Le dernier blog

hacking DNS – ça peut vous arriver aussi

(je raconte tout ça ici pour que d’autres personnes touchées tombent sur cet article et comprennent leur problème. Pour tous les autres, ça sera extrêmement ennuyeux à lire. Mais ça peut leur arriver aussi !)

L’été dernier, ma mère s’est offert une tablette. Mais après quelques mois d’usage, son enthousiasme est retombé : la navigation était devenue déplaisante, car si Facebook fonctionnait, il était devenu impossible de se rendre sur des sites web, car des pages s’ouvraient automatiquement par salves, affichant des publicités pour des sites douteux :iPhones à un euro, pornographie et, bien sûr, des fausses alertes Google ou Microsoft qui avertissent l’utilisateur que son ordinateur n’est plus en sécurité et qu’il ne lui reste que quelques minutes pour installer un logiciel bizarre pour y remédier. Une annonce de virus auto-réalisatrice !

Le cirque de Gavarnie, dans les Hautes Pyrénées. Je sais, ça n’a aucun rapport, mais c’est là que je me trouvais hier, et c’est quand même plus joli à regarder que du matériel informatique.

Habitant à huit cent kilomètres de là, j’ai essayé de donner deux ou trois conseils, sans grand résultat. Un réparateur local a lui aussi tenté d’arranger le problème, en installant notamment un antivirus, mais les symptômes n’ont pas disparu, et la tablette n’a plus servi qu’à des parties de Sudoku, sans connexion à Internet.

Enfin sur place ces jours dernier, j’ai tenté de corriger les problèmes de la tablette, en vérifiant si des applications ou des extensions malveillantes avaient été installées, mais je n’ai rien trouvé d’évident.
J’ai réinstallé l’ensemble du système, et j’y ai remis quelques applications supplémentaires a priori sûres : Facebook, Chrome, Skype. Et là, première bizarrerie, en me rendant sur Google, j’ai eu droit à un message m’indiquant que la connexion n’était « pas sécurisée ». Avec un site tel Google, j’ai trouvé ça étonnant, mais j’ai passé outre, imaginant une cause bénigne quelconque. Quelques minutes plus tard, la tablette recommençait à ouvrir des sites publicitaires intempestifs. J’aurais dû prendre en compte ce qu’on me disait, mais hé, tout semblait si normal…

La grande cascade de Gavarnie, plus haute chute d’eau de France Métropolitaine, avec un dénivelé de 423 mètres et un débit qui peut atteindre les 200 mètres cubes à la seconde en période de crue. C’est la source du Gave de Pau, qui court entre Lourdes, Pau et Orthez notamment, avant de se jeter dans l’Adour.

Plus surprenant encore : ma propre tablette s’est mise à faire exactement la même chose, c’est à dire à ouvrir les mêmes sites, notamment un dénommé tradeadexchange.com et un autre appelé xttaff.com (n’y allez pas). En cherchant ces nom, on trouve sur Internet de nombreux services suspects qui qualifient ces sites de virus et proposent gracieusement des logiciels pour les enlever. Ces « services » sont à mon avis la suite de l’escroquerie, et je parie qu’ils servent surtout à installer de bonne foi un logiciel qui interrompra sans doute les ouvertures intempestives de pages indésirables, mais permettra à des pirates de prendre le contrôle ou de surveiller l’ordinateur de l’utilisateur, par exemple pour en transmettre le numéro de carte bancaire, ou pour en faire une machine zombie dédiée à l’envoi d’e-mails de spam. Mon père, qui utilise un Macintosh, n’a pas souffert des mêmes symptômes, mais en utilisant mon PC Windows, là encore, j’ai vu apparaître des messages parasites, dont notamment un message vocal incompréhensible qui m’enjoignait à cliquer sur un bouton inexistant (que aurait sans doute dû se trouver sur un pop-up bloqué par mon navigateur) pour le faire taire.
C’est clairement la connexion à Internet qui avait un problème.
Sur Twitter, Pierre Beyssac m’a fait une excellente suggestion :

Pour ceux qui l’ignorent, le DNS (Domain Name Server) est le serveur qui se charge de transformer un nom de domaine (par exemple Google.com) en une adresse « IP », qui est le véritable format des adresses des machines connectées au réseau, qu’il s’agisse d’un serveur ou du dispositif que vous êtes en train d’utiliser pour lire ces lignes. Par exemple : 77.153.128.87. C’est une sorte d’annuaire, si on veut, et un élément vital du fonctionnement de l’Internet actuel.
Aujourd’hui, avec les « box », le DNS est attribué par le fournisseur d’accès à l’insu de la personne connectée, mais avec les modems « à l’ancienne », c’est un paramètre que l’on peut (et parfois qu’il faut) saisir manuellement pour configurer sa connexion.
Enfin bref, j’ai fait ce que Pierre m’a proposé, j’ai vérifié quel DNS j’utilisais, grâce à la commande ipconfig¹.
Voici les serveurs DNS que j’utilisais :

 Serveurs DNS. . . . . . . . . . . . . : 31.3.244.140
                                         31.3.244.139

Rien ne ressemble plus à une adresse IP qu’une autre adresse IP, alors j’ai interrogé la base de données RIPE pour en savoir plus sur cette adresse.

No abuse contact found.
        
inetnum:         31.3.244.128 - 31.3.244.143
netname:         RSDEDI-KOKIIKBK
descr:           Dedicated Server Hosting
country:         GB
admin-c:         DUMY-RIPE
tech-c:          DUMY-RIPE
status:          ASSIGNED PA
remarks:         ABUSE REPORTS: abuse@redstation.com
mnt-by:          REDSTATION-MNT
mnt-domains:     REDSTATION-MNT
mnt-routes:      REDSTATION-MNT (...)

Ici, je comprends que le serveur DNS grâce auquel mes parents se connectent est inexplicablement situé dans un data center géré par une société d’hébergement web britannique nommée Redstation. Puisque le fournisseur d’accès de la ligne de mes parents est SFR, leurs adresses DNS devraient être 109.0.66.10 et 109.0.66.20.
Sur un forum de Google, j’apprends que d’autres personnes souffrent des mêmes symptômes, et utilisent eux aussi les serveurs DNS fautifs.
Il s’agit d’une attaque par « man in the middle », où le serveur détourne les requêtes afin d’y répondre en ajoutant ce qu’il veut, à savoir, ici, un petit bout de code qui ouvre des pages impromptues. Restait à savoir comment on pirate un modem pour en modifier les adresses de serveurs DNS.

Je me souvenais que mes parents avaient acheté leur modem il y a moins d’un an, car l’ancien ne fonctionnait plus. Ils habitent au milieu de champs de maïs, à une demi-heure de la première boutique informatique, alors ils ne se sont pas montrés très difficiles et ils ont acheté — avec moi pour les conseiller — le premier modem qu’ils ont trouvé, un TP-LINK ADSL2 modèle TD-8817, version 3.2, qui était vendu pour une trentaine d’euros. La boutique semble avoir tout un stock de cet unique modèle, sorti il y a déjà sept ans et dont le constructeur n’assure plus le support.
Le modem refusait mes demandes directes de connexion, alors pour le reconfigurer j’ai dû effectuer un « factory reset » qui le ramène à l’état qu’il avait au sortir de l’usine. J’ai ensuite passé un petit temps à chercher les paramètres de connexion à saisir, pas vraiment aidé par une employée de support en ligne qui, de l’autre côté de la Méditerranée, n’a jamais réussi à me croire lorsque je lui disais que l’appareil que j’utilisais n’était pas une boite blanche avec un carré rouge, et me jurait que mes identifiants et mots de passe étaient imprimés sous le modem.
Enfin ça a marché, j’ai pu retrouver la connexion. Cette fois, les serveurs DNS étaient bien ceux de SFR, tout allait bien.

Et puis une demi-heure plus tard, une page bizarre s’est ouverte sur mon ordinateur portable, et puis sur ma tablette : le problème était revenu !
En faisant à nouveau un « ipconfig », j’ai découvert que le serveur DNS était à présent 89.38.150.18, sur lequel je me suis aussitôt renseigné :

inetnum:         89.38.150.0 - 89.38.150.255
netname:         ARUBACLOUD-FR
descr:           Aruba Cloud
country:         FR
admin-c:         DUMY-RIPE
tech-c:          DUMY-RIPE
status:          ASSIGNED PA
mnt-by:          ARUBA-MNT
created:         2015-10-02T10:11:37Z
last-modified:   2015-10-02T10:11:37Z
source:          RIPE-GRS
geoloc:          48.86832824998001 2.362060546875
language:        FR (...)

Cette adresse est géolocalisée à deux pas de la place de la République, et appartient à la société Aruba, un hébergeur web français.
Quelques dizaines de minutes plus tard, le paramètre DNS était à nouveau changé et redevenait la paire britannique 31.3.244.140 et 31.3.244.139.
À croire que des bots étaient en train de se battre pour prendre le contrôle du modem et en modifier les DNS à leur guise. Et je pense que c’est exactement ce qui se passait. Quelques recherches sur Internet m’ont prouvé que le modèle de modem en question a une faille notoire, il est très facile, à distance et à l’aveugle, de s’y connecter et d’en modifier les paramètres. J’ai même trouvé en vidéo un tutoriel de cracker expliquant la marche à suivre pour pirater l’engin. En continuant mes recherches, j’ai appris que de nombreux autres modèles de modems (Netgear, Trendnet, Zyxel, Dlink,…) souffraient du même genre de failles, voire de la même faille, car ces sociétés différentes embarquent souvent le même logiciel d’administration. Peu d’entre ces marques se donnent la peine de produire des « patchs » correctifs, et aucune ne le fait pour les modèles un peu anciens.

Crépuscule sur les champs de maïs.

Le souci a finalement été réglé par l’installation de la « box » (un modem-routeur aussi, mais sur lequel seul le fournisseur d’accès à Internet a réellement la main) fournie par l’opérateur qui, cette fois, pose des problèmes de téléphonie.
Avec le hacking de mon serveur, il y a quelques mois, ce nouvel épisode me rappelle que les précautions élémentaires d’hier ne suffisent plus, et qu’on rencontre décidément beaucoup de malveillance sur Internet, et de malveillance grossière et destructrice.

1. Sous Windows, il faut ouvrir l’invite de commandes (un utilitaire système) et saisir la commande ipconfig /all. Sous Linux, et sans doute avec le terminal de MacOS X, la commande est ifconfig -a. [↩]