L'internet des objets, une arme efficace pour attaquer le web

Florian Innocente |

L’attaque qui a pesé hier soir sur le fonctionnement de quantité de sites web petits ou (très) gros à travers le monde a comme un air de déjà vu.

Ce sont à nouveau des objets connectés — que l’on imagine bien plus inoffensifs et passifs que de gros PC — tels que des routeurs, caméras IP ou des platines d’enregistrement vidéo qui ont été asservis à l’insu de leurs propriétaires par un malware, fédérés puis télécommandés pour assaillir de requêtes les serveurs de la société américaine Dyn. Celle-ci fournit un service indispensable de gestion de DNS. Le système qui fait correspondre les adresses URL des sites que l’on tape aux adresses IP de leurs serveurs.

Les points géographiques de chauffe hier soir

Fin septembre, ce vecteur d’attaque avait été utilisé pour tenter de mettre à genoux l’hébergeur français OVH, le plus gros en Europe dans son domaine. L’assaut avait été contenu mais non sans mal (lire : Hébergeur : OVH attaqué par des… caméras connectées).

Même mode opératoire, en septembre encore, contre le blog de Brian Krebs, spécialisé sur l’actualité de la sécurité. Akamai avait pu contrer l’attaque, d’une ampleur inédite, où des pointes de traffic de 665 Go par seconde avait été relevées en direction du blog. Un volume bien au dessus du pic de 363 Go par seconde qu’Akamai avait enregistré précédemment dans l’année. S’agissant d’OVH, l’afflux de requêtes avait atteint le tera-octet par seconde.

D’après les chercheurs de Flashpoint, l’un des botnets associé à l’attaque d’hier utilisait le malware Mirai. Sa spécialité est de chercher sur le web de petits appareils connectés sur lesquels s’installer. Une caméra IP en soit n’a guère de puissance mais c’est l’accumulation de ces petits soldats qui finit par constituer une armée à l’impressionnante force de frappe.

L’accès à ces appareils est théoriquement limité par la présence d’un identifiant et mot de passe utilisateurs. Leurs propriétaires peuvent d’ailleurs les modifier depuis une interface web d’administration. Cependant, ces identifiants par défaut inscrits en usine sont parfois maintenus dans les firmwares et accessibles en ligne de commande, par un accès distant Telnet et une connexion sécurisée SSH.

L’utilisateur pense avoir modifié ses identifiants alors qu’en réalité leur version originale subsiste. Et aucune fonction n’est proposée pour y accéder. Ce malware Mirai profite alors de l’aubaine. Une fois qu’il s’est installé, il utilise son hôte pour partir en chasse d’autres appareils, armé d’une liste de mots de passe par défaut connus.

Le 6 octobre, Flashpoint disait avoir recensé au moins 515 000 de ces appareils capables d’être infectés. Brian Krebs ajoute que le botnet Mirai utilisé hier s’appuie très largement sur les équipements d’une seule société chinoise, XiongMai Technologies. Celle-ci fabrique des composants et cartes électroniques qu’elle vend à des fabricants de périphériques. Insuffisamment protégés contre ce type de malware, ces composants se trouvent être de véritables chevaux de Troie en puissance.

« Il est remarquable de constater que pratiquement l’intégralité du catalogue produit d’une société a été transformé en un botnet qui attaque aujourd’hui les Etats-Unis », constatait hier Allison Nixon, directeur de recherche chez Flashpoint.

Toujours d’après Flashpoint, le botnet Mirai activé hier (il n’était pas le seul) était différent de celui employé lors des attaques de septembre. Peut-être s’agit-il des mêmes personnes néanmoins mais cela reste encore incertain. Tout comme les motivations des responsables de ces attaques qui semble être à chaque fois une répétition pour une prochaine de plus grande envergure.

“Anna_Senpai”, pseudo du ou de la hacker qui a dirigé le botnet contre le blog de Brian Krebs a rendu public le code source de Mirai au début du mois. Peut-être pour le répandre le plus largement possible et diluer les traces qui remonteraient à lui/elle. Depuis, Mirai est ainsi virtuellement utilisable par n’importe qui.

avatar XiliX | 

Malheureusement ce n'est que le début

avatar heret | 

@innocente
ces composants se trouvent être de véritables chevaux de Troie en puissance.

merci de lire l'Illiade d'Homère, le poète grec (et non pas Homer Simpson...). Ça t'évitera des contre-sens. Tu pars à vau-l'eau...

avatar awk | 

@heret :
La guerre de troie n'a pas eu lieu :-)

Quand à l'usage du concept fait par le rédacteur il est parfaitement légitime dans le cadre cas lui est donné en sécurité informatique.

avatar MacGyver | 

faudrait l'avis de Bob Dylan pour trancher sur cette question

avatar Bob Dylan | 

@awk: " La guerre de troie n'a pas eu lieu :-) " Et pourtant l'histoire a bien finie par démontrer le contraire :)

avatar awk | 

@Bob Dylan

Ce n'est pas l'avis de Jean Giraudoux ;-)

avatar béber1 | 

@awk

bah, comme toutes les vieilles barbes résistantes,
on peut lui excuser son Alzheimer

avatar awk | 

@béber1

Les témoins de l''Iliade se font rare :-)

avatar mafieud41 | 

Jusqu'au moment ou les puissants de ce monde mettront en place une IA suffisamment puissante pour régler le problème en traquant le ou les codes foireux directement sur nos périphériques et qui au passage sur le discourt du "on vous protège" brulerons gentiment nos libertés... Au pire, ces puissants pourrons lui donner le nom Skynet ! (dérision ou pas)

avatar XiliX | 

@mafieud41 :
IA sans bugs alors

avatar mafieud41 | 

Tant que ce n'est pas le bug de "la technologie se doit de protéger l'homme sauf que la plus grande menace de l'homme est l'homme alors pour protéger l'homme de l'homme, le choix le plus logique est de tuer l'homme"...

avatar CNNN | 

@mafieud41 :
Cest sur ca serait dommage ^^

avatar Jacalbert | 

Comment se protéger en tant que particulier ou PME ?

avatar awk | 

@Jacalbert :
Une médaille de Saint Christophe :-)

avatar occam | 

@Jacalbert :

À lire Brian Krebs, il faut bien sûr éviter les idioties les plus courantes, mais en ce qui regarde l'Internet of Things, l'utilisateur privé se trouve plutôt dépourvu :
https://krebsonsecurity.com/2016/10/who-makes-the-iot-things-under-attack/
Je conseille une lecture attentive de ce petit article.

En outre, le rapport de sécurité d'Akamai sur le 2e trimestre 2016, à première vue relativement peu spectaculaire, est saisissant et accablant. Mention spéciale pour fig. 2-2, 2-7, 2-8, 2-9.
https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/...

avatar awk | 

@occam :
Le rapport d'Akamai est effectivement assez terrible !

avatar Oliviou | 

Je vous conseille la lecture de Robopocalypse, ça vous passera l'envie d'acheter des objets connectés... (et c'est un très bon roman d'anticipation par ailleurs)

avatar Bigdidou | 

Merci pour ce papier vraiment intéressant.
On voit régulièrement des alertes depuis au moins un an ou deux à propos du manque de sécurité des objets connectés, y compris dans des domaines sensibles. Je me souviens en particulier d'alertes à propos de matériel medical connecté (des pompes a infusion, en particulier) qui faisaient plus rire qu'autre chose.
Il est peut-être temps de prendre ces problèmes de sécurité qui apparaissent donc à la lumière de ces événements comme majeurs, un peu plus au sérieux et avec un peu plus de responsabilité individuelle et collective...

avatar occam | 

@Bigdidou :

«…un peu plus de responsabilité individuelle et collective…»

Difficile de freiner l’industrie. La responsabilité collective serait le refus collectif, le seul qui puisse avoir un impact sur le marché. Je n’en espère pas trop.

Lors de l’Eurobike 2016 de Friedrichshafen, la grand-messe de l’industrie du vélo, l’innovation vedette fut le changement de vitesses wireless proposé par SRAM et par FSA. On y (re)vit aussi des freins wireless.

Quoi de plus anodin, direz-vous, si ce n’est que cela provoqua des débats très échaudés, très sains et assez fournis sur la sécurité informatique des bicyclettes à venir. SRAM insista énormément sur la sécurité du chiffrage de la communication entre la manette numérique et le dérailleur.

En effet, imaginons une erreur ou une manipulation de communication qui fait que l’on intervient sur les freins ou les vitesses d’une autre bicyclette. De la dégringolade télécommandée sur la piste cyclable jusqu’à l’assassinat, tout devient possible.

Bon, on pourrait continuer à utiliser des câbles Bowden, ou des freins hydrauliques à la rigueur, mais ça fait tellement vieux jeu…

avatar Bigdidou | 

@occam :
"Difficile de freiner l’industrie. La responsabilité collective serait le refus collectif, le seul qui puisse avoir un impact sur le marché. Je n’en espère pas trop."

Je suis hélas assez d'accord.

Par responsabilité collective je pensais à quelque chose de global : les distributeurs, les états au travers de normes de sécurité informatique, et surtout, effectivement, les consommateurs, au travers d'associations de consommateurs, qui pourraient faire un lobbying utile, pour une fois.
Mais c'est assez naïf, et je trouve que ta citation debBruce Schneider résumé bien les choses.
ce n'est queue expérience, personnelle, mais toutbde même : quand je vois tous les jours a quel point nous (tous les acteurs concernés) sécurisons mal des données médicales terriblement sensibles pour chacun d'entre nous, et a quel point les gens concernés s'en foutent, pour la cafetière connectée, c'est pas gagné.

avatar fabsolar | 

@Bigdidou :
Pompe à transfusion
(Infusion camomille)

avatar Bigdidou | 

@fabsolar :
Non plus ;) En fait le terme correct est pompe de perfusion, infusion étant effectivement un horrible anglicisme (infusion anglais = perfusion français).
Transfusion (même mot en anglais, ça nous évite les anglicismes) est réservé au produits cellulaires dérivés du sang, mais on n'est vraiment plus dans le sujet.

avatar fousfous | 

Ça montre au moins que c'est une bonne chose qu'Apple s'attaque à la sécurité sérieusement en obligeant les constructeurs HomeKit à utiliser des technologies de pointe dans le domaine.

avatar occam | 

Après l'attaque massive contre le site de Brian Krebs, Bruce Schneier écrivait :

« This same problem is going to occur all over the Internet of Things.
The market can't fix this because neither the buyer nor the seller cares. Think of all the CCTV cameras and DVRs used in the attack against Brian Krebs. The owners of those devices don't care. Their devices were cheap to buy, they still work, and they don't even know Brian. The sellers of those devices don't care: they're now selling newer and better models, and the original buyers only cared about price and features. There is no market solution because the insecurity is what economists call an externality: it's an effect of the purchasing decision that affects other people. Think of it kind of like invisible pollution. »
https://www.schneier.com/blog/archives/2016/10/security_econom_1.html

Je pense que Bruce Schneier, une fois n'est pas coutume, pèche par optimisme.

Quand Allison Nixon constate « que pratiquement l’intégralité du catalogue produit d’une société a été transformé en un botnet qui attaque aujourd’hui les Etats-Unis », il n'est pas exagéré de se demander si ces composants sont véritablement « insuffisamment protégés contre ce type de malware », ou s'il sont délibérément laissés démunis.

Une porte peut rester béante par mégarde, par incompétence, ou par intention.

avatar mac_adam | 

Je résume : c'est pas les Russes.

Pages

CONNEXION UTILISATEUR