Trois ans après avoir paralysé Internet, Mirai profite de nouvelles failles dans les objets connectés pour se propager. Cette fois, il s'attaque plutôt aux entreprises dont les réseaux très performants peuvent lui permettre de lancer des attaques éclairs.

Cela vous intéressera aussi

[EN VIDÉO] Soli, la puce radar de Google destinée aux objets connectés Le projet Soli utilise la technologie radar pour capter les mouvements. Il peut détecter des déplacements de l’ordre du millimètre à très grande vitesse. Une technologie parfaite pour contrôler un smartphone ou un accessoire connecté par exemple, comme on peut le voir durant cette vidéo.

Mirai est le nom d'un logiciellogiciel malveillant qui a fait des vaguesvagues en 2016 en paralysant une partie du web. Sa particularité est de s'attaquer au système d'exploitationsystème d'exploitation Linux, et notamment aux objets connectés, pour les transformer en botnet, un réseau d'appareils zombies qui sont utilisés pour lancer des attaques de type déni de servicedéni de service contre des sites web et autres services sur internetinternet. L'entreprise de sécurité Palo Alto Networks a détecté une nouvelle variante qui sévit actuellement.

Mirai s'attaque aux routeursrouteurs, modemsmodems, caméras de sécurité et autres appareils connectés mais, cette fois-ci, le malwaremalware attaque de nouvelles cibles, notamment des équipements professionnels. Il s'agit des téléviseurs Supersign de LG et les projecteursprojecteurs WePresent. Cela pourrait signifier que Mirai va cibler les entreprises qui pourraient lui offrir plus de bande passantebande passante pour lancer des attaques.

De nouvelles failles

Pour se propager, Mirai analyse le réseau à la recherche de proies et utilise deux méthodes pour s'y infiltrer. La première exploite les failles de sécurité découvertes dans les produits. Sur ce front, le logiciel malveillant évolue, il intègre un total de 27 mécanismes pour exploiter ces vulnérabilités dont 11 sont complètement nouvelles. L'autre méthode, plus simple, consiste à tenter de se connecter aux appareils en utilisant les identifiants par défaut. Là aussi, Mirai évolue et en intègre de nouveaux, dont plusieurs couples identifiants/mots de passe que les chercheurs n'avaient encore jamais vus.

Cela souligne encore une fois l'importance d'avoir connaissance de tous les objets connectés à son réseau, de les garder à jour, et de changer les mots de passemots de passe par défaut. Cela vaut aussi bien pour les entreprises que pour les particuliers.


La cyberattaque mondiale de vendredi due au malware Mirai qui s'en prend aux objets connectés

L'attaque massive « par déni de service » qu'a subie vendredi le réseau Internet aux États-Unis serait en partie venue de réfrigérateursréfrigérateurs, de caméras de surveillance ou d'enregistreurs de vidéos. Les premiers accusés sont en effet ces « objets connectés », dont la sécurité a déjà été mise en cause. L'arme semble être le malware Mirai qui, en France, a récemment été utilisé contre l'hébergeur OVH. L'attaque était très organisée, disent les experts.

Publié le 24/10/2016 par Jean-Luc Goudet

Ce vendredi 21 octobre, aux États-Unis, principalement sur la côte est, de nombreux sites Web sont devenus inaccessibles une partie de la journée, dont Amazon, NetflixNetflix, PayPal et TwitterTwitter. La cause de la perturbation a été rapidement déterminée : c'était une cyberattaque massique « par déni de service » (DDoS pour les informaticiens). La méthode est brute : inonder un serveurserveur d'incessantes requêtesrequêtes qui finissent par le saturer. Il faut donc un grand nombre d'ordinateursordinateurs connectés et une cible. Celle-ci était un serveur de DNSDNS, l'entreprise Dyn. Son rôle est celui d'un annuaire qui transforme les noms de sites Web tapés dans le navigateurnavigateur en une adresse IPadresse IP, c'est-à-dire une suite de nombres.

Quant aux ordinateurs, il s'agissait en fait, au moins pour une partie d'entre eux, d'objets connectés. Ces appareils électroniques reliés à Internet, de plus en plus nombreux, depuis les réfrigérateurs jusqu'aux voituresvoitures en passant par les montres ou les bracelets, représentent aujourd'hui une puissance informatique répartie et plus accessible aux pirates que les ordinateurs. Comme nous l'avions signalé en juillet 2014, une étude HPHP concluait en effet que 70 % des objets connectés sont mal protégés, présentant d'importantes faillesfailles de sécurité. L'analyse en avait décelé en moyenne 25 par appareil...

Les téléviseurs connectés (ici un modèle Sony) offrent des fonctionnalités séduisantes. Mais ce sont aussi des ordinateurs, qui peuvent donc héberger des malwares et devenir, à l'insu de leurs propriétaires, les soldats d'attaques en règle contre de grands sites Web. © Sony
Les téléviseurs connectés (ici un modèle Sony) offrent des fonctionnalités séduisantes. Mais ce sont aussi des ordinateurs, qui peuvent donc héberger des malwares et devenir, à l'insu de leurs propriétaires, les soldats d'attaques en règle contre de grands sites Web. © Sony

L'attaque par DDoS de Dyn était classique mais massive

Le risque n'est plus théorique. En septembre dernier, l'opérateur français OVH a été victime d'une attaque par DDoS due à un malware, baptisé Mirai, qui s'était infiltré dans 145.607 caméras de surveillance. Selon l'entreprise américaine Flashpoint, spécialisée dans la sécurité, l'évènement de vendredi aux États-Unis a été en partie causée par le même Mirai et donc, vraisemblablement, par des objets connectés, dont des caméras de surveillance. Mieux, début octobre, ce Mirai était en vente sur des sites de hackers, comme l'avait signalé la société RSARSA.

D'après les communiqués de Dyn, l'attaque s'est déroulée en plusieurs vagues, et a donc été bien organisée. La puissance déchaînée est grande : elle se mesure en débitdébit de données déversées sur le serveur. Il a atteint 1 térabit par seconde, identique au flot qui a inondé OVH le mois dernier. Moralité : les objets connectés sont effectivement un point de vulnérabilité et doivent être mieux sécurisés. On peut en déduire aussi qu'une attaque plus massive encore reste possible et pourrait perturber l'activité économique. Cependant, cette attaque n'a duré que quelques heures. Le vendredi soir, les internautes surfaient à nouveau à leur aise.