Symantec a publié des informations au sujet d’un malware au comportement assez surprenant. Plutôt que de chercher à nuire à l’utilisateur de l’équipement connecté contaminé, il colmate des brèches et vise une meilleure sécurité. L’éditeur indique cependant que la méfiance reste de mise, ne serait-ce qu'à cause de la présence de portes dérobées.
Un malware qui cherche à mieux sécuriser l’équipement qu’il contamine : voilà ce sur quoi Symantec a mis la main. La société dispose de nombreux objets connectés qui servent de « pots de miel », autrement dit des pièges pour récolter spécifiquement des malwares afin de les analyser. L’un d’entre eux a fini par afficher des caractéristiques singulières. Il a été décrit pour la première fois en novembre de l’année dernière, mais il se répand actuellement de manière active.
Wifatch, le gentil malware
Nommé Linux.Wifatch, ou plus simplement Wifatch, il était considéré initialement comme un parmi tant d’autres. Les premières analyses ont livré cependant des résultats intéressants, voire surprenants. Il est ainsi écrit intégralement en langage de script Perl et peut viser plusieurs architectures matérielles en embarquant les interpréteurs adaptés pour chacune d’entre elles. Le code n’est pas masqué, et Symantec indique qu’à ce degré de sophistication, il ne peut s’agir que d’un choix du ou des auteurs.
Wifatch s’installe sur des appareils connectés (routeurs Wi-Fi, télévisions, etc.) en s’appuyant a priori sur des connexions dont les accès ne sont protégés que par de faibles identifiants. Mais une fois en place, il ne déclenche apparemment aucune action malveillante, ne contenant d’ailleurs aucun code de ce genre. C’est même le contraire : ses premiers gestes sont de débusquer certains malwares pour les supprimer et modifier la configuration de l’appareil pour le rendre plus sécurisé.
Renforcer la sécurité et supprimer les autres malwares
Parmi les actions enregistrées, on note par exemple le déclenchement d’une demande obligeant l’utilisateur à choisir de nouveaux identifiants. Même si ce dernier peut ne pas faire preuve d’une grande originalité (c’est bien trop souvent le cas), cela permet au moins de ne pas laisser ceux par défaut. Quand Wifatch n’a qu’une marge de manœuvre limitée pour supprimer les autres malwares ou renforcer la sécurité, il peut lui arriver de programmer un redémarrage hebdomadaire de l’appareil pour réinitialiser sa configuration. Il va même jusqu’à stopper le service Telnet pour ne pas que d’autres malwares s’en servent.
Les objectifs du ou des auteurs semblent « nobles » à première vue, mais Symantec invite les utilisateurs à une grande méfiance. On ne peut pas enlever à Wifatch une caractéristique symptomatique : il s’installe comme un malware, en douce et donc sans que l’utilisateur ait son mot à dire. Il s’agit peut-être de la création d’un développeur ayant estimé que les constructeurs ne prenaient pas assez au sérieux la sécurité, mais Wifatch contient quoi qu’il en soit plusieurs portes dérobées. On ne sait donc pas en pratique ce qui peut être fait, mais un système de signatures permet de contrôler l’origine des ordres qui y sont envoyés.
Mieux vaut réinitialiser les appareils et en changer les mots de passe
Symantec estime que Wifatch est présent désormais dans plusieurs dizaines de milliers d’objets connectés. Presque un tiers d’entre eux se trouvent en Chine, 16 % au Brésil, 9 % en Inde et au Mexique, puis viennent le Vietnam, l’Italie, la Turquie, la Corée du Sud, les États-Unis et la Pologne. 83 % des objets touchés utilisent une architecture ARM, 10 % une MIPS et 7 % une SH4. Mais dans tous les cas, l’éditeur invite à la prudence : bien que l’auteur ait toutes les apparences d’un « hacker vigilant », rien ne permet d’affirmer qu’il ne s’agit pas d’un pirate aux intentions bien cachées, qui essaierait par exemple de faire de la place pour sa création avant de passer à l’attaque. En effet, même si les objets connectés comme les télévisions n’ont pas de nombreuses données personnelles à voler, ils peuvent être utilisés en masse pour déclencher de vastes attaques distribuées par déni de service (DDoS).
Du coup, pour s’en débarrasser, Symantec recommande de réinitialiser complètement l’appareil et sa configuration. Il reviendra alors à ses réglages d’usine, sans plus aucun malware installé. Après quoi, il faudra vérifier la présence d’une mise à jour du firmware puis changer les mots de passe par défaut, idéalement pour en choisir un assez complexe pour ne pas être deviné aisément. L’entreprise indique en attendant qu’elle gardera un œil sur ce petit logiciel surprenant.
