Certains malwares utilisent désormais le BSSID du point d’accès pour géolocaliser leurs victimes. Ils s’appuient pour cela sur des bases gratuites et accessibles à tous.
Le chercheur en sécurité Xavier Mertens a détecté une nouvelle méthode utilisée par les pirates pour géolocaliser leurs victimes et, le cas échéant, décider de leur sort. Habituellement, ils s’appuient sur l’adresse IP. Mais avec la pénurie d’adresses IPv4, il est de plus en plus difficile de géolocaliser cet identifiant avec certitude, car ces adresses sont de plus en plus échangées d’un opérateur à un autre et d’un pays à un autre.
Dans l’un des derniers codes malveillants analysés, Xavier Mertens a vu que l’auteur intégrait une seconde méthode : la géolocalisation par le BSSID (Basic Service Set Identifier). Cette séquence de 48 bits n’est rien d’autre que l’adresse MAC du point d’accès. Les 24 premiers bits désignent généralement le fournisseur. Les 24 bits restants sont choisis de telle manière à obtenir un identifiant unique de l’appareil.
Dans le code malveillant, la géolocalisation s’appuie sur la base de données mynikov.org, qui est gratuite et accessible à tous. Elle référence à se jour plus de 34 millions de BSSID avec leurs données de localisation et elle s’est visiblement construite grâce à ses utilisateurs. « Si vous avez une bonne source de données Wi-Fi, partagez-la avec moi par e-mail alex@mynikov.org », peut-on lire sur le site.
Ces bases de données ne sont pas nouvelles et sont notamment utilisées par les applis mobiles pour localiser les utilisateurs. Un autre exemple est Wigle.net qui peut localiser plus de 700 millions de réseaux Wi-Fi dans le monde. Pour obtenir ces données, c’est facile : il suffit de se placer quelque part et de scanner les réseaux Wi-Fi existants aux alentours. On obtient automatiquement leurs BSSID.
Source: Xavier Mertens (via ZDnet)