Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Le malware Wifatch renforce la sécurité des objets connectés, mais dans quel but ?

Le feu par le feu ?
Logiciel 4 min
Le malware Wifatch renforce la sécurité des objets connectés, mais dans quel but ?
Crédits : Wavebreakmedia Ltd/ThinkStock

Symantec a publié des informations au sujet d’un malware au comportement assez surprenant. Plutôt que de chercher à nuire à l’utilisateur de l’équipement connecté contaminé, il colmate des brèches et vise une meilleure sécurité. L’éditeur indique cependant que la méfiance reste de mise, ne serait-ce qu'à cause de la présence de portes dérobées.

Un malware qui cherche à mieux sécuriser l’équipement qu’il contamine : voilà ce sur quoi Symantec a mis la main. La société dispose de nombreux objets connectés qui servent de « pots de miel », autrement dit des pièges pour récolter spécifiquement des malwares afin de les analyser. L’un d’entre eux a fini par afficher des caractéristiques singulières. Il a été décrit pour la première fois en novembre de l’année dernière, mais il se répand actuellement de manière active.

Wifatch, le gentil malware

Nommé Linux.Wifatch, ou plus simplement Wifatch, il était considéré initialement comme un parmi tant d’autres. Les premières analyses ont livré cependant des résultats intéressants, voire surprenants. Il est ainsi écrit intégralement en langage de script Perl et peut viser plusieurs architectures matérielles en embarquant les interpréteurs adaptés pour chacune d’entre elles. Le code n’est pas masqué, et Symantec indique qu’à ce degré de sophistication, il ne peut s’agir que d’un choix du ou des auteurs.

Wifatch s’installe sur des appareils connectés (routeurs Wi-Fi, télévisions, etc.) en s’appuyant a priori sur des connexions dont les accès ne sont protégés que par de faibles identifiants. Mais une fois en place, il ne déclenche apparemment aucune action malveillante, ne contenant d’ailleurs aucun code de ce genre. C’est même le contraire : ses premiers gestes sont de débusquer certains malwares pour les supprimer et modifier la configuration de l’appareil pour le rendre plus sécurisé.

wifatch
Crédits : Symantec

Renforcer la sécurité et supprimer les autres malwares

Parmi les actions enregistrées, on note par exemple le déclenchement d’une demande obligeant l’utilisateur à choisir de nouveaux identifiants. Même si ce dernier peut ne pas faire preuve d’une grande originalité (c’est bien trop souvent le cas), cela permet au moins de ne pas laisser ceux par défaut. Quand Wifatch n’a qu’une marge de manœuvre limitée pour supprimer les autres malwares ou renforcer la sécurité, il peut lui arriver de programmer un redémarrage hebdomadaire de l’appareil pour réinitialiser sa configuration. Il va même jusqu’à stopper le service Telnet pour ne pas que d’autres malwares s’en servent.

Les objectifs du ou des auteurs semblent « nobles » à première vue, mais Symantec invite les utilisateurs à une grande méfiance. On ne peut pas enlever à Wifatch une caractéristique symptomatique : il s’installe comme un malware, en douce et donc sans que l’utilisateur ait son mot à dire. Il s’agit peut-être de la création d’un développeur ayant estimé que les constructeurs ne prenaient pas assez au sérieux la sécurité, mais Wifatch contient quoi qu’il en soit plusieurs portes dérobées. On ne sait donc pas en pratique ce qui peut être fait, mais un système de signatures permet de contrôler l’origine des ordres qui y sont envoyés.

Mieux vaut réinitialiser les appareils et en changer les mots de passe

Symantec estime que Wifatch est présent désormais dans plusieurs dizaines de milliers d’objets connectés. Presque un tiers d’entre eux se trouvent en Chine, 16 % au Brésil, 9 % en Inde et au Mexique, puis viennent le Vietnam, l’Italie, la Turquie, la Corée du Sud, les États-Unis et la Pologne. 83 % des objets touchés utilisent une architecture ARM, 10 % une MIPS et 7 % une SH4. Mais dans tous les cas, l’éditeur invite à la prudence : bien que l’auteur ait toutes les apparences d’un « hacker vigilant », rien ne permet d’affirmer qu’il ne s’agit pas d’un pirate aux intentions bien cachées, qui essaierait par exemple de faire de la place pour sa création avant de passer à l’attaque. En effet, même si les objets connectés comme les télévisions n’ont pas de nombreuses données personnelles à voler, ils peuvent être utilisés en masse pour déclencher de vastes attaques distribuées par déni de service (DDoS).

Du coup, pour s’en débarrasser, Symantec recommande de réinitialiser complètement l’appareil et sa configuration. Il reviendra alors à ses réglages d’usine, sans plus aucun malware installé. Après quoi, il faudra vérifier la présence d’une mise à jour du firmware puis changer les mots de passe par défaut, idéalement pour en choisir un assez complexe pour ne pas être deviné aisément. L’entreprise indique en attendant qu’elle gardera un œil sur ce petit logiciel surprenant.

48 commentaires
Avatar de anonyme_751eb151a3e6ce065481d43bf0d18298 INpactien

Les applications légitimes pillent les données personnelles, traquent les utilisateurs et les malwares renforcent la sécurité :mad2:

Avatar de Mimoza Abonné
Avatar de MimozaMimoza- 06/10/15 à 07:39:33

Un peu le monde à l'envers en effet :mad2:

Avatar de djludo61 INpactien
Avatar de djludo61djludo61- 06/10/15 à 07:39:49

:francais:
 

 Bon à voir si ça un malabar après. :D

Avatar de anonyme_751eb151a3e6ce065481d43bf0d18298 INpactien

djludo61 a écrit :

Bon à voir si ça un malabar après. :D

Je crois que tu t'es fait hacker un mot dans ta phrase :transpi:

Avatar de Shadam INpactien
Avatar de ShadamShadam- 06/10/15 à 07:49:56

ActionFighter a écrit :

Je crois que tu t'es fait hacker un mot dans ta phrase :transpi:

Un peu comme l'auteur de l'article ?  :D

Avatar de anonyme_751eb151a3e6ce065481d43bf0d18298 INpactien

Shadam a écrit :

Un peu comme l'auteur de l'article ?  :D

?

Je n'ai pas vu de mot manquant dans l'article ? Ou alors, c'est que je comprends définitivement plus rien à ce monde :transpi:

Avatar de HarmattanBlow INpactien
Avatar de HarmattanBlowHarmattanBlow- 06/10/15 à 07:55:00

djludo61 a écrit :

Bon à voir si ça un malabar après. :D

Tu pourrais attendre dix heures avant de picoler.

Avatar de Tohrnoriac Abonné
Avatar de TohrnoriacTohrnoriac- 06/10/15 à 08:04:00

le coup du mot de passe... du coup je me demande pourquoi, au premier démarrage du bouzin (tv bidule, truc) ca ne demanderait pas justement de changer ce mdp pour un personnalisé, histoire au moins qu'il soit changé partout ?
quitte à ce que l'utilisateur le note dans la notice, mais au moins ce mdp serait changé...

Avatar de Arystos INpactien
Avatar de ArystosArystos- 06/10/15 à 08:06:34

On vit effectivement dans un monde à l'envers.
 

 Ce serait tellement bien si le malware visait vraiment à renforcer la sécurité du bousin qu'il infecte, mais on peut rêver. dans le meilleur des cas, le mec qui l'a fait était plein de bonnes intentions, mais il va se laisser tenter par les millions à gagner ou se fera lui même pirater, etc...
 

 Il manque en effet un mot dans la news, je l'ai signalé aussi :)

Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 06/10/15 à 08:14:13

à la lecture de la démarche du mec, j'ai un peu pensé à Jésus II : "Vous allez finir par vous aimer les uns les autres, bordel de merde ?"
:mdr:

Tohrnoriac a écrit :

le coup du mot de passe... du coup je me demande pourquoi, au premier démarrage du bouzin (tv bidule, truc) ca ne demanderait pas justement de changer ce mdp pour un personnalisé, histoire au moins qu'il soit changé partout ?
quitte à ce que l'utilisateur le note dans la notice, mais au moins ce mdp serait changé...

ça serait pas du luxe effectivement :/

Il n'est plus possible de commenter cette actualité.
Page 1 / 5