Cette fois, il s’agit d’un exploit « dans la nature » visant 43 modèles de routeurs Wifi, et tendant de modifier leurs adresses DNS… avec les conséquences que l’on peut imaginer : redirection vers des sites compromis, interception de communication, vol d’identifiants etc. « Ce qui a commencé par un petit malware au code aisément lisible est en train d’évoluer, comportant notamment certaines parties camouflées » explique en substance le chercheur Kafeine sur son blog.
Cet outil de détournement massif visant les routeurs grand-public par le port Wan ne cible que les usagers du navigateur Chrome. Une série de redirections sur des sites compromis permet, via une attaque CSRF, de déterminer le type de routeur utilisé, et d’en exploiter certaines failles (CVE-2015-1187, CVE-2008-1244, CVE-2013-2645). Cette situation perdurerait depuis plus d’un mois et aurait potentiellement mis à mal plus d’un million de routeurs. Mais le Guardian n’y a pas consacré sa première page, l’Exploit-kit a encore de beaux jours devant lui.
