Tech

Un malware médiocre suffit à pirater l’Internet des Objets

Ces dernières semaines, des hackers anonymes ont lancé l’une des plus grosses cyberattaques qu’Internet ait jamais connu. L’attaque, caractérisée par sa virulence et son échelle, a fait intervenir un large réseau de caméras piratées participant de ce que l’on nomme l’Internet des Objets (IoT).

Vendredi, le pirate qui s’attribue la paternité du malware a publié son code source, dont l’authenticité a été attestée.

Videos by VICE

« Il semble que les données publiées soient authentiques, » explique Marshal Webb, chef de la technologie chez BackConnect, une société proposant des solutions anti-DDoS qui a rassemblé et analysé des échantillons du malware lors des dernières semaines.

Le code malveillant n’est pourtant pas très sophistiqué, selon les experts en sécurité qui l’ont étudié.

« L’individu ou les individus qui l’ont écrit se sont donné du mal. Il est plus complexe que le code médiocre que l’on trouve d’ordinaire dans des appareils de l’IoT, » nous explique Darren Martyn, l’un des chercheurs ayant examiné le malware de près. « Mais cela reste du code amateur. »

Le malware en question, baptisé Mirai, a été mis à disposition sur Hackforums par son créateur présumé, puis publié sur GitHub. Mirai est conçu pour scanner l’Internet et détecter les appareils vulnérables connectés à Internet qui utilisent le protocole telnet, et possèdent des login et mots de passe faibles par défaut tels que « admin, » et « 123456, » « root, » et « password, » voire « mother » et « fucker, » des identifiants utilisés par un autre réseau de bots constitué de routeurs piratés.

Un échantillon des combinaisons de nom d’utilisateur et de mots de passe que le malware a cherché sur le réseau afin de pirater les appareils vulnérables.

Une fois le logiciel malveillant a identifié les appareils vulnérables, qui sont le plus souvent des caméras de surveillance, des enregistreurs vidéo numériques ou des routeurs, il les infecte. Cela donne à l’opérateur du logiciel malveillant un contrôle total des appareils piratés et lui permet de lancer des attaques DDoS, comme celle qui a frappé le site du journaliste Brian Krebs ou le fournisseur d’hébergement OVH, en utilisant diverses sources de trafic comme UDP, DNS, HTTP, voire des IP GRE.

Le malware est conçu pour être utilisé comme un service de type DDoS-for-hire, comme l’indiquent les chaines de code : « Partager cet accès est interdit ! (…) Ne partagez pas vos informations d’identification ! »

Le code est rempli de blagues et d’entrefilets amusants, de mentions de mèmes célèbres, et même d’un lien YouTube pointant faire la fameuse vidéo de Rick Astley, « Never Gonna Give You Up. » C’est une façon pour l’auteur du code de se payer la tête des chercheurs et des experts en sécurité qui inspecteront le code pour le compte d’une institution ou du gouvernement.

« Ce code est de meilleure qualité que celui qu’on trouve généralement sur les appareils reliés à l’Internet des objets, mais cela reste du code amateur. »

Certains chercheurs ont noté que le code nécessitait quelques ajustements avant d’être lancé. Comme le chercheur en sécurité informatique MalwareTech nous l’a expliqué, la commande DDoS « se contentera de diffuser des conneries dans un langage ‘hacker’, sans déclencher d’attaque. » Une autre blague, sans doute.

Martyn précise que pour utiliser le malware publié, il faut en modifier la configuration. Cependant « n’importe qui pourrait y parvenir en trente minutes, s’il connaît un minimum son sujet. »

Fait intéressant, certaines parties du code malveillant présentent des commentaires rédigés en cyrillique, ce qui laisse penser que l’un des auteurs du code vient d’Europe de l’est.

De fait, le malware fonctionne toujours ; maintenant qu’il a été rendu public, il se propage comme une trainée de poudre. Si un logiciel malveillant de qualité médiocre est capable de générer l’une des attaques DDoS les plus virulentes de tous les temps, et compte tenu du triste état de la sécurité de l’Internet des objets en général, nous devrions nous préparer à des attaques toujours plus fréquentes sur notre réseau IoT supposément « intelligent. » Cela fait des mois qu’experts et journalistes mettent en garde contre la vulnérabilité de l’Internet des Objets, mais ces avertissements semblent n’avoir produit aucun effet.

« Je suis surpris qu’un code aussi simpliste puisse être à l’origine d’une telle attaque DDoS. Cela en dit long sur la sécurité de l’Internet des Objets, » explique un chercheur en sécurité surnommé Hacker Fantastic à Motherboard. « Si les gens ne se décident pas à changer les mots de passe par défaut et à désactiver telnet sur les équipements connectés à Internet, nous devons nous attendre à désastre. »