Billet alarmiste, mais billet intéressant que celui de Micha Pekrul sur le blog de l’Avert. Il nous parle d’un vieux classique, DNSChanger, le vecteur d’attaques qui intercepte les requêtes DHCP au vol et redirige les requêtes dns au bon gré de ses « maîtres ». Si l’une des premières exploitations évidente de DNSChanger est son utilisation dans le cadre d’attaques en phishing –un moyen très élégant pour spoofer une URL. Mais, renchérit Pekrul, il y a un autre danger, bien plus pernicieux, bien plus immédiat, bien plus discret : le détournement des adresses de « mise à jour ». Un Microsoft Update qui boucle sur localhost, c’est déjà pas drôle, mais une mise à jour de base d’antivirus qui pointe sur www . blackhatpwner . org, c’est considérablement plus inquiétant. Surtout par les temps qui courent. Les petites séquences d’animation qui illustrent le papier de l’Avert sont édifiantes, même pour des non-techniciens.
Les plus vieux responsables sécurité ou les plus observateurs se souviennent encore d’une idée qu’avait émis Thierry Zoller, il y a quelques années, à propos des possibilités de détournement des « mises à jour » du spyware commercial Zango (ou de tout autre programme n’effectuant pas de contrôle d’intégrité des fichiers reçus). Il y a là, avec DNSChanger, de la graine de machines à botnet. Il y a surtout un énorme risque de blocage de dialogue des outils de sécurité, donc de « protection » des machines zombies contre les méfaits… d’un correctif salvateur. Intéressant retournement de tendance.
