Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Mirai : XiongMai rappelle des caméras connectées peu sécurisées

Mon Mirai, Saint DDoS !
Internet 3 min
Mirai : XiongMai rappelle des caméras connectées peu sécurisées
Crédits : maxkabakov/iStock

On sait depuis l’attaque par le malware Mirai que ce sont les objets connectés qui ont été utilisés pour déclencher l’une des plus vastes attaques DDoS jamais enregistrées. Parmi les objets visés, certains possédaient un mot de code inscrit directement dans le firmware, sans possibilité de modification.

C’est l’information relayée par le blog KrebsOnSecurity vendredi, à la suite d’un examen par la société de sécurité FlashPoint de certains modèles de caméras connectées provenant de la société chinoise XiongMai Technologies. Allison Nixon, directrice de recherche chez FlashPoint, indiquait ainsi que c’était la gamme entière des caméras qui avait été touchée par Mirai, les objets contaminés participant aux attaques DDoS qui ont rendu des dizaines de sites importantes inaccessibles pendant plusieurs heures.

Par exemple, il a beaucoup contribué aux attaques par déni de service portées contre OVH et le gestionnaire de service DNS Dyn, qui a perturbé l'accès à de nombreux sites majeurs il y a quelques jours (voir notre analyse).

Un mot de passé inscrit dans le firmware

Les premières analyses avaient déjà révélé une gestion effarante de la sécurité, aussi bien par les entreprises qui fournissaient des identifiants identiques par défaut, que par les clients qui ne les changeaient pas. Graham Cluley avait ainsi publié une liste des mots de passe retrouvés dans le code même de Mirai : 666666, 888888, 1111, 12345, admin, pass, password, guest et ainsi de suite. L’idée était bien entendu de tenter toutes les combinaisons simples, les constructeurs ne faisant guère preuve d’originalité dans ce domaine.

De fait, le conseil fourni était simple : changer le mot de passe aussi rapidement que possible. Malheureusement, la plupart des produits touchés sont accompagnés d’une interface web qui permet un accès extérieur depuis SSH ou Telnet. Mais il y a pire, puisque Zach Wikholm, de chez FlashPoint, a indiqué à KrebsOnSecurity qu’une bonne partie des caméras de XiongMai possédaient un mot de passe codé « en dur » dans le firmware. En d’autres termes, un identifiant que l’on ne peut pas changer facilement, étant directement dans le code. Le client n’obtient même pas, dans ce cas, l’outil qui permettrait de le modifier.

XiongMai rappelle une partie de ses produits

Il n’est donc pas étonnant que XiongMai Technologies ait lancé hier soir un rappel pour tout un ensemble de références vendues aux États-Unis. Le constructeur chinois a indiqué que « les problèmes de sécurité sont un problème qu’affronte toute l’humanité », et que puisque d’autres géants du secteur ont affronté de telles menaces, il n’a lui-même « pas peur » de s’y frotter.

La société indique que ses produits sont en fait bien protégés et qu’il suffit de changer le mot de passe, niant la sévérité des rapports abordant ses produits. Les produits rappelés sont les plus anciens, potentiellement ceux en fait concernés par cette inscription du mot de passe dans le firmware abordé par FlashPoint. La sécurité des mots de passe par défaut sera renforcée, tandis que tous les produits vendus depuis avril dernier pourront être mis à jour par un correctif.

Comme nous le rappelions hier, il faudra probablement plusieurs chocs de ce type pour que l’industrie considère d’un nouvel œil la sécurité de ses produits, de la même manière que les éditeurs logiciels ont dû s’adapter par le passé. Un produit proposant un code figé et permettant un accès extérieur est du pain béni pour les pirates, les failles découvertes dans le code n’étant pas colmatées. Et si XiongMai rappelle les références concernées, on ne sait pas encore ce qu'il adviendra de tous les autres objets connectés touchés par Mirai.

16 commentaires
Avatar de Soriatane Abonné
Avatar de SoriataneSoriatane- 25/10/16 à 15:54:06

Au moins ils prennent leur responsabilité (avant de se ramasser une classe action).

On va dire que c'est humain de mentir un peu sur la raison qui les pousse à rappeler le vieux matériel.

Avatar de v1nce INpactien
Avatar de v1ncev1nce- 25/10/16 à 15:58:39

un hacker blanc (enfin disons gris) pour briquer tous les objets connectés insuffisamment protégés histoire de faire la leçon à leurs concepteurs ?

Avatar de psn00ps Abonné
Avatar de psn00pspsn00ps- 25/10/16 à 16:04:14

tu te rends compte que tu passes commande d'une attaque de masse à l'échelle planétaire ?? :eeek2:

Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 25/10/16 à 16:13:21

v1nce a écrit :

un hacker blanc (enfin disons gris) pour briquer tous les objets connectés insuffisamment protégés histoire de faire la leçon à leurs concepteurs ?

Lance un kickstarter, je contribue à hauteur de 100€

Avatar de Azariel Abonné
Avatar de AzarielAzariel- 25/10/16 à 16:27:49

je me demande si ces attaques ne sont pas, justement, un moyen de faire réfléchir les constructeurs sur leur faible motivation à protéger leurs produits de ce genre d'activité.

Après, ils viendront pleurer que c'est pas leur faute, que c'est celle des vilains pirates qui détournent leurs jouets à des fins pas gentilles

Avatar de Mr.Nox INpactien
Avatar de Mr.NoxMr.Nox- 25/10/16 à 16:36:39

Un hacker blanc ça n'existe pas. Même fin 2016, un hacker n'est toujours pas un pirate informatique (cracker) ni un white/Grey hat

Avatar de jmm INpactien
Avatar de jmmjmm- 25/10/16 à 16:53:24

Pendant qu'ailleurs on disserte sur les faiblesses des algorithmes de chiffrement qu'aurait sponsorisées la NSA, on découvre un mot de passe constructeur en dur (et en clair) dans le firmware. Comme toujours, on prétendra être incompétent plutôt que malhonnête. La Chine a encore du travail pour égaler les USA.

Avatar de metaphore54 INpactien
Avatar de metaphore54metaphore54- 25/10/16 à 18:29:50

Comme je l'ai toujours dit. A choisir entre la bêtise et le complot, je préfère choisir le plus simple, c'est à dire la bêtise.

Au moins ils vont réparer leur erreur, c'est un bon point.

 

Avatar de crazytiti Abonné
Avatar de crazytiticrazytiti- 25/10/16 à 18:50:44

J'ai signalé plusieurs fautes d'orthographe/grammaire, mais,en plus, je trouve certaines phrases mal construites / mal dites, c'est moi ou Vincent est fatigué ?
ex "potentiellement ceux en fait concernés" => le "en fait" est de trop

Édité par crazytiti le 25/10/2016 à 18:51
Avatar de Jiyuu_Hashi Abonné
Avatar de Jiyuu_HashiJiyuu_Hashi- 25/10/16 à 20:19:53

Ou il manque un "qui sont".

J'avoue n'avoir pas l'article jusqu'au bout.

Par contre, j'aime bien le nom "Mirai" qui signifie "futur" en japonais et qui nous montre un aperçu de ce qui pourrait désormais arriver via les objets connectés.

Il n'est plus possible de commenter cette actualité.
Page 1 / 2