/admin ou admin/password.

 

[alexandre01]

Exact,

j'ajouterai que sous Windows , si vous utilisez un VPN, votre adresse IP peut-être vue via une "faille" avec les fonctionnalités WebRTC.

D'après ce que j'ai lu, ça ne toucherai que Windows, mais il es plus sage de désactiver la "faille" pour tout OS.

Sous Firefox:

dans la barre de recherche, tapez about:config et tapez media.peerconnection.enabled
Changez la valeur de "True" À "False"


La fonctionnalité "Hello" de Firefox utilise les fonctionalités WebRTC.
Pour désactiver Firefox Hello, si vous avez peur de quelque chose:

(voir le site auquel je prend le renseignement ci-dessous)

dans la barre de recherche, tapez about:config et tapez loop.enabled
Changez la valeur de "True" À "False"

Bizarrement, sous iceweasel, j'avais firefox Hello et plus maintenant, et je n'ai pas la ligne loop.enabled.

Pour vérifier que la "faille " soit bien colmatée, vérifier via ce site:

https://diafygi.github.io/webrtc-ips/

Note: Je volais écrire cela dans un tutoriel, mais je vais décrire cela maintenant .


Certains VPN sont mal configurés, et voulez avoir des fuites DNS.
Le DNS est comme un "annuaire téléphonique" qui permet de relier l'adresse IP à domaine.

Certains VPN, qui ont leur propre DNS, peuvent laisser fuiter d'autres DNS enregistrés sur votre ordinateur, si il est mal configuré,comme ceux de votre FAI.

==>Ainsi, pour vérifier les fuites DNS:

allez sur ce site:

https://www.dnsleaktest.com/results.html

et vérifier les résultats.

==>Il y a les fuites IP, mais cela veut dire que le serveur VPN auquel vous souscrivez n'est pas bien configuré.

Pour vérifier cela:

Visitez www.ipleak.net

et seulement ces sites là.

En effet, il y a un site qui permet de faire de faire ces tests, qui donnent des fausses informations sur les fuites DNS, mais aussi vérifier si on a des fuites IP, si on a des fuites email, etc. et ainsi faire la promotion pour son VPN, bien que ces deux sites semblent indépendants. Ainsi, on donne des informations sans faire attention, ainsi que son adresse mail, et cela s’apparente à de la collecte d'information et de l’ingénierie sociale.

Pour stopper les fuites DNS sous GNU/Linux,( debian et ubuntu)

root@debian: nano /etc/resolv.conf

et décochez vos DNS bavards.

Vous pouvez utiliser des DNS de la FDN, et même les remplacer par les DNS de votre FAI, si cela est permis:

80.67.169.12 (ipv4) et 2001:910:800::12 (ipv6)

Il y en a d'autres, qui sont aussi bien que la FDN, mais pas le temps de regarder.

==>N'utilisez pas les DNS de votre FAI, ils peuvent vous mentir (par exemple, le DNS de mon FAI peut mentir sur le fait n'existe pas, alors qu'il existe réellement, ou pire encore, vous amenez sur un site piégé qui n'est pas l'original, et vous infecter automatiquement sans que cela soit visible, en exploitant une faille de sécurité, surtout si vous êtes en mode administrateur).

Surtout, et depuis la loi de renseignement, je pense que les renseignements généraux utiliseront cette technique pour analyser les flux DNS de nos FAI, bien sûr pour la chasse contre le terrorisme .

En outre, avec la loi sur la programmation militaire, qui ne me dit pas qu'ils vont demander aux FAI de modifier les DNS pour amener l'utilisateur sur un faux site, pour infecter l'ordinateur.

==>N'utilisez pas non plus ceux de google, car même si ce DNS à l'air d'être neutre dans ces résultats, les requêtes que vous effectuez sont ensuite analysé par google. Mais à contrario, google semble être honnête avec ses DNS, et sont moins failible à des piratages de leur DNS.

Cordialement

 

[Denver]

Exact,

j'ajouterai que sous Windows , si vous utilisez un VPN, votre adresse IP peut-être vue via une "faille" avec les fonctionnalités WebRTC.

D'après ce que j'ai lu, ça ne toucherai que Windows, mais il es plus sage de désactiver la "faille" pour tout OS.

Sous Firefox:

dans la barre de recherche, tapez about:config et tapez media.peerconnection.enabled
Changez la valeur de "True" À "False"


La fonctionnalité "Hello" de Firefox utilise les fonctionalités WebRTC.
Pour désactiver Firefox Hello, si vous avez peur de quelque chose:

(voir le site rencontre russe auquel je prend le renseignement ci-dessous)

dans la barre de recherche, tapez about:config et tapez loop.enabled
Changez la valeur de "True" À "False"

Bizarrement, sous iceweasel, j'avais firefox Hello et plus maintenant, et je n'ai pas la ligne loop.enabled.

Pour vérifier que la "faille " soit bien colmatée, vérifier via ce site:

https://diafygi.github.io/webrtc-ips/

Note: Je volais écrire cela dans un tutoriel, mais je vais décrire cela maintenant .


Certains VPN sont mal configurés, et voulez avoir des fuites DNS.
Le DNS est comme un "annuaire téléphonique" qui permet de relier l'adresse IP à domaine.

Certains VPN, qui ont leur propre DNS, peuvent laisser fuiter d'autres DNS enregistrés sur votre ordinateur, si il est mal configuré,comme ceux de votre FAI.

==>Ainsi, pour vérifier les fuites DNS:

allez sur ce site:

https://www.dnsleaktest.com/results.html

et vérifier les résultats femme ukrainienne en france et femme russe cherche homme pour mariage .

==>Il y a les fuites IP, mais cela veut dire que le serveur VPN auquel vous souscrivez n'est pas bien configuré.

Pour vérifier cela:

Visitez ce site rencontre russe

et seulement ce site là.......

Cordialement

Salut Alex, si on admet une configuration par défaut et l'usage d'un VPN gratuit sur routeur je ne crois pas qu'il y a moyen de faire grand chose dessus surtout qu'avec une attaque d'envergure on est incapable de changer la donne. Des VPN payants type HideMyAss ou Nord VPN sont assez sécurisés pour faire face à une telle attaque?

 

[Pantheera]

Sous Firefox:

dans la barre de recherche, tapez about:config et tapez media.peerconnection.enabled
Changez la valeur de "True" À "False"

Merci Alex.
Même si je n'utilise pas encore de VPN, j'ai, malgré tout, désactivé cette commande !

 

[alexandre01]

Bonjour Denver, salut Pantheera,

Salut Alex, si on admet une configuration par défaut et l'usage d'un VPN gratuit sur routeur je ne crois pas qu'il y a moyen de faire grand chose dessus surtout qu'avec une attaque d'envergure on est incapable de changer la donne. Des VPN payants type HideMyAss ou Nord VPN sont assez sécurisés pour faire face à une telle attaque?

Avec une configuration par défaut, on peut changer:

• Changer le nom d'utilisateur et le mot de passe d'accès au routeur.
• Désactiver le WPS, il est conseillé de le désactiver.
• Désactiver le wifi si on ne voit pas l’utilité.
• Désactiver l'uPnP, souvent pas assez sécurisé, et pouvant donner accès l'accès à ton routeur publiquement (accessible via internet). En désactivant l'UpnP, souvent on ne peut pas avoir accès au partage de fichier, comme le DLNA, mais on peut éviter cet eceuil en installant sur son ordinateur un serveur DLNA, comme minidlna sous linux.
• Utiliser WPA\WPA2 de préférence. Sur d'anciens appareils,comme la nintendo 3DS, cette dernière ne reconnait pas le WPA2. Par contre il faut bannir le WEP, et changer les clés par défaut par des clés suffisamment complexes.
• Le filtrage par adresse MAC ne sert strictement à rien.

Ainsi on peut améliorer la sécurité de son routeur via ce qui est indiqué au dessus. Je suis d'accord sur le fait que sur les routeurs des FAI, la sécurité tourne au second plan pour certains FAI.

Avec les failles netgear et les failles de Cisco (qui se doutait encore que Cisco était sous le young de certains commandements de certains états), il faut prendre en compte de la sécurité de son routeur, et ne pas croire qu'un antivirus et un parefeu suffisent.

On peut acheter un routeur et le flasher avec un firmware libre, et mise à jour constamment. Il existe des firmwares libres et mis à jour constamment comme pfSense, ou encore libre\open\Wrt.

Des VPN payants type HideMyAss ou Nord VPN sont assez sécurisés pour faire face à une telle attaque?

==>Tout d'abord, un VPN a deux composantes:

• Un client VPN, qui est en gros l'utilisateur qui paye X euros par mois.
• Le serveur VPN, auquel le client se connecte pour faire transiter les paquets de son ordinateur sur le serveur, se dernier faisant office de relais entre la connexion de l'utilisateur et le site final (ou connexion finale).

Ainsi, il faut savoir que le VPN verra en clair les informations non chiffrées. Il faut donc avoir une sacré confiance au VPN auquel tu souscris.

Pour ma part, les VPN gratuits sont à bannir.

Les VPN payants qui payent des sites pour en faire de la pub contre rémunérations sont à bannir, comme les deux que tu cites.
En effet, entre les promesses d'anonymat" les "no-logs" ", ce que je n'y crois pas trop, et le gain, et, entre la réalité à vendre et la vraie réalité, il y a deux mondes différents.

Par exemple, plus d'une fois HydeMyHass a été critiqué pour la fermeture de compte d'utilisateurs pratiquant le P2P. Or si HydeMyHass est soumis aux droits d'auteurs, il est alors soumis aux autres lois de son pays, comme les requêtes de surveillance commandité par son état d'origine. Le fait de fermer un compte pour utilisation du P2P laisse songeur sur la fiabilité de ce VPN.

On pourra toujours dire que la loi s'applique au serveur du pays où est hébergé le VPN, ce qui est à discuter. HideMyHass a pour racine aux états-unis, ce dernier ne voit pas les choses de cette manière (voir le "conflit" entre l'hébergement des mails en Irlande, où Microsoft est en bataille contre les États-Unis. Le raisonnement est le suivant pour les États-Unis: Microsoft est une société étasunienne, donc tout information provenant des sociétés américaines appartiennent aux États-Unis.
C'est un point de vue qui peut se justifier ou non, c'est à celui qui pourra changer la perception des juges qui aura gain de cause, bien que cette affaire, où Microsoft fait office de victime, n'est pas clair non plus. En effet, Microsoft collabore très bien, ou du moins dans un passé récent avec certaines institutions pour donner un accès à Skype, outlook, etc.

Pire encore, il peut aussi exister des VPN payants qui peuvent être des pots de miels. On propose un VPN pas cher au mois, et les informations qui transitent par le VPN sont loggées et analysées. Il existe un VPN que je soupçonne de faire cela, dont je ne dirai pas le nom, et qui fait de sponsoring. La façon comment est agencé le site, comment est construit le site, comment le site présente l'information, la façon de tromper les utilisateurs me semble vraiment suspect.

Enfin, il faut se renseigner si certains VPN sont faillibles avec des attaques telles que le DNS Hijacking par exemple. Un serveur VPN se pirate aussi.

Après, il existe des VPN qui sont honnêtes, mais il y en a peu qui le sont vraiment. Après ce n'est pas une certitude, il faut savoir comment les serveurs fonctionnent en interne. Il faut se renseigner, et surtout de ne pas croire les commentaires utilisateurs qui peuvent se tromper ou se faire avoir par des faux ou vrais commentaires.


En conclusion par rapport à ta question, tu peux toujours acheter un routeur et mettre un firmware libre, comme PfSense, ou tomato pour que ton routeur fasse aussi de client VPN.
Il faut mettre au minimum un nom d'utilisateur et un mot de passe solide.
Internet est une zone de requin, il faut toujours faire attention aux infos qui circulent, et à ce que l'on fait, et ne pas croire à ce que disent les autres, il faut toujours vérifier les choses par soi-même.

Merci Alex.
Même si je n'utilise pas encore de VPN, j'ai, malgré tout, désactivé cette commande !

Il existe aussi d'autres techniques qui peuvent prendre des informations concernant ce que tu fais avec ton navigateur. Par exemple, on peut parler du stockage DOM, de la géolocalisation, des trackers, les referrers, l'agent utilisateur, télémétrie, et d'autres techniques plus avancées, rendant le concept de "cookies tiers " démodé, pour encore mieux tracer l'utilisateur.

Encore si ce n'était que du traçage publicitaire, ce serait encore convenable, mais certaines agences publicitaires ne sont pas si honnêtes que cela, d'où avoir au minimum:

• Un navigateur libre, qui respecte l'utilisateur, comme Firefox.
• Un bloqueur de script, pour éviter certains scripts malicieux, comme Noscript
• Un bloqueur de publicité, comme ublock origin (et non pas adblockplus, qui ne filtre plus rien).
• Un bloqueur de tracking, comme Ghostery, et encore,encore, je n'ai pas confiance à cet utilitaire.
• Un utilitaire, comme HTTPS, pour forcer les connexions HTTPS
• Privacy settings sous firefox.

C'est vraiment un minimum, bien entendu, les logiciels adobe, tel que adobe flash player et adobe PDF reader sont à bannir, ainsi que Java a bannir comme extensions de navigateurs.

COrdialement