La Fibre
Fournisseurs d'accès à Internet fixe en France métropolitaine => Orange / Sosh => 
Actus Orange => Discussion démarrée par: Optrolight le 22 juillet 2014 à 18:49:59
-
Des milliers de LiveBox Orange piratées par un détournement de DNS
Un mystérieux pirate a tenté de siphonner les données de milliers de clients de l'opérateur historique en pénétrant l'interface d'administration des Livebox.
Que s'est-il vraiment passé fin mai, dans plusieurs milliers de LiveBox Orange ? Subitement, de nombreux internautes se sont retrouvés dans l'impossibilité de se connecter à l'administration de leur box (par l’adresse 192.168.1.1). Le mot de passe permettant d’accéder à leur interface de paramétrage, par laquelle on gère la connexion, le Wi-Fi, ou encore de la télévision avait été changé par un inconnu. Plus grave, l'intrus avait modifié les adresses DNS de la LiveBox et dirigé les connexions des internautes vers un serveur malveillant. Sa mission ? Intercepter les données sensibles des personnes piégées. Une attaque dite Man-in-the-middle (L'homme du milieu). « Tous les flux vers des sites marchands, les banques ont été redirigés vers le fraudeur » s’exclame un responsable d'un service de sécurité informatique bancaire contacté par 01net.
Seule alerte que les clients ont éventuellement pu apercevoir : l'apparition d'un problème de certificat lors de leurs achats en ligne. Autant dire que l'attaque, sournoise, a peut-être fait de gros dégâts, le pirate ayant eu la possibilité de capturer les coordonnées bancaires, les identifiants de connexion, voire leurs coordonnées e-CB sans que les victimes ne puissent s’en rendre compte.
Comment ce cybercriminel a-t-il fait pour se prendre ainsi aux box de milliers d’internautes ? Il semble avoir réussi son tour de passe-passe par le biais d’un site piégé. L'idée était de faire exécuter un script malveillant spécifiquement aux clients Orange grâce à un lien attirant, formulé à leur égard. Celui-ci lançait alors un script automatisé qui se connectait à l’interface d'administration de la LiveBox.
Mise à jour salvatrice pour les Livebox
Le cybercriminel a aussi profité du fait que les clients impactés n'avaient pas changé leurs identifiants de connexion «Usine» de leur LiveBox, le fameux admin/admin. Une attaque facile ? Des codes trainent sur le web permettant, en quelques lignes, de se connecter automatiquement à une LiveBox, de modifier le DNS et de changer le mot de passe. Autant dire un jeu d'enfant pour un pirate.
Orange semble avoir en tout cas pris cette attaque au sérieux : depuis, l’opérateur a mis à jour ses LiveBox qui, dorénavant, n'autorisent plus les changements de DNS. « Je travaille dans une banque et j'en ai ras le bol de traiter des incidents de ce type » souligne le RSSI joint par 01net. On se fait taper dessus par nos clients en leur renouvelant leur CB par mesures préventives. Il serait bien que chacun prenne ses responsabilités… » Il est vrai qu’Orange est loin d’être le seul à avoir subi ce genre d’attaques, qui sont fréquentes chez tous les FAI. Alors, pour vous éviter toute mésaventures, suivez notre petit guide, ci-dessous.
Précision de ORANGE
Un porte-parole d'Orange a tenu à donner des précisions à cet article. « Il n'y a pas eu de siphonnage de données bancaires des clients Orange. Mais une tentative de récupération des codes d'accès des box des internautes, par le biais d'un virus sur un site de jeu en ligne. Seuls les clients qui se sont connectés à ce site ont pu être éventuellement victimes. L'accès au site a été bloqué depuis. »
L'article et le chapô ont été modifiés en conséquence.
Source: 01Net.com (http://www.01net.com/editorial/624138/des-milliers-de-livebox-orange-piratees-par-un-detournement-de-dns/) le 22/07/2014 Damien Bancal
-
Le system de free est quand mieux question accès interface de configuration.
Par contre la correction d'orange laisse à désirer. Plus possible de changer le DNS.
-
Comment ce cybercriminel a-t-il fait pour se prendre ainsi aux box de milliers d’internautes ? Il semble avoir réussi son tour de passe-passe par le biais d’un site piégé. L'idée était de faire exécuter un script malveillant spécifiquement aux clients Orange grâce à un lien attirant, formulé à leur égard. Celui-ci lançait alors un script automatisé qui se connectait à l’interface d'administration de la LiveBox.
Changement de l antivirus orange qui passe de fsecure pour kaspersky ! peut etre pour évite de télécharger ce type de scripte ?
-
Le system de free est quand mieux question accès interface de configuration.
Là, d'après la description qui en est faite, la vulnérabilité vient d'une faille CSRF, mais bien sûr si le mot de passe par défaut n'était pas de type admin/admin ça aurait été plus compliqué.
Par contre la correction d'orange laisse à désirer. Plus possible de changer le DNS.
Oui c'est assez stupide.
Changement de l antivirus orange qui passe de fsecure pour kaspersky ! peut etre pour évite de télécharger ce type de scripte ?
Non.
-
Là, d'après la description qui en est faite, la vulnérabilité vient d'une faille CSRF, mais bien sûr si le mot de passe par défaut n'était pas de type admin/admin ça aurait été plus compliqué.
Oui sauf que chez free tu n'as pas de mot de pass la première fois que tu vas sur la page de conf. Il faut le creer. Donc pour toutes les personnes type admin/admin qui ne vont jamais il n'aurait pu aller sur l'interface car aucun accès possible.
Ou alors son script aurait du être plus malin.
-
Oui sauf que chez free tu n'as pas de mot de pass la première fois que tu vas sur la page de conf. Il faut le creer. Donc pour toutes les personnes type admin/admin qui ne vont jamais il n'aurait pu aller sur l'interface car aucun accès possible.
Oui aussi, reste que ça dépend d'abord d'une CSRF basique qui aurait pu être évitée par n'importe quelle personne disposant de quelques bases en matière de sécurité web.
-
Donc en gros si on change le pass par défaut de la box, on est tranquille.
Ça devrait être obligatoire, pass par défaut impossible de rentrer ses code de connexion internet.
Plutôt que de nous bloquer les DNS >:(
-
solution en carton....
on peut détourner une fonctionnalité de la box à cause d'une faille de la sécurité, on désactive la-dite fonctionnalité!
dire que je bosse en stage pour eux maintenant :p
-
Justement tu vas relever le niveau. ;D
-
solution en carton....
on peut détourner une fonctionnalité de la box à cause d'une faille de la sécurité, on désactive la-dite fonctionnalité!
dire que je bosse en stage pour eux maintenant :p
mais tu n'immagines pas le nombre de réunions/concertations/groupe de travails qu'il a du avoir pour aboutir à cette solution.
en plus pour tes indicateurs de qualité, c'est excellent : problème > action > plus de problème.
-
Quand tu bosses chez Orange, tu es confronté à cela tous les jours, surtout dans le SI.
(http://image.noelshack.com/fichiers/2014/30/1406104623-administration.jpg)
Vous est vite comme Astérix dans « Les 12 travaux d’Astérix et Obélix » face au labyrinthe sans fin de l’administration…
(http://www.marketing-chine.com/wp-content/uploads/2013/01/asterix-administration.jpeg)
-
je dis pas le contraire mais c'est quand même de la rustine à 2
balles sesterces ! (autant continuer chez les gaulois ;) )
@Optrolight
Je suis sur du support de plateforme mail en sous traitance!
je risque pas de faire changer grand chose^^
surtout au début! parce que la je suis encore un peu pommé .... (c'est mon deuxième jour :p )
-
On peut espérer que ce soit une solution temporaire en attendant une meilleure...
-
Quand tu bosses chez Orange, tu es confronté à cela tous les jours, surtout dans le SI.
il n'y a pas que là, je connais des gens qui bossent pour le réseau de france télé et de radio France qui se tapent la tète contre les murs.
du style impossible de livrer les flux de france 1 (rfo) à l'INA pour le dépot légal, car le firewall s'écroule devant des streams multicast et la direction interdit le bypass du firewall.
la furniture de ces flux étant une obligation de la part des chaines publiques
-
Si je te dis que je ne suis pas surpris ;D
-
C'est moi ou Orange niveau sécurité laisse vraiment a désirer ? Toutes ces failles en peut de temps oO !
Surtout qu'étant étudiant en développement ce sont des failles "simples" de "débutant" on va dire.
-
C'est moi ou Orange niveau sécurité laisse vraiment a désirer ?
« Orange » est trop vague et disparate technologiquement pour être jugé unilatéralement sur ce plan-là.
Toutes ces failles en peut de temps oO !
Qu'est-ce qui te dit que ce n'est pas équivalent, voire pire, chez les autres FAI, mais qu'Orange a au moins la bienveillance de notifier ses clients à chaque intrusion considérable constatée de leur part ? Ou au moins, de monitorer suffisamment son réseau pour les constater, ces intrusions ?
Il ne faut pas croire qu'une 0-day est forcèment exposée au grand jour et à la une des journaux dès qu'elle est découverte... Non, le plus souvent, vraiment, c'est tout le contraire.
Parce que sinon, de source sûre, des failles dans l'infrastructure ou dans les box des FAI, tous gros FAI confondus, il y en beaucoup plus que « ça », mais même quand elles sont reportées et corrigées, ceux qui communiquent dessus sont très rares.
Pour moi, il est plus probable qu'Orange ne soit pas plus affecté que les autres, juste vaguement plus honnête.
Surtout qu'étant étudiant en développement ce sont des failles "simples" de "débutant" on va dire.
Tu parles au pluriel ? Tu prends en compte les précédentes intrusions qui ont abouti à des fuites de données clients ? Qu'est-ce qui te dit que ce n'était pas relativement plus complexe par exemple ?
Et il ne faut pas s'imaginer que chaque gros p0wnage résulte d'un assemblage extrêmement complexe de failles rarissimes. Non, ce sont souvent des détails tous cons (mais souvent perdus au milieu d'un océan de complexité).
-
sur les box orange pro (V2), désormais le mot de passe correspond au 8 premier caractere de la clé WiFi marqué sur l'etiquette. c'est pratique quand tu as un parc à gérer et des box qui se reset toute seule... :-X
sur les pro v3, on a plusieurs fois rencontré un bug qui empeche de changer le couple admin / admin
-
« Orange » est trop vague et disparate technologiquement pour être jugé unilatéralement sur ce plan-là.
Qu'est-ce qui te dit que ce n'est pas équivalent, voire pire, chez les autres FAI, mais qu'Orange a au moins la bienveillance de notifier ses clients à chaque intrusion considérable constatée de leur part ? Ou au moins, de monitorer suffisamment son réseau pour les constater, ces intrusions ?
Il ne faut pas croire qu'une 0-day est forcèment exposée au grand jour et à la une des journaux dès qu'elle est découverte... Non, le plus souvent, vraiment, c'est tout le contraire.
Parce que sinon, de source sûre, des failles dans l'infrastructure ou dans les box des FAI, tous gros FAI confondus, il y en beaucoup plus que « ça », mais même quand elles sont reportées et corrigées, ceux qui communiquent dessus sont très rares.
Pour moi, il est plus probable qu'Orange ne soit pas plus affecté que les autres, juste vaguement plus honnête.
Tu parles au pluriel ? Tu prends en compte les précédentes intrusions qui ont abouti à des fuites de données clients ? Qu'est-ce qui te dit que ce n'était pas relativement plus complexe par exemple ?
Et il ne faut pas s'imaginer que chaque gros p0wnage résulte d'un assemblage extrêmement complexe de failles rarissimes. Non, ce sont souvent des détails tous cons (mais souvent perdus au milieu d'un océan de complexité).
Heu si il y a eu vol de donné personnels les FAI ont obligations de le rendre publique c.f cnil
-
Heu si il y a eu vol de donné personnels les FAI ont obligations de le rendre publique c.f cnil
Oui je sais. En l’occurrence,
- Le message auquel je répondais parlait simplement de « failles » ;
- J'ai précisé : « Ou au moins, de monitorer suffisamment son réseau pour les constater, ces intrusions » ;
- Il y a très souvent un fossé entre la réaction réelle d'une entreprise face à une vulnérabilité, et le mieux qu'on pourrait attendre d'elle.