IoT Botnet, IdO

Votre jouet IdO ou ma liberté

La publication du code source pour le botnet IdO « Mirai » a facilité les choses pour les pirates informatiques en herbe aspirant à recruter une armée zombie et à attaquer la cible de leur choix, leur permettant par la même occasion de nuire à la liberté de la presse et à la libre circulation des informations que nous tenons pour acquise.

La question est d’identifier leur prochaine cible, et si vos nouveaux joujoux connectés seront de la partie.

Fin septembre, une attaque de déni de service distribué (DDoS) contre KrebsOnSecurity a mis hors-jeu ce site d’actualité dédié à la sécurité. Les attaques DDoS, souvent dépeintes par Graham Cluley comme « l’assaut de 15 hommes corpulents tentant de passer à travers une porte tournante en même temps » mettent les sites hors ligne en les inondant d’une surcharge de trafic qu’ils ne peuvent pas traiter.

Cette attaque spécifique se distingue par trois détails intéressants :

  1. Son envergure : énorme par les 665 gigaoctets de trafic par seconde.
  2. Une cible bien en vue : KrebsOnSecurity est l’une des meilleures sources d’information en matière de sécurité aux États-Unis.
  3. Le nombre d’attaquants : l’attaque a été menée par une armée botnet d’appareils IdO piratés.

En lieu et place des 15 hommes corpulents coincés dans la porte, une foule de nains zombies a été impliquée dans cette attaque. Dans ce cas, les nains correspondaient à des appareils IdO qui ont été piratés et enrôlés de force dans le botnet Mirai.

Mais ce n’est pas tout. OVH, l’hébergeur web français, vient de subir deux attaques DDoS parallèles d’une bande passante totale avoisinant le millier de gigaoctets par seconde. On estime que cette armée d’attaque était constituée de plus de 152 000 appareils IdO comprenant des caméras de vidéosurveillance et des enregistreurs vidéo personnels.

Le botnet Mirai qui a élu Krebs pour cible déniche ses soldats en recherchant sans cesse des appareils IdO dont le nom d’utilisateur et le mot de passe par défaut sont restés inchangés. KrebsOnSecurity vient de publier une liste incomplète de 68 couples nom d’utilisateur/mot de passe dans le code source du botnet, en soulignant que nombre d’entre eux sont génériques et pourraient se retrouver dans toute la gamme de produits d’objets connectés en provenance d’un même fabricant.

Et les mauvaises nouvelles ne s’arrêtent pas là. Le code source de Mirai a été publié sur Hackforum, facilitant la tâche aux pirates informatiques en herbe qui souhaitent construire leur propre armée botnet. Loin de considérations altruistes, cette publication s’apparente à un gamin distribuant des bonbons volés dans sa classe, augmentant ainsi la bande de voleurs potentiels.

Le prix à payer par la cible et la société à la suite d’une attaque DDoS peut atteindre des sommets. La protection DDoS offerte bénévolement par Akamai à Krebs a été évaluée à plus de 150 000 dollars avant que cette société ne jette l’éponge. Heureusement que Project Shield de Google a pu entrer dans la danse et remettre KrebsOnSecurity sur les rails.

Le coût endossé par la société est plus indirect mais tout aussi substantiel. Krebs, journaliste d’investigation de son état, est la source incontournable d’information concernant les violations de données, les skimmers de GAB, etc. Le mettre hors-jeu et hors-ligne est une forme technique de censure. Si l’impact est resté minime cette fois-ci, on s’attend à un surcroît d’attaques. La prochaine fois, leur cible sera probablement tout autre qu’un blog d’actualité technique.

Êtes-vous certain que la configuration par défaut de tous vos appareils a été modifiée ?

Cet article est également disponible en: AnglaisAllemandItalien

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.