Des milliers de LiveBox Orange piratées par un détournement de DNS

22/07/2014 à 12h06 Mis à jour le 22/07/2014 à 17h06

Un mystérieux pirate a tenté de siphonner les données de milliers de clients de l'opérateur historique en pénétrant l'interface d'administration des Livebox.

Que s'est-il vraiment passé fin mai, dans plusieurs milliers de LiveBox Orange ? Subitement, de nombreux internautes se sont retrouvés dans l'impossibilité de se connecter à l'administration de leur box (par l’adresse 192.168.1.1). Le mot de passe permettant d’accéder à leur interface de paramétrage, par laquelle on gère la connexion, le Wi-Fi, ou encore de la télévision avait été changé par un inconnu. Plus grave, l'intrus avait modifié les adresses DNS de la LiveBox et dirigé les connexions des internautes vers un serveur malveillant. Sa mission ? Intercepter les données sensibles des personnes piégées. Une attaque dite Man-in-the-middle (L'homme du milieu). « Tous les flux vers des sites marchands, les banques ont été redirigés vers le fraudeur » s’exclame un responsable d'un service de sécurité informatique bancaire contacté par 01net.

Seule alerte que les clients ont éventuellement pu apercevoir : l'apparition d'un problème de certificat lors de leurs achats en ligne. Autant dire que l'attaque, sournoise, a peut-être fait de gros dégâts, le pirate ayant eu la possibilité de capturer les coordonnées bancaires, les identifiants de connexion, voire leurs coordonnées e-CB sans que les victimes ne puissent s’en rendre compte.

Comment ce cybercriminel a-t-il fait pour se prendre ainsi aux box de milliers d’internautes ? Il semble avoir réussi son tour de passe-passe par le biais d’un site piégé. L'idée était de faire exécuter un script malveillant spécifiquement aux clients Orange grâce à un lien attirant, formulé à leur égard. Celui-ci lançait alors un script automatisé qui se connectait à l’interface d'administration de la LiveBox.

Mise à jour salvatrice pour les Livebox

Le cybercriminel a aussi profité du fait que les clients impactés n'avaient pas changé leurs identifiants de connexion «Usine» de leur LiveBox, le fameux admin/admin. Une attaque facile ? Des codes trainent sur le web permettant, en quelques lignes, de se connecter automatiquement à une LiveBox, de modifier le DNS et de changer le mot de passe. Autant dire un jeu d'enfant pour un pirate.

Orange semble avoir en tout cas pris cette attaque au sérieux : depuis, l’opérateur a mis à jour ses LiveBox qui, dorénavant, n'autorisent plus les changements de DNS. « Je travaille dans une banque et j'en ai ras le bol de traiter des incidents de ce type » souligne le RSSI joint par 01net. On se fait taper dessus par nos clients en leur renouvelant leur CB par mesures préventives. Il serait bien que chacun prenne ses responsabilités… » Il est vrai qu’Orange est loin d’être le seul à avoir subi ce genre d’attaques, qui sont fréquentes chez tous les FAI. Alors, pour vous éviter toute mésaventures, suivez notre petit guide, ci-dessous.

Comment vous prémunir de ce genre d’attaques ?

Pour éviter ce type de piège automatisé, quelques règles d'hygiène numérique simples sont à tenir. D'abord, changer les mots de passe usine de votre LiveBox (mais aussi de votre téléphone, tablette...) Pour Orange, SFR il suffit de taper 192.168.1.1 dans un navigateur.Pour Numéricâble, 192.168.0.1. Pour Freebox V5 https://subscribe.free.fr/login/ et V6 http://mafreebox.freebox.fr/. Il vous suffit de tester le couple admin/admin pour s'identifier. Si vous accédez à l'administration de la box, direction «Changer de mot de passe».

Dernier détail, ne cliquez jamais sur le moindre lien vous proposant de vous rendre dans votre administration de box. Préférez toujours taper l'adresse dans votre navigateur. Cela pourra vous éviter le passage d'un pirate !

Damien Bancal

Votre opinion

5 opinions

dodutils 24/07/2014 à 10h50

Je me suis douté d'un problème car cela fait qlq semaines que j'aide des clients Orange victimes d'un même piratage.

Elles ont toutes subi un vol de leur carnet d'adresses (suivi de sa suppression complète dans l'interface mail d'Orange) et ce carnet d'adresse a ensuite été utilisé pour envoyer un mail frauduleux en se faisant passer pour la victime indiquant qu'elle avait un problème, qu'elle était à l'étranger et avait besoin d'aide (et donc d'argent) blablabla.
pococha13 22/07/2014 à 20h27

En fait, il ne s'agit pas d'une prise de contrôle à distance.
Les utilisateurs touchés ont tous cliqué sur un lien qui a exécuté un script (une série de commandes) sur l'ordinateur de la victime. Ainsi, l'attaque ne se fait pas par l'extérieur, mais bien par le pc de la victime.

Le script devait contenir en gros:

-> Se connecter à 192.168.1.1
-> Entrer comme login : admin et comme mdp : admin
-> Aller dans les paramètres DNS
-> Modifier la DNS par défaut

Et le tour est joué
Même si la personne entre ma-banque.fr , il sera redirigé vers le site du pirate.
cd78xxx 22/07/2014 à 19h58

Sur une livebox 2, l'acces depuis Internet est interdit par defaut. Je vois mal quelqu'un autoriser cet accès et ne pas changer le mot de passe avant.
Donc ce problème ne doit pas concerner beaucoup de monde.
bidondon 22/07/2014 à 16h58

les accès étaient ouvert depuis l'extérieur par défaut ??? ça parait étrange à moins que l'utilisateur ait activé l'accès à distance c'est étonnant

après pour pirater un paiement via détournement dns, il faut que l'utilisateur accepte un certificat https non valide

à ce niveau, si l'utilisateur fait ces 2 manipulations, il ne peut s'en prendre qu'à lui même
psn00ps 22/07/2014 à 16h45

D'où vient cette information ? Je n'en ai jamais entendu parler.