Un cheval de Troie nommé DNSChanger fait des ravages sur la toile depuis de nombreuses années déjà et personne ne semble épargné, pas même les plus hautes autorités internationales.
Le FBI a décidé de passer à l’étape supérieure et affirme avoir pris le contrôle des serveurs utilisés par le code malveillant et envisage de les fermer d’ici au 8 mars prochain.
Les conséquences d’une telle fermeture seraient importantes puisque ce sont des millions d’utilisateurs qui, à leur insu, utilisent ces serveurs afin de se connecter à l’internet.
Pour rappel, DNSChanger est un Cheval de Troie qui modifie la façon dont l’utilisateur cible se connecte à internet en modifiant le fichier Host afin de rediriger le routeur de l’utilisateur sur des serveurs DNS chargés ensuite d’espionner ces derniers, mais aussi les rediriger vers du contenu illégal.
Des solutions existent sur la toile afin de savoir si vous êtes concernés par ce blackout potentiel, le site DNS-OK vous permettra en vous connectant de savoir si votre fichier Host a été modifié ou non.
Par ailleurs, le CERT vous fait également part de ses recommandations :
Surveiller et/ou filtrer le trafic DNS à destination des serveurs malveillants. La grande majorité de ces serveurs se situe actuellement sur le réseau 85.255.112.0/20. Une sécurité optimale peut être obtenue en interdisant complètement les requêtes DNS vers des serveurs externes, sauf éventuellement dans des cas exceptionnels (comme les postes nomades).
Vérifier périodiquement la configuration DNS des systèmes de l’entreprise. Cette tâche peut facilement être automatisée par le système de déploiement des mises à jour (comme le système de gestion de mises à jour SMS de Microsoft) et l’utilisation de scripts.
Utiliser de préférence un compte aux droits limités afin d’empêcher l’installation de tout nouveau pilote réseau.
Rechercher dans les journaux des antivirus des noms comme DNSCHAN, DNSChanger, Puper, RSPLUG, Trojan.Flush.*.
Utiliser des systèmes de distribution de configuration réseau plus sécurisés que DHCP, par exemple des systèmes impliquant une authentification préalable.Enfin, n’exécuter des applications que lorsqu’elles proviennent de sources sûres (il s’agit d’une recommandation habituelle). Pour rappel, toutes les variantes de DNSChanger sont des chevaux de Troie, autrement dit, le code malveillant ne peut être installé qu’à la suite d’une action de l’utilisateur.
Selon le FBI, ce serait près de 4 millions d’utilisateurs qui seraient concernés et même si les chiffres pour la France ne sont pas connus, de simples mesures préventives sont les bienvenues.
Jeu de briques
Snake
Pacman
Bubble