C:\Users\GuiTeK>ping particuliers.secure.lcl.fr

Envoi d'une requête 'ping' sur particuliers.secure.lcl.fr [62.210.142.229] avec
32 octets de données :
Réponse de 62.210.142.229 : octets=32 temps=34 ms TTL=116
Réponse de 62.210.142.229 : octets=32 temps=34 ms TTL=116
Réponse de 62.210.142.229 : octets=32 temps=34 ms TTL=116
Réponse de 62.210.142.229 : octets=32 temps=34 ms TTL=116

root@xxxxxxxxx:~# ping -c 1  particuliers.secure.lcl.fr
PING particuliers.secure.lcl.fr (158.191.169.222) 56(84) bytes of data.

C:\Users\GuiTeK>ping particuliers.secure.lcl.fr

Envoi d'une requête 'ping' sur particuliers.secure.lcl.fr [158.191.169.222] avec
 32 octets de données :

-----BEGIN CERTIFICATE-----
MIICbDCCAdWgAwIBAgIEow++EzANBgkqhkiG9w0BAQUFADCBijEUMBIGA1UEBhML
UG9ydFN3aWdnZXIxFDASBgNVBAgTC1BvcnRTd2lnZ2VyMRQwEgYDVQQHEwtQb3J0
U3dpZ2dlcjEUMBIGA1UEChMLUG9ydFN3aWdnZXIxFzAVBgNVBAsTDlBvcnRTd2ln
Z2VyIENBMRcwFQYDVQQDEw5Qb3J0U3dpZ2dlciBDQTAeFw0xNDA2MTYwNTQ1MTRa
Fw0zNDA1MzEwMTUyMDBaMGoxFDASBgNVBAYTC1BvcnRTd2lnZ2VyMRQwEgYDVQQK
EwtQb3J0U3dpZ2dlcjEXMBUGA1UECxMOUG9ydFN3aWdnZXIgQ0ExIzAhBgNVBAMT
GnBhcnRpY3VsaWVycy5zZWN1cmUubGNsLmZyMIGfMA0GCSqGSIb3DQEBAQUAA4GN
ADCBiQKBgQDBsjS1b3tvhGe6OCPUxylARXZK6G0ZrDQOzIp5WmpDHuqj3QthLhbs
BukSoUUFnaJDdVuGiSjlm353qU36CtQO3sxCncytW8K/dsRSjH9Rq7feTshpgTRS
7BZnXiqc6Ko6UKYmSzjhIDKf6Xdtjoemi0RdKfCNcVSsj/5ZuakkawIDAQABMA0G
CSqGSIb3DQEBBQUAA4GBAEwD7WuV6tHPvH5ilGSL+yYCL2UprxUz6VJFcHzIoBui
spqQ026wdIE+M25JTNUe5XeiwcCeDH1beJ020dk7ar/N/93GT7ZAVgyll4f7fIIs
q8yq3aTb+MdiCu7Du/nb/Z/19WpzGfSbVi0UHi+o23mih/Ft7n0+zbGzEGPXD6LG
-----END CERTIFICATE-----

Merci de votre aide .

-
Edité par GuiTeK 17 juin 2014 à 18:43:04

Bonjour,

Je rencontre le même problème, avec la même ip. Je ne peux pas me connecter à l'admin de ma livebox pour vérifier la conf (soit j'ai oublié le mot de passe, ou alors il a été changé?).

Tous les terminaux sont impactés (pc, tablettes, portables), il s'agit donc d'un pb avec le dns de la box.

Je pense qu'une réinitialisation corrigerait le pb, mais j'aimerais comprendre...

quelques infos renvoyés par dig :

$ dig +trace @192.168.250.1 www.ibps.valdefrance.banquepopulaire.fr

; <<>> DiG 9.7.0-P1 <<>> +trace @192.168.250.1 www.ibps.valdefrance.banquepopulaire.fr
; (1 server found)
;; global options: +cmd
.                       3600    IN      NS      FWDR-150.FWDR-187.FWDR-210.FWDR-62.
.                       3600    IN      NS      FWDR-47.FWDR-148.FWDR-210.FWDR-62.
;; Received 193 bytes from 192.168.250.1#53(192.168.250.1) in 15 ms

;; connection timed out; no servers could be reached

nicochamp a écrit:

Bonjour,

Je rencontre le même problème, avec la même ip. Je ne peux pas me connecter à l'admin de ma livebox pour vérifier la conf (soit j'ai oublié le mot de passe, ou alors il a été changé?).

Tous les terminaux sont impactés (pc, tablettes, portables), il s'agit donc d'un pb avec le dns de la box.

Je pense qu'une réinitialisation corrigerait le pb, mais j'aimerais comprendre...

J'ai aussi essayé de me connecter au panel admin de la box, impossible ! Je pense effectivement que le mot de passe a été changé... Par qui ? Par quoi ? Comment ?

Je pencherais pour un virus sur un des PC connectés à la box. En effet, ce problème est apparu juste après la visite d'une amie à la maison... La dernière fois que je me suis connecté au panel de ma box c'était justement pour lui donner la clé WiFi. Je soupçonne donc que son ordinateur portable soit le responsable de tout ça...

Enfin, si ce sont seulement les DNS qui ont été changés...

Je ferais bien un reset de la box mais ça va tout supprimer (du moins je l'espère) et je serais quand même curieux d'examiner tout ça de plus près... Cependant, j'imagine que ça ne va pas être facile...

Peut-être que la meilleure solution serait de :

• Faire un reset de la box
• Sniffer tout le traffic équipement suspect <=> box
• Re-connecter l'équipement suspect et analyser les échanges

@nicochamp

• Avais-tu changé le mot de passe admin ou avais-tu laissé celui par défaut ?
• Suspectes-tu un périphérique en particulier ?

Salut,

Je pense que quelqu'un ou un virus a changé le serveur DNS de ta box orange pour mettre le sien.

Je te conseil d'appeler la hotline d'orange pour qu'il ré-initialise ta box.

millman a écrit:

Salut,

Je pense que quelqu'un ou un virus a changé le serveur DNS de ta box orange pour mettre le sien.

Je te conseil d'appeler la hotline d'orange pour qu'il ré-initialise ta box.

Je pense plutôt qu'il s'agit d'un virus, je ne vois pas qui aurait changé les DNS dans la box...

Il y a un bouton pour réinitialiser la box, ce n'est pas le problème, seulement je voudrais bien remonter à la source du problème.

Hello,

Burp est un type de proxy qui "casse" les connexions TLS/SSL. Il permet d'analyser le trafic qui est normalement chiffré.

Concrètement, lorsque tu initialises une communication en HTTPS, ton client (FF, Chrome...) va établir une connexion chiffrée avec ton proxy d'où l'utilisation de son certificat auto-signé (et l'erreur qui apparaît). Ensuite le proxy effectue une communication "classique" avec le serveur en HTTPS.

Généralement ce type de proxy est utilisé dans certaine entreprise pour analyser tous les trafics y compris ceux qui sont chiffrés.

En tous cas, tu as eu une bonne réaction de ne pas accepter la communication avec le proxy.

GuiTeK a écrit:

millman a écrit:

Salut,

Je pense que quelqu'un ou un virus a changé le serveur DNS de ta box orange pour mettre le sien.

Je te conseil d'appeler la hotline d'orange pour qu'il ré-initialise ta box.

Je pense plutôt qu'il s'agit d'un virus, je ne vois pas qui aurait changé les DNS dans la box...

Il y a un bouton pour réinitialiser la box, ce n'est pas le problème, seulement je voudrais bien remonter à la source du problème.

millman a écrit:

GuiTeK a écrit:

millman a écrit:

Salut,

Je pense que quelqu'un ou un virus a changé le serveur DNS de ta box orange pour mettre le sien.

Je te conseil d'appeler la hotline d'orange pour qu'il ré-initialise ta box.

Je pense plutôt qu'il s'agit d'un virus, je ne vois pas qui aurait changé les DNS dans la box...

Il y a un bouton pour réinitialiser la box, ce n'est pas le problème, seulement je voudrais bien remonter à la source du problème.

Non c'est le DNS de la box qui a été changé (par un virus peut être) car cela fait ça avec tout ses appareils.

Oui, c'est ce que j'ai dis ...

Personne n'a d'idée sinon ?

@GuiTeK Je n'ai pas de piste me permettant de savoir comment ces dns ont été modifiés. Il est fort probable que je n'ai pas changé le mot de passe par défaut, et c'est bien là mon erreur (vu que je n'avais pas activé l'accès WAN...). Sauf si tu me dis l'avoir changé, alors là il y a une faille...

Le plus probable étant que je n'ai pas changé le mdp et que l'intrusion soit venue de l'intérieur, mais je n'ai à priori pas eu de poste infecté chez moi... et en général, quand ils passent chez moi, c'est pour une cure de nettoyage, donc je m'en serai rendu compte Mais qui sait...

As-tu eu un contact avec Orange pour signaler le problème ? Je suis client Sosh, donc à priori je n'ai accès qu'au chat, et j'ai fait une tentative mais le contact n'était pas habilité pour analyser le problème. A part me dire qu'il n'y a pas de soucis à se faire, que les boxs sont sécurisées

Et comme ce problème nous est arrivé récemment, sensiblement à la même période, il y a fort à parier que nous sommes loin d'être les seuls... Et c'est une attaque bien invisible pour les utilisateurs lambda !

J'ai fait une petite recherche, j'ai trouvé un autre cas :

http://www.commentcamarche.net/forum/affich-30361169-probleme-la-banque-postale

Le pire, c'est qu'on lui conseille d'ajouter le certificat PortSwinger comme certif de confiance !

Il est aussi indiqué par ailleurs que le problème a pu être solutionné par prise en main d'un conseiller orange, ça se tente pour voir ce qu'ils font dans ces cas là...

A suivre...

nicochamp a écrit:

@GuiTeK Je n'ai pas de piste me permettant de savoir comment ces dns ont été modifiés. Il est fort probable que je n'ai pas changé le mot de passe par défaut, et c'est bien là mon erreur (vu que je n'avais pas activé l'accès WAN...). Sauf si tu me dis l'avoir changé, alors là il y a une faille...

Moi non plus je n'avais pas changé le mot de passe : je n'en voyais pas non plus l'utilité puisque l'accès WAN est désactivé et qu'il n'y a que des personnes de la maison qui se connectent à la box. Eh bien à partir de maintenant, ce sera mot de passe obligatoire !

nicochamp a écrit:

Le plus probable étant que je n'ai pas changé le mdp et que l'intrusion soit venue de l'intérieur, mais je n'ai à priori pas eu de poste infecté chez moi... et en général, quand ils passent chez moi, c'est pour une cure de nettoyage, donc je m'en serai rendu compte Mais qui sait...

Si le mot de passe n'avait pas été changé, ça aurait pu être une faille de l'extérieur (Orange), mais étant donné que dans nos cas il a apparemment été changé et que notre accès WAN était désactivé... il y a quand même fort à parier que l'attaque venait de l'intérieur.

nicochamp a écrit:

As-tu eu un contact avec Orange pour signaler le problème ? Je suis client Sosh, donc à priori je n'ai accès qu'au chat, et j'ai fait une tentative mais le contact n'était pas habilité pour analyser le problème. A part me dire qu'il n'y a pas de soucis à se faire, que les boxs sont sécurisées

Non, je vais les appeler cet après-midi, en espérant avoir quelqu'un un minimum compétent ...

nicochamp a écrit:

Et comme ce problème nous est arrivé récemment, sensiblement à la même période, il y a fort à parier que nous sommes loin d'être les seuls... Et c'est une attaque bien invisible pour les utilisateurs lambda !

J'ai fait une petite recherche, j'ai trouvé un autre cas :

http://www.commentcamarche.net/forum/affich-30361169-probleme-la-banque-postale

Effectivement, c'est ça qui est bizarre... Encore un cas ici : Usurpation de certificat nommé Portswigger. Et un autre : Sites sécurisés inaccessibles. Tous les cas recensés sont très récents : tous datent du mois de juin 2014, apparemment de la deuxième quinzaine du mois. Donc tous les ordinateurs auraient été infectés dans cette période ... bizarre.

nicochamp a écrit:

Il est aussi indiqué par ailleurs que le problème a pu être solutionné par prise en main d'un conseiller orange, ça se tente pour voir ce qu'ils font dans ces cas là...

J'aime pas trop qu'on prenne en main mon ordinateur moi ... Surtout si c'est pour changer les DNS comme on a fait.

Enfin, je donne des nouvelles dès que j'en ai.

Bien, voici le copié/collé de la conversation que j'ai eu avec le support d'Orange par eChat. Autant vous dire tout de suite que je n'ai pas avancé d'un picomètre...

En résumé : c'est à cause d'une mise à jour de DNS... Dans ce cas :

• Pourquoi tous les clients Orange ne sont-ils pas affectés ?
• Pourquoi le mot de passe de la box a été changé (depuis quand une mise à jour DNS change le mot de passe de ma box) ?
• Pourquoi les seuls records qui semblent être affectés sont ceux appartenant à des banques ?
• Pourquoi les records des banques pointent tous vers la même adresse, un proxy Burp ?

Ah, et également, lorsque la "conseillère" m'a demandé de cliquer sur un lien pour accéder à mon écran, je l'ai mise en machine virtuelle... je n'aime pas trop installer n'importe quoi sur mon ordinateur et encore moins que quelqu'un y touche, et c'était apparemment le seul moyen de parler à un "expert technique". Expert technique qui n'a rien fait à part changer les DNS par défaut par ceux d'Orange. Quand j'ai mis en pause le partage d'écran pour écrire (la souris et le clavier faisaient n'importe quoi pour une raison que j'ignore), elle a fermé la session sous prétexte que je ne coopérais pas... Ensuite, retour avec la "conseillère"...

Support "technique" d'Orange:

Bonjour et bienvenue sur l'eChat Orange. Nous vous mettons en relation avec un conseiller, merci de patienter.

Vous êtes en relation avec Darine.

Darine:  Bonjour M. MOI 

Je m'appelle Darine et je vais traiter votre demande.

MOI:  Bonjour

MOI:  Il y a de ça quelques jours, lorsque j'allais consulter le site de ma banque, j'ai eu un message d'avertissement disant que le certificat (délivré par PortSwigger CA) n'était pas reconnu

Darine:  Pouvez vous me confirmer votre numéro ligne fixe (en 01, 02, 03, 04 ou 05), afin que je sois sûr d'avoir le bon dossier ?

MOI:  Après quelques recherches, je me suis aperçu que c'était un problème au niveau des DNS

MOI:  xx.xx.xx.xx.xx

MOI:  Les DNS par défaut étaient ceux de la Livebox (donc ceux d'Orange)

MOI:  Apparemment, les DNS ont été changés pour pointer vers un faux site de phishing

MOI:  De plus, le mot de passe de la livebox a été changé, je n'ai plus accès au panel admin (j'avais laissé le mot de passe par défaut, pensant que c'était inutile de le changer puisque l'accès WAN est désactivé)

Darine:  Pouvez vous me confirmer votre numéro ligne fixe (en 01, 02, 03, 04 ou 05), afin que je sois sûr d'avoir le bon dossier ?

MOI:  Après avoir posté mon problème sur des forums, je me suis aperçu que je ne suis pas le seul dans ce cas : plusieurs personnes ont eu le même problème, approximativement à la même date que moi

MOI:  xxxxxxxxxx

Darine:  Merci de patienter afin que je puisse accéder à votre dossier.

MOI:  Êtes-vous là ?

Darine:  Oui , merci de patienter je suis en train de vérifier

Darine:  Je vous propose qu’un technicien expert vous aide en partageant votre écran d’ordinateur. Je vous informe que ce partage est sécurisé et ne permet pas d’accéder à vos données personnelles. 

Souhaitez-vous que j’effectue ce transfert maintenant ?

MOI:  Oui, s'il vous plaît

Darine:  Merci de cliquer sur ce lien :

Je vous invite à visiter la page https://broker.gotoassist.com/h/orangexxxx?Question=xxxxx-xxx-xxx.

MOI:  Il écrit que "Votre session de partage d'écran va démarrer dans quelques instants."

Darine:  Parfait.

MOI:  Combien de temps cela va-t-il durer ?

Darine:  Veuillez télécharger puis exécuter le programme s'il vous plait

MOI:  d'accord

Darine:  Très bien.

MOI:  Votre expert ne m'a aidé en rien

MOI:  en aucune manière

MOI:  Je ne peux même pas dialoguer avec elle, elle a fermé la session

Darine:  Ma collègue n'a pas fermé la session , vous avez suspendu le partage d'écran

Darine:  d'autre part , elle a fait la manipulation nécessaire et elle vous demande de tester l'accès au site de la banque mais vous ne l'avez pas fait

MOI:  Laissez-moi m'expliquer

MOI:  J'ai fais EXACTEMENT ce qu'elle a fait, je sais donc parfaitement que ça fonctionne avec ce qu'elle a fait. Cependant, je voulais connaître la CAUSE de ce problème. De plus, j'ai suspendu le partage d'écran car la souris et le clavier buguait et je ne pouvais pas lui écrire ni cliquer où que ce soit.

Darine:  On accèdé et on n'a pas trouvé les valeurs comme on l'avait mis donc ce n'est pas fait correctement , merci de tesetr l'accès au site c'est simple !

Darine:  La cause , comme c'est déja précisé , une mise à jours du dns c'est pour cela on le force$*

MOI:  Dites lui qu'elle était en MACHINE VIRTUELLE (excusez-moi, je n'aime pas trop que l'on touche à mon ordinateur), c'est pour cela que les DNS étaient ceux par défaut. De plus, vous pensez que c'est une mise à jour des DNS qui a changé le mot de passe de la box ?

Darine:  Merci de tester l'accès au site

MOI:  Encore une fois, bien sûr que le site fonctionne ! Je ne vous ai pas contacté pour avoir de nouveau accès au site puisque je me suis occupé de ce problème moi-même ! Je vous ai contacté pour vous demandé des informations concernant l'ORIGINE du problème.

Darine:  Parfait , si la première demande c'était de pas pouvoir accès au site de la banque .

Darine:  Comme je vous ai

Darine:  Déja expliqué c'est une mise à jours du dns

Darine:  pour le soucis du mot de passe de la livebox ,c'est autre chose

Darine:  vous pouvez faire la remise à zéro de la livebox et vous aurez le mot de passe d'origine " admin

Darine:  Avez-vous d'autres questions?

MOI:  Sauf votre respect, je pense que vous vous trompez. En effet, nous sommes plusieurs personnes à avoir eu ce problème de banque [ET] de changement de mot de passe, [EN MÊME TEMPS]

MOI:  (sur les forums, pas dans la même maison bien entendu)

Darine:  Vous êtes avec le srevice technique et je sais très bien de quoi je parle

Darine:  Mes paroles sont argumentées par des tests s'il vous plait

Darine:  Si vous savez déja la réponse pourquoi vous nous contactez !

Darine:  Avez-vous d'autres questions?

MOI:  Je n'ai qu'un début de réponse, voilà pourquoi je vous contacte ! Vers quelle IP pointait vos DNS avant la mise à jour ? Voyez par vous-même la capture d'écran que j'ai prise en accédant à l'IP à laquelle vos DNS pointaient : http://sdz-upload.s3.amazonaws.com/prod/upload/burp_proxy_louche.PNG TOUS DES SITES DE BANQUE. N'est-ce pas étrange ?

Darine:  Et maintenant vous avez une réponse confirmé de la part du service technqiue que vous contactez pour vous Aider.

Darine:  Maintenant vous pouvez accèder au site de votre banque

Darine:  Avez-vous encore d'autres questions?

MOI:  OUI, vous n'avez pas répondu à ma question : quelle est la RAISON pour laquelle vos DNS pointaient sur ce site (c.f. la capture d'écran) avec le proxy Burp ? De plus, nous sommes plusieurs à avoir eu ce problème et nos mots de passe de box ont tous été changés suite à ce problème. Êtes-vous donc certaine que les problèmes ne sont pas liés ?

Darine:  Êtes vous toujours là M. MOI ?

Darine:  J'ai répondu à cette question 3 fois , merci de bien lire les répliques .

Darine:  Avez-vous encore d'autres questions?

MOI:  Non, vous n'avez pas répondu ! Vous m'avez prétexté une histoire de mise à jour de DNS... depuis quand une mise à jour de DNS change un mot de passe admin ? Et si quand bien même c'était une mise à jour de DNS, pourquoi me servir ce site avec le certificat SSL inconnu, un proxy Burp (pour analyser le traffic chiffré) sur TOUS les sites de banques ?

Darine:  J'ai répondu à cette question 3 fois , merci de bien lire les répliques .

Darine:  Orange vous remercie de votre confiance et je vous souhaite une bonne journée.

Votre chat est terminé. Merci d'avoir discuté avec nous.

Votre session est terminée. Vous pouvez à présent fermer cette fenêtre.

Je crois que je vais leur passer un coup de fil...

EDIT : je leur ai finalement téléphoné... le technicien a de nouveau été incapable de m'expliquer d'où venait le problème malgré mon insistance. Enfin si, « Monsieur, une personne malveillante a essayé de vous pirater informatiquement. » Me pirater informatiquement, ça alors  !

Il m'a fait faire un reset de la box (en me faisant patienter 3mn toutes les 30 secondes)... ça, j'aurais pu le faire tout seul, m'enfin bon...

Je peux de nouveau accéder au panel admin et les DNS de la box semblent rétablis. En revanche, toute hypothétique trace du virus/de l'attaque a été effacée...

-
Edité par GuiTeK 30 juin 2014 à 15:41:04

-
Edité par deeplo78 1 juillet 2014 à 10:02:20

Bonjour j'ai eu le meme probleme avec la livebox de ma belle-mere :

Elle m'appelle en me disant que ya un probleme de certificat etc....Je cherche sur les forums et je tombe sur votre fil. Du coup je me dis que ca ressemble beaucoup.

Je suis intervenu sur le PC, j'ai vu que le problème apparaissait (certificat auto signé) à la fois sur le PC, sur son Iphone via Safari et sur mon android. Du coup je me dis que ça vient de la livebox : j'essaye de me connecter à l'interface mais ca ne marche pas : je me dis que PEUT ETRE le mot de passe avait été changé et qu'on l'a oublié.

Avec les outils ping et nslookup en ligne de commande je teste le site du credit mutuel et je vois une adresse IP (IP1). Quand je fais le meme test via un site en ligne de dns lookup, une autre adresse IP m'est donnée (IP2).

Quand je tape l'IP1 dans l'explorateur internet, j'ai un problème de certificat, et quand je tape l'IP2 j'ai un certificat valide.

Au bout de 5 minutes d'essais (hier soir vers 18h passées) je m'aperçois que l'IP1 n'est plus accessible (comme si le serveur etait tombé). Je pense donc que ce "faux serveur" credit mutuel n'etait plus connecté au réseau.

Peu importe, en tout cas j'avais la preuve que la livebox redirigeait vers une mauvaise adresse IP : le serveur DNS configuré dedans était donc modifié (par qui ? quand ? comment ? je ne sais pas)

J'ai fait un reset de la box en reglages usine : je suis rentré dans l'administration, reconfiguré la connexion ADSL, modifié le mot de passe administration et maintenant tout roule.

Si la modification de la livebox orange a été faite par un programme d'un des PCs du réseau, le problème reviendra. Sinon c'est que le problème venait de l'exterieur (d'une mise ajour de la livebox par orange ou qq chose comme ca ?)

Je ne serai pas étonné de voir un article parlant d'un problème comme ça dans les prochains jours.

Cordialement

----------------------------------------

Mots clés : orange / livebox / DNS / adresse / modification / piratage / certificat / non valide / auto signé / virus

Une petite précision, j'avais demandé à ma belle mere d'appeler orange pour qu'il apportent du support (avant que j'intervienne) et le type n'a pas écouté : quand elle a dit "probleme de certificat", le type a proposé direct qu'un informaticien intervienne (mais c payant) et il a tout de suite incriminé le PC comme étant infecté.

Bref, chez orange on a pas d'oreille mais on a des services apparemment. Si c'etait un problème isolé je comprendrai leur comportement mais la on sent bien un problème de grande ampleur qui semble toucher des abonnés orange équipés de livebox.

En espérant que mon témoignage pour aider des personnes en galère.

Et rappelez vous de ne pas surfer sur des sites sur lesquels vous entrez des données sensibles (mot de passe de banque etc ...) avec un certificat non valide svp

Pour tous ceux qui l'auraient deja fait je préconise un changement de mot de passe pour l'accès internet à votre banque et de prévenir votre conseiller à ce sujet.

deeplo78 a écrit:

Si la modification de la livebox orange a été faite par un programme d'un des PCs du réseau, le problème reviendra. Sinon c'est que le problème venait de l'exterieur (d'une mise ajour de la livebox par orange ou qq chose comme ca ?)

Tiens nous au courant .

deeplo78 a écrit:

Bref, chez orange on a pas d'oreille mais on a des services apparemment.

Malheureusement, oui...

deeplo78 a écrit:

Si c'etait un problème isolé je comprendrai leur comportement mais la on sent bien un problème de grande ampleur qui semble toucher des abonnés orange équipés de livebox.

GuiTeK a écrit:

Effectivement, c'est quand même bizarre qu'il y ait autant de cas sur les forums en si peu de temps... Si c'est réellement un virus et pas un problème d'Orange, je me demande bien comment il peut infecter autant de monde ...

Bah moi ça me choque pas : un virus se répand facilement quand on ne fait pas attention mais je me demande comment il fait pour modifier la box : il teste par "force brute" toutes les combinaisons de mot de passe pour se connecter et ensuite envoie une requete pour modifier le mot de passe admin + DNS..... ça me choquerait pas non plus

Pour ma part je suppose fortement que cela vient de chez Orange mais je reste prudent car un virus est totalement possible. Là où  je te rejoins c'est qu'il aurait infecté plusieurs personnes en peu de temps... les posts que je vois c'est la deuxième quinzaine de Juin pas avant.

A suivre mais, pour répondre à la première requête, oui je vous tiendrai au courant si le problème revient.

@GuyTech Merci pour ton compte rendu détaillé J'ai eu affaire à peu près au même type de réponse sur le chat...

Le serveur 62.210.142.229 est down à présent, la collecte est terminée...

J'essaie d'interpeller Orange via leur twitter sur ce post qui me semble suffisamment détaillé pour attester d'un problème manifeste...

deeplo78 a écrit:

[...] mais je me demande comment il fait pour modifier la box : il teste par "force brute" toutes les combinaisons de mot de passe pour se connecter et ensuite envoie une requete pour modifier le mot de passe admin + DNS..... ça me choquerait pas non plus

Brute-force, peut-être pas... je pense que la majorité des utilisateurs laissent le mot de passe par défaut (admin). À partir de là... facile de tout modifier... d'ailleurs, voici un petit script en Python que je viens de terminer qui :

• Se connecte à la Livebox (utilisateur : admin, mot de passe : admin)
• Change les DNS (par ceux de Google avec ce script, mais on peut imaginer bien pire )
• Change le mot de passe admin (il le remplace par "changed" avec ce script, mais encore une fois on peut mettre n'importe quoi)

NOTE [À LIRE] : hasard ou fatalité, lorsque je codais les deux dernières fonctionnalités du script (les fonctions change_dns() et change_password()), ma Livebox a fait une mise à jour, sans que je lui demande quoique ce soit. Je suis passé de la version FAST3XXX_6814BC à la version SoftAtHome SG20_sip-fr-4.32.8.1.

Les interfaces d'administration étant totalement différentes, mon script ne fonctionne pas pour cette version... De plus, j'ai l'impression qu'avec ce nouveau firmware, on ne peut même plus changer les DNS : en effet, dans l'onglet configuration avancée > Configuration DNS, les cases sont grisées !

Si quelqu'un ayant le firmware FAST3XXX_6814BC pouvait tester mon script (ici) et me dire s'il fonctionne, ça serait sympa... Pour remettre les DNS/le mot de passe par défaut une fois le script utilisé, il suffit de se connecter au panel admin avec le mot de passe "changed".

nicochamp a écrit:

@GuyTech Merci pour ton compte rendu détaillé J'ai eu affaire à peu près au même type de réponse sur le chat...

Le serveur 62.210.142.229 est down à présent, la collecte est terminée...

J'essaie d'interpeller Orange via leur twitter sur ce post qui me semble suffisamment détaillé pour attester d'un problème manifeste...

De rien. Tu fais bien, on va voir ce qu'ils disent (enfin, s'ils ne nous ignorent pas) .

EDIT : finalement, j'ai pu tester le script sur la Livebox d'une amie. Ça a fonctionné  ! La vidéo ici : https://www.youtube.com/watch?v=dfIAFKBlSus

-
Edité par GuiTeK 1 juillet 2014 à 23:09:13

Personnellement, le mot de passe n'etait pas "admin" il avait bel et bien modifié depuis plusieurs mois (en fait ca se compte en années).

Alors je reste sceptique sur le fait d'arriver à se connecter aussi facilement. M'enfin n'empeche trop génial ta petite vidéo.

On en parle ici :

http://www.zataz.com/piratage-de-box-orange/#axzz37pr1c8ag

Pour info, mon amie a été également contactée directement par sa banque l'invitant à changer de mot de passe et de carte bancaire !

Il s'agit de la banque pop. Pour le changement de carte bancaire, c'était par précaution, au cas où elle ait fait des achats sur un site de vente en ligne qui pourrait également avoir été détourné.

L'info commence à se propager :

http://www.01net.com/editorial/624138/des-milliers-de-livebox-orange-piratees-par-un-detournement-de-dns/

http://www.universfreebox.com/article/26925/Des-milliers-d-abonnes-Orange-se-sont-fait-pirater-leur-Livebox-et-subtiliser-leurs-donnees-bancaires

Salut comme dis juste au dessus, il y a eu des changements de DNS par une personne malveillante. Les banques ont du agir en catastrophe, Orange a mit à jour les Livebox dans la foulée.

Sur une box quand on l'installe, 1ere chose à faire changer le mot de passe administrateur : admin admin chez Orange. On ne garde pas ce mot de passe. Sur Internet traine des scripts qui permettent de changer les DNS des box Orange, grâce au fait que les personnes n ont pas changé le mot de passe et on laissée admin ... Depuis la MaJ des box le problème de DNS ne devrait plus exister.

Faites passer la bonne parole

Et lisez bien le 1er article posté au dessus