On sait depuis l’attaque par le malware Mirai que ce sont les objets connectés qui ont été utilisés pour déclencher l’une des plus vastes attaques DDoS jamais enregistrées. Parmi les objets visés, certains possédaient un mot de code inscrit directement dans le firmware, sans possibilité de modification.
C’est l’information relayée par le blog KrebsOnSecurity vendredi, à la suite d’un examen par la société de sécurité FlashPoint de certains modèles de caméras connectées provenant de la société chinoise XiongMai Technologies. Allison Nixon, directrice de recherche chez FlashPoint, indiquait ainsi que c’était la gamme entière des caméras qui avait été touchée par Mirai, les objets contaminés participant aux attaques DDoS qui ont rendu des dizaines de sites importantes inaccessibles pendant plusieurs heures.
Par exemple, il a beaucoup contribué aux attaques par déni de service portées contre OVH et le gestionnaire de service DNS Dyn, qui a perturbé l'accès à de nombreux sites majeurs il y a quelques jours (voir notre analyse).
Un mot de passé inscrit dans le firmware
Les premières analyses avaient déjà révélé une gestion effarante de la sécurité, aussi bien par les entreprises qui fournissaient des identifiants identiques par défaut, que par les clients qui ne les changeaient pas. Graham Cluley avait ainsi publié une liste des mots de passe retrouvés dans le code même de Mirai : 666666, 888888, 1111, 12345, admin, pass, password, guest et ainsi de suite. L’idée était bien entendu de tenter toutes les combinaisons simples, les constructeurs ne faisant guère preuve d’originalité dans ce domaine.
De fait, le conseil fourni était simple : changer le mot de passe aussi rapidement que possible. Malheureusement, la plupart des produits touchés sont accompagnés d’une interface web qui permet un accès extérieur depuis SSH ou Telnet. Mais il y a pire, puisque Zach Wikholm, de chez FlashPoint, a indiqué à KrebsOnSecurity qu’une bonne partie des caméras de XiongMai possédaient un mot de passe codé « en dur » dans le firmware. En d’autres termes, un identifiant que l’on ne peut pas changer facilement, étant directement dans le code. Le client n’obtient même pas, dans ce cas, l’outil qui permettrait de le modifier.
XiongMai rappelle une partie de ses produits
Il n’est donc pas étonnant que XiongMai Technologies ait lancé hier soir un rappel pour tout un ensemble de références vendues aux États-Unis. Le constructeur chinois a indiqué que « les problèmes de sécurité sont un problème qu’affronte toute l’humanité », et que puisque d’autres géants du secteur ont affronté de telles menaces, il n’a lui-même « pas peur » de s’y frotter.
La société indique que ses produits sont en fait bien protégés et qu’il suffit de changer le mot de passe, niant la sévérité des rapports abordant ses produits. Les produits rappelés sont les plus anciens, potentiellement ceux en fait concernés par cette inscription du mot de passe dans le firmware abordé par FlashPoint. La sécurité des mots de passe par défaut sera renforcée, tandis que tous les produits vendus depuis avril dernier pourront être mis à jour par un correctif.
Comme nous le rappelions hier, il faudra probablement plusieurs chocs de ce type pour que l’industrie considère d’un nouvel œil la sécurité de ses produits, de la même manière que les éditeurs logiciels ont dû s’adapter par le passé. Un produit proposant un code figé et permettant un accès extérieur est du pain béni pour les pirates, les failles découvertes dans le code n’étant pas colmatées. Et si XiongMai rappelle les références concernées, on ne sait pas encore ce qu'il adviendra de tous les autres objets connectés touchés par Mirai.
