Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Une étude révèle les entrailles du botnet Mirai

admin/123456
Internet 6 min
Une étude révèle les entrailles du botnet Mirai
Crédits : alexaldo/iStock/Thinkstock

Une équipe de chercheurs de tous horizons s'est penchée sur l'historique du botnet Mirai, qui a paralysé une partie du Net américain en s'attaquant à l'infrastructure de Dyn, en octobre. Selon eux, l'entreprise américaine n'était pas la cible principale.

Depuis sa première apparition l'an dernier, Mirai a fait couler beaucoup d'encre. Sous ce nom, on retrouve d'abord un malware, qui a servi à infecter plusieurs centaines de milliers d'appareils connectés, notamment des routeurs et passerelles cellulaires, pour coordonner des attaques DDoS sur diverses cibles, grâce au botnet ainsi formé.

La plus spectaculaire a été dirigée le 21 octobre contre l'infrastructure de Dyn, qui gère les « zones DNS » de nombreux sites, notamment américains. Avec des pointes autour de 1 Tb/s, le service a été saturé pendant deux heures, rendant difficile d'accès des pans entiers du Net américain. 

Près d'un an plus tard, un groupe de 19 universitaires et experts de diverses entreprises, telles qu'Akamai, Cloudflare ou Google ont publié les résultats d'une étude visant à déterminer l'origine de cette attaque, ainsi que sa cible réelle, dans le cadre de la conférence Usenix, qui se tenait la semaine dernière. 

Anatomie d'un botnet

Dans leurs travaux, les chercheurs relèvent que les premières infections remontent au 1er août 2016. Dans les 20 premières heures de son existence, il touche déjà 65 000 appareils, avant de stabiliser sa population entre 200 000 et 300 000 machines zombies. 

Mirai propagation
Historique de la propagation mesurée de Mirai

En plus de passerelles cellulaires, des caméras IP, des routeurs, des imprimantes et même des enregistreurs vidéo ont été touchés. Selon les chercheurs, la composition du réseau ainsi formée a été « largement influencée par les parts de marché et les décisions prises à la conception par un certain nombre de fabricants ». Des caméras IP du fabricant chinois XiongMai ont été rappelées en urgence suite à l'attaque, le mot de passe étant écrit en dur dans le code.

En d'autres termes, le malware était destiné à des cibles faciles d'accès et peu protégées. Dans le cas des caméras IP par exemple, elles sont souvent fournies avec un mot de passe par défaut aisé à deviner, ce qui en facilite grandement l'accès. 

Le malware en lui-même comprenait d'ailleurs une liste de mots de passe paramétrés par défaut sur certains types d'appareils. Dès qu'un terminal est infecté, il scanne le réseau autour de lui à la recherche d'autres victimes potentielles. Une fois la nouvelle cible trouvée, il tente d'établir une connexion en choisissant aléatoirement 10 paires utilisateur/mot de passe parmi celles inscrites dans son code. Si l'opération réussit, les informations nécessaires à son contact sont transmises à un serveur, qui ordonne ensuite l'infection.

Mirai mots de passe
Liste de 46 mots de passe par défaut incluse dans le code source de Mirai au 30 septembre 2016

Les appareils touchés se trouvent par ailleurs dans un répertoire relativement limité de zones géographiques. « Le Brésil, la Colombie et le Vietnam comptent pour 41,5 % des infections », calculent les chercheurs. Une part disproportionnée au regard de la quantité d'objets connectés installés dans ces pays. 

Les traces des attaques

Pendant les cinq mois d'existence du botnet, les chercheurs ont relevé 15 194 attaques DDoS distinctes, menées avec Mirai, visant 5 046 victimes. Dans le détail, 93,7 % du temps, une IP unique était ciblée, les assauts contre des sous-réseaux pèsent pour 3,9 % du total, tandis que ceux contre des noms de domaine pour seulement 2,4 %. 

Parmi les cibles, si l'on parle souvent de Dyn qui a subi l'assaut le plus visible, d'autres sites moins connus ont subi le plus gros des attaques. Ainsi, 616 assauts ont été portés contre Lonestar Cell, un opérateur téléphonique au Liberia. Des assauts répétés qui ont pendant un temps laissé entendre qu'ils avaient réussi a perturber dans son ensemble la connectivité à Internet du pays, ce que les chercheurs n'ont pas été en mesure de pouvoir vérifier. 

On note encore 318 autres attaques sur Sky Network, une grappe de serveurs Minecraft au Brésil. Un blog russe sur la cuisine a quant à lui dû essuyer 157 vagues différentes.

L'équipe a identifié 33 clusters distincts, c'est-à-dire des infrastructures indépendantes, potentiellement pilotés par des groupes de pirates différents. Le plus important, qui a attaqué Dyn et des services de jeux vidéo, aurait contenu au maximum 61 440 machines zombies, quand le deuxième (considéré comme l'original, derrière les attaques de Krebs on Security et OVH) affichait un pic de 58 335 bots. Les experts notent que les serveurs contrôlant ces réseaux sont pour la plupart apparus des semaines avant d'être liés au botnet. Pour eux, une analyse fine du DNS permettrait d'identifier en amont ces ressources pour prévenir les attaques.

Dyn n'était probablement pas la cible principale

Les chercheurs se sont particulièrement penchés sur le cas emblématique de Dyn. Ils sont parvenus à confirmer la version du déroulement de l'attaque fournie par l'entreprise, constatant 21 courtes attaques d'environ 25 secondes, suivies par d'autres, soutenues pendant une heure puis cinq heures puis encore dix heures. Toutefois, les assauts n'étaient pas uniquement dus à Mirai. Seules 71 % des IP qui ont attaqué Dyn seraient liées au botnet. 

Par ailleurs, si les premiers assauts visaient clairement Dyn, les suivants montraient que plusieurs autres cibles étaient au menu. Parmi elles, on retrouve le PlayStation Network, le Xbox Live et l'infrastructure DNS de Microsoft. Les serveurs de jeu Nuclear Fallout étaient également dans le collimateur de Mirai, tout comme ceux de Steam. Les attaquants semblaient donc viser des infrastructures de jeu en ligne, et Dyn, en tant que prestataire de la plupart des services cités, aurait donc encaissé de gros dommages collatéraux, avec les conséquences que l'on connait.

Comment endiguer ce genre d'attaques ?

Les solutions qui permettraient de limiter l'ampleur de ce type d'attaque existent, et pour certaines ne seraient finalement pas si compliquées à mettre en place. La première n'est autre que le durcissement de la sécurité autour des objets connectés, une étape relativement aisée tant on part de loin. « Le botnet Mirai a démontré que même une attaque par dictionnaire peu sophistiquée est capable de compromettre des centaines de milliers d'appareils », notent les chercheurs. 

Une première étape pourrait être de proposer des mots de passe par défaut aléatoires sur chaque appareil, afin d'éviter de laisser l'accès à quiconque sait taper « admin/admin ». Les objets connectés devraient également laisser leurs ports fermés par défaut et disposer d'une configuration réseau limitant l'accès aux terminaux se trouvant dans leur réseau local ou bien à des machines spécifiques... ce qui est rarement le cas. 

Des mises à jour automatiques sur ces appareils pourraient également limiter les dégâts, à condition que leurs fabricants prennent le temps d'assurer le suivi nécessaire, ce qui n'est pas toujours le cas. Quant à assurer ces mises à jour sur le long terme afin de ne pas se retrouver dans une situation semblable à celle de Windows XP, avec des millions de machines ouvertes aux quatre vents, c'est une autre étape, qui semble encore un peu plus compliquée à atteindre.

Le botnet a servi d'électrochoc pour les autorités des deux côtés de l'Atlantique, les États-Unis et l'Union européenne cherchant des solutions rapides pour enfin sécuriser ces millions d'objets connectés. Les propositions rejoignent celles des chercheurs, avec un niveau minimal de sécurité, des mises à jour et l'obligation de fournir un logiciel sans failles connues. Un investissement dans la sécurité qui est jusqu'ici évité par les fabricants, qui misent avant tout sur le prix. Côté américain, la commande publique doit être le levier de la sécurisation, quand les Européens envisagent une (auto-)certification des objets connectés. Résultat au mieux dans quelques mois.

24 commentaires
Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 24/08/17 à 09:18:51

Les français ont de la chance... le mot de passe "qd;in" n'est pas dans la liste.

:fr:

Avatar de jb18v Abonné
Avatar de jb18vjb18v- 24/08/17 à 09:19:22

le mdp par défaut "fucker" :mdr2:

comment ils peuvent analyser après coup l'évolution de l'infection dans le temps ? Y'a des logs ? :keskidit:

Avatar de Flogik Abonné
Avatar de FlogikFlogik- 24/08/17 à 09:29:01

127.0.0.1 a écrit :

Les français ont de la chance... le mot de passe "qd;in" n'est pas dans la liste.

:fr:

J'ai pas compris

Bon par contre il y a bien admin/admin1234 mais (très étonnant) il n'y a pas admin/admin dans la liste. Bon j'imagine que nous n'avons pas la liste exhaustive ici. 

Avatar de Trent Abonné
Avatar de TrentTrent- 24/08/17 à 09:30:12

jb18v a écrit :

comment ils peuvent analyser après coup l'évolution de l'infection dans le temps ? Y'a des logs ? :keskidit:

Les entreprises attaquées ont probablement tous les logs de connexion oui.

Avatar de tpeg5stan Abonné
Avatar de tpeg5stantpeg5stan- 24/08/17 à 09:30:26

haha les mots de passe :D
 
Je pense à ce commitstrip :&nbsphttp://www.commitstrip.com/fr/2016/10/14/good-old-adminpassword/?setLocale=1

Avatar de HerrFrance Abonné
Avatar de HerrFranceHerrFrance- 24/08/17 à 09:30:39

jb18v a écrit :

le mdp par défaut "fucker" :mdr2:

Mais quelle espèce de boîte peut mettre ça en défaut sur ses appareils ?

Avatar de Ellierys INpactien
Avatar de EllierysEllierys- 24/08/17 à 09:32:11

En même temps, la liste ne comprend que les mots de passe, pas les logins :D

Avatar de psn00ps Abonné
Avatar de psn00pspsn00ps- 24/08/17 à 09:35:45

Mirai est open source, y a pas grand chose à chercher :fou:

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 24/08/17 à 09:46:15

Seuls les vrais qd;inistrqteurs peuvent comprendre. :D

Avatar de jb18v Abonné
Avatar de jb18vjb18v- 24/08/17 à 09:48:04

127.0.0.1 a écrit :

Seuls les vrais qd;inistrqteurs peuvent comprendre. :D

ah punaise j'avais pas fait le lien :mdr:

Il n'est plus possible de commenter cette actualité.
Page 1 / 3